logo elabo bianco 20 anni

Chi ha un’impresa lo sa: gestire al meglio l’ingresso dei visitatori in azienda è un elemento tutt’altro che secondario. Le nuove tecnologie offrono, su questo versante, nuove potenziali soluzioni.
Noi di e_labo, in collaborazione con CRM Informatica, abbiamo lanciato un servizio specifico per la gestione degli ingressi aziendali. La partnership con l’azienda di Arzignano (VI), specializzata in servizi di consulenza hardware e software, è nata da una doppia necessità. Da un lato l’esigenza di tracciare in modo accurato gli ingressi aziendali. Dall’altro rispettare le normative in materia di protezione dei dati personali (GDPR). Da qui è nata una soluzione software per la gestione dei visitatori in azienda pratica ed efficace che migliora l’esperienza delle imprese e garantisce la sicurezza dei visitatori.

I vantaggi di un software per la gestione dell’ingresso dei visitatori

Il nuovo software di gestione dei visitatori è progettato appositamente per rispondere alle esigenze delle aziende moderne.
L’applicativo consente di registrare in modo efficiente e sicuro ogni ingresso e uscita dai locali aziendali, garantendo la massima tracciabilità e sicurezza. Il software è stato sviluppato con un’attenzione particolare alla conformità normativa, assicurando che ogni dato personale sia trattato nel rispetto della privacy e delle normative vigenti.
La digitalizzazione dei processi di gestione degli ingressi porta con sé una serie di vantaggi tangibili per le aziende e i loro visitatori. Uno dei principali vantaggi è l’eliminazione del registro cartaceo degli accessi, sostituito da un sistema digitale intuitivo e sicuro. Questo non solo riduce l’impatto ambientale legato all’uso di carta, ma semplifica anche le procedure di registrazione e di accesso.

LEGGI ANCHE: Sistema di gestione ambientale: opportunità per le aziende

gestione ingresso visitatori

Maggiore sicurezza

Uno degli aspetti cruciali della gestione degli ingressi aziendali è la sicurezza dei visitatori. Grazie al nuovo sistema, è possibile accedere in tempo reale a un elenco completo delle persone esterne presenti negli stabilimenti in caso di emergenza.
Facciamo l’esempio di un’evacuazione a causa di un incendio. Il nostro software per la gestione dei visitatori in azienda garantisce che tutte le persone esterne e registrate siano facilmente tracciabili con il solo utilizzo di un tablet o di uno smartphone.

LEGGI ANCHE: Come fare (bene) una prova di evacuazione di emergenza

Risparmio di tempo

Tra i vantaggi offerti dal nostro software per la gestione dell’ingresso dei visitatori in azienda c’è anche uno snellimento delle tempistiche e dei passaggi per la gestione di questa attività.

Questo metodo semplifica notevolmente il processo di registrazione, riducendo al minimo il tempo necessario per accedere agli stabilimenti aziendali.

Semplicità e praticità

Nella gestione dell’ingresso dei visitatori in azienda, l’aspetto temporale è importante. Spesso il visitatore esterno è un po’ restio quando, all’arrivo, è chiamato a firmare una serie di documenti per accertare la sua entrata in un’azienda. E, soprattutto, in molti casi non si ricorda di registrare la sua uscita.
In questo senso, grazie all’implementazione del nuovo sistema digitale, il processo di ingresso diventa più semplice e immediato. Cartelli informativi posti strategicamente possono guidare i visitatori nel corretto utilizzo del QR code o del codice univoco, garantendo un’esperienza fluida e senza intoppi.

Vuoi rendere più efficace e sicura la gestione dell’ingresso dei visitatori nella tua azienda:
contattaci per richiedere maggiori informazioni
sul software e per richiedere una prova gratuita.

Whistleblowing in Italia: fischio d’inizio. Il 2023 è stato un anno rilevante per la regolamentazione della pratica di segnalare illeciti o comportamenti scorretti all’interno di un’organizzazione. Un tema, questo, di crescente importanza nel contesto della trasparenza e dell’integrità aziendale. Anche grazie all’impegno di Transparency International Italia¹, un’organizzazione non governativa il cui principale obiettivo è quello di sviluppare strategie efficaci per prevenire la corruzione. Approfondiamo, allora, la normativa che regola il whistleblowing in Italia, scoprendo quali sono gli obblighi (e i benefici) per le aziende virtuose.

Che cosa significa whistleblowing

Già diffuso da tempo negli USA e nel Regno Unito, il whistleblowing è uno strumento di compliance aziendale attraverso il quale i dipendenti di amministrazioni pubbliche e realtà private possono spontaneamente segnalare, in modo riservato e protetto, eventuali illeciti avvenuti all’interno dell’organizzazione. Si tratta, quindi, di uno strumento per far emergere comportamenti, atti od omissioni che ledono l’interesse pubblico o dell’ente privato. È il caso, per esempio, di:

Oltre a quello intrinseco della prevenzione degli illeciti, lo scopo del whistleblowing in Italia è quello di coinvolgere e sensibilizzare i cittadini alla lotta all’illegalità, richiedendo di partecipare attivamente al miglioramento della società.

LEGGI ANCHE: Ecco perché conviene un audit di verifica della conformità normativa

Il whistleblowing in Italia: le novità introdotte

In tema di whistleblowing, in Italia lo scorso marzo è entrato in vigore il D.Lgs. 24/2023², in attuazione della Direttiva (UE) 2019/1937. L’atto normativo sostituisce le disposizioni previste dalla legge n. 179/2017 per il settore pubblico e dal D.Lgs. 231/2001 per quello privato.
La nuova normativa sul whistleblowing in Italia estende la cerchia dei soggetti che possono avanzare una segnalazione, ovvero i whistleblower. Tra questi troviamo:

Tra i soggetti segnalanti troviamo anche volontari e tirocinanti, figure di amministrazione, controllo e vigilanza. La segnalazione può essere presentata attraverso il canale interno, cioè nell’ambito del contesto lavorativo. In alternativa, ci si può rivolgere esternamente, all’Autorità nazionale anticorruzione o tramite una divulgazione pubblica, ma solo in alcuni casi³. Si può optare anche per la denuncia all’autorità giudiziaria o contabile.

Obblighi e scadenze per le aziende in materia di whistleblowing

Le novità introdotte dal decreto legge sul whistleblowing in Italia sono molteplici. Sono previste anche scadenze diverse per l’implementazione delle disposizioni di legge, in base alle dimensioni dell’azienda e a specifici criteri.

Più tutele per chi segnala

La nuova disposizione normativa in materia di whistleblowing ha introdotto importanti cambiamenti anche sul fronte della riservatezza, prevedendo un solido sistema di tutele.
Sarà necessario attivare canali di segnalazione interna che garantiscano, anche grazie all’uso di strumenti di crittografia, la riservatezza dell’identità del whistleblower. Ma anche delle persone oggetto della segnalazione, e, più in generale, di tutti i soggetti coinvolti. La discrezione riguardo i dati sensibili è un requisito obbligatorio per assicurare la conformità della propria azienda alla normativa.
Inoltre, dovrà essere fornita idonea informativa al trattamento dei dati, ai sensi del Regolamento GDPR. Il titolare del trattamento dovrà stabilire i tempi di conservazione della segnalazione, nominare e istruire i soggetti incaricati alla gestione delle stesse ed effettuare una valutazione d’impatto privacy (DPIA).

LEGGI ANCHE: Protezione dei dati personali: le responsabilità delle aziende

Inadempienze e sanzioni per le imprese

In materia di whistleblowing, in Italia, l’ANAC assume la responsabilità esclusiva di valutare le segnalazioni e l’eventuale applicazione delle sanzioni amministrative. Sia per quel che riguarda il settore pubblico sia per quello privato. Tale organo prevede sanzioni che vanno da 10.000 a 50.000€ per le imprese che non hanno istituito canali di segnalazione o che non hanno adottato procedure per la loro effettuazione e gestione. Lo stesso vale nei casi in cui si accerti che:

Le sanzioni, tuttavia, non interessano soltanto le aziende inadempienti. Sono, infatti, previste ammende anche per i segnalanti che incorrono nei reati di diffamazione o calunnia con la denuncia all’autorità giudiziaria o contabile. Per tali figure, l’importo delle contravvenzioni varia da 500 a 2.500 euro.

Benefici e opportunità in ambito aziendale

Sanzioni, ma non solo. Il whistleblowing, in Italia, offre una serie di benefici sia per le aziende, sia per gli stessi segnalatori.
Per le prime, il whistleblowing può rappresentare un’opportunità per rilevare e affrontare tempestivamente eventuali comportamenti illeciti o scorretti. In questo modo possono prevenire perdite finanziarie, eventuali contenziosi legali e potenziali danni reputazionali. Inoltre, il whistleblowing può contribuire a creare un ambiente lavorativo più etico e responsabile, aumentando la fiducia tra dipendenti e clienti.
Dal canto loro, i whistleblower possono sentirsi più tutelati e incoraggiati a segnalare attività illecite senza il rischio di ritorsioni (licenziamento, sospensione, demansionamento, discriminazioni, ecc.). In questo senso, si assiste gradualmente a un cambio di percezione delle figura del whistleblower nel nostro Paese: da “spione” o “delatore” a figura che contribuisce a migliorare la trasparenza e l’etica all’interno di un’organizzazione, facendosi promotore di una cultura dell’integrità.

Siamo a disposizione per offrirti tutta la consulenza necessaria a mettere in regola la tua azienda alla luce delle novità normative in tema di whistleblowing.
Per informazioni,
contatta i nostri esperti.


NOTE
¹ Per approfondire: Whistleblowing, Transparency International Italia
² Leggi il testo completo del Decreto legislativo 10 marzo 2023, n. 24
³ Per saperne di più: Whistleblowing, le novità del D.Lgs. n. 24/2023, ANAC

Con l’avvio anche in Italia della campagna vaccinale contro il virus SARS-CoV2 è nell’interesse delle aziende capire le implicazioni tra vaccino Covid e privacy dei lavoratori. Il datore di lavoro può, in determinate circostanze, ottenere informazioni riguardo la vaccinazione del personale da utilizzare per regolare l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni? In questo articolo risponderemo a questa ed altre domande relative alla gestione dei dati personali attraverso le indicazioni sull’argomento fornite dal Garante per la privacy.

Vaccino Covid e privacy: il punto del Garante

I dati vaccinali sono dati di natura sensibile attenendo allo stato sanitario dei soggetti. Come evidenziato dal Garante, il datore di lavoro non può chiedere ai dipendenti informazioni riguardo il loro stato vaccinale, né documenti comprovanti l’avvenuta vaccinazione anti Covid-19. Il divieto resta anche in presenza di consenso espresso, ai sensi degli artt. 7 e 9 e del Considerando 43 del Regolamento generale sulla protezione dei dati.
Secondo il d. lgs. n. 81/2008 (Testo Unico sulla Salute e Sicurezza sul Lavoro) solo il medico competente può trattare i dati sanitari dei lavoratori nell’ambito della sorveglianza sanitaria. Tra questi, nel caso, vi possono essere informazioni sulla vaccinazione contro il virus SARS-CoV2. Il medico competente può fornire al datore di lavoro i soli giudizi di idoneità relativi ai lavoratori e le relative prescrizioni e/o limitazioni.

Misure speciali di protezione

Sulla questione vaccino Covid e privacy si resta in attesa di un intervento del legislatore nazionale. Questi dovrà valutare se, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, la vaccinazione anti Covid-19 sia requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni.
Al momento, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro che comporta livelli di rischio elevati per i lavoratori, trovano applicazione le “misure speciali di protezione” previste dall’art. 279 nell’ambito del Titolo X del D. Lgs. n. 81/2008, da attuarsi sempre su parere del medico competente. Tra queste figurano:

Covid-19 e trattamento dei dati

Non c’è solo la questione relativa al vaccino Covid e privacy. Parlando di trattamento di dati nel contesto lavorativo in questa fase di convivenza con la pandemia, va ricordato che:

Vaccino Covid e privacy

I casi previsti dalla norma

Come detto, i dati personali relativi alle specifiche patologie di cui sono affetti i lavoratori possano essere trattati solo dal personale sanitario qualificato. Tuttavia, in alcuni casi (ad esempio quando informato dal dipendente interessato o dalle autorità sanitarie), il datore di lavoro può venire a conoscenza dell’identità del dipendente che è o è stato affetto da Covid-19. Analogamente può venire a conoscenza dell’avvenuta negativizzazione del tampone oro/nasofaringeo per riammettere sul luogo di lavoro dipendenti già risultati positivi al Covid-19.
In sintesi, il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore solo nei casi normativamente previsti. Ovvero per finalità di salute e sicurezza dei luoghi di lavoro o per adempiere agli obblighi di collaborazione con gli operatori di sanità pubblica.

Rilevazione della temperatura corporea

Anche la rilevazione della temperatura corporea, quando associata all’identità del soggetto interessato, costituisce una forma di trattamento di dati personali. Quando si tratta di ammettere dipendenti, visitatori, clienti e fornitori agli ambienti lavorativi, è necessario rilevare la loro temperatura corporea con un termoscanner. Per questioni di privacy, non è ammessa la registrazione del dato rilevato. Tuttavia, qualora sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro, è consentita la registrazione della sola circostanza del superamento della soglia di temperatura stabilita dalla legge, ovvero 37,5°.

Siamo a disposizione per offrirvi tutta la consulenza necessaria dal punto di vista della tutela dei dati e della privacy anche in relazione all’attuale emergenza sanitaria. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Vaccino Covid e privacy: cosa succede all’estero?

Abbiamo visto all’inizio come affrontare la questione vaccino Covid e privacy in Italia alla luce delle normative attualmente vigenti. A titolo informativo vediamo cosa prevede invece la norma negli altri Paesi.


FRANCIAGERMANIARUSSIAREGNO UNITOUSA
L’azienda può imporre l’obbligo di vaccinazione?No, il datore di lavoro non può imporre il vaccinoNo, in quanto non obbligatorio per legge e interferisce con il diritto del singolo all’integrità fisicaSe previsto da norme regionali (come in effetti avviene)No, ma potrebbe farlo se dimostra che è la soluzione praticabile più ragionevole per ridurre il rischioSì, se la non vaccinazione costituisce un pericolo diretto per gli altri lavoratori
L'azienda può imporre l’obbligo di test anti Covid?Solo su base volontaria Sì, per proteggere la salute dei dipendenti. Chi non accetta può essere lasciato a casa senza stipendio o licenziatoSe previsto da norme regionali (come in effetti avviene)Può incoraggiare a farlo, ma non può insistere nel farsi comunicare il risultatoSì, la normativa consente di effettuare test medici correlati alle necessità dell’attività da svolgere
Si può chiedere ai dipendenti se sono vaccinati?NoIn linea generale no, ma in determinate situazioni può essere la legge a richiedere che l’azienda verifichi se il dipendente è vaccinatoSolo su consenso del lavoratore o nei casi previsti dalle normePuò chiedere, ma essi non sono obbligati a rispondereNon ci sono indicazioni specifiche
È previsto il licenziamento in caso di mancata vaccinazione?No, finché il vaccino non sarà obbligatorio per leggeSi può sospendere e poi licenziare il dipendente, se questi non può essere impiegato utilmente No. Può essere sospeso il lavoratore che non si è vaccinato seppur obbligato a farlo per leggeNo, ma in alcuni settori si potrebbero prevedere sanzioni disciplinariSì, se non può essere impiegato in altro modo

Fonte: Ius Laboris 

Partono i controlli sull’attuazione da parte delle aziende e dei professionisti del regolamento GDPR, il Regolamento Generale sulla Protezione dei Dati. La Deliberazione del 6 febbraio 2020, sancisce l’attività ispettiva di iniziativa curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza. In questo post vedremo come avvengono i controlli relativi alle norme sulla privacy e come prepararsi, quali sono le aziende soggette agli accertamenti ispettivi e quali sono i documenti maggiormente richiesti.

Come avvengono i controlli GDPR

Gli accertamenti ispettivi sono condotti dal Nucleo Speciale Privacy della Guardia di Finanza e, nei casi più gravi, da funzionari del Garante i quali procedono personalmente alle ispezioni. Le ispezioni possono essere annunciate tramite comunicazione a mezzo PEC, spesso il giorno prima dell’ispezione stessa, ma possono anche avvenire a sorpresa. Per questo motivo è opportuno individuare i soggetti preposti alla gestione degli ispettori.
Le attività ispettive possono scaturire sia a seguito di una segnalazione da parte di uno o più soggetti interessati, o d’ufficio, su iniziativa del Garante. Durante suddetti controlli verrà richiesto di comprovare l’accountability, ossia dimostrare di aver attuato misure opportune, efficaci e adeguate per salvaguardare i dati personali trattati. In fase di controllo del Garante, infatti, l’azienda deve saper dimostrare, in maniera logica e documentata, quanto fatto per adempiere alla normativa sulla protezione dei dati personali.

Come prepararsi ai controlli GDPR

È segno di “accountability” che le figure aziendali deputate a relazionarsi con gli ispettori siano pronte al momento dei controlli GDPR, che in genere durano tra i 2 e i 3 giorni. I soggetti in questione saranno: 

Ecco alcuni consigli pratici per affrontare al meglio un’eventuale ispezione:

I documenti richiesti

In un articolo precedente, abbiamo affrontato il tema dei documenti da produrre per la GDPR. Durante un’ispezione privacy vengono, in genere, richiesti i seguenti documenti:

Sanzioni

Nel 2019 le sanzioni legate alle violazioni del GDPR hanno sfiorato i 16 milioni di euro. L’ammontare della multa è calcolato in percentuale rispetto al fatturato globale annuo mondiale di chi tratta i dati e colpiscono anche le grandi piattaforme e società nordamericane che trattano i dati degli europei. Infatti, il regolamento GDPR viene applicato anche a società che non hanno sede in Unione Europea. Le sanzioni terranno conto dei seguenti fattori:

Le violazioni si dividono in due macro categorie. Esse comprendono:

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista dei controlli GDPR, in particolare per dotarvi delle procedure e prassi necessarie a dimostrare “accountability”. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Il contributo aggiuntivo Fondimpresa è uno strumento pensato per dare alle piccole e medie imprese maggiori possibilità di utilizzare il proprio Conto Formazione, le cui risorse sono proporzionali al numero dei dipendenti.
Con l’Avviso 2/2019 Fondimpresa ha stanziato un contributo aggiuntivo di 20 milioni di euro per la realizzazione di piani formativi aziendali o interaziendali rivolti ai lavoratori delle PMI aderenti.
Fondimpresa è un fondo interprofessionale, ovvero un organismo di natura associativa (di cui abbiamo parlato in un precedente post) il cui scopo è quello di rendere accessibili alle aziende attività di formazione dirette ai lavoratori. 

Progetti finanziabili con il contributo aggiuntivo Fondimpresa

Tramite il contributo aggiuntivo Fondimpresa sono finanziabili i corsi di formazione di qualsiasi tipo. Da questi è, però, esclusa la formazione obbligatoria. Ogni piano dovrà prevedere la presenza di almeno 5 allievi in formazione per almeno 12 ore.

Il contributo aggiuntivo Fondimpresa finanzia piani formativi sia aziendali sia interaziendali. Anche su ambiti multi regionali. Tra gli altri, è possibile presentare progetti che prevedono corsi su:

Come procedere

Per poter accedere al contributo aggiuntivo Fondimpresa è necessario essere iscritti a questo fondo interprofessionale e possedere le credenziali. Si tratta di una procedura complessa, che possiamo portare a termine per vostro conto, dietro delega. Per ulteriori informazioni contattaci.

La presentazione delle domande per usufruire di Fondimpresa sarà consentita dalle ore 9:00 del 17 febbraio 2020 fino alle ore 13:00 del 20 aprile 2020 (click day). I fondi saranno assegnati fino ad esaurimento. L’attivazione del piano formativo deve partire dal 17 gennaio 2020.

Importi previsti

Il contributo aggiuntivo Fondimpresa è concesso ai piani aziendali o interaziendali presentati sul “Conto Formazione” per un importo compreso tra 1.500 e 10.000 euro per azienda, nel rispetto dell’intensità massima consentita in base al regime di aiuti applicato e sulla base del maturando iniziale dell’anno in corso su tutte le matricole del Conto Formazione aziendale.

Informazioni sul contributo aggiuntivo Fondimpresa

Il contributo aggiuntivo Fondimpresa non prevede in nessun caso l’utilizzo dei voucher formativi. Inoltre, è richiesta alle PMI interessate la presenza di un saldo attivo sul proprio Conto Formazione, risultante dalla somma degli importi effettivamente disponibili su tutte le matricole INPS per cui l’azienda ha aderito al Fondo (somma degli importi della voce “Disponibile” su tutte le matricole del conto aziendale).

Le aziende devono aver maturato sul proprio Conto Formazione un accantonamento medio annuo, al lordo degli eventuali utilizzi per piani formativi, non superiore a euro 10.000,00

Dal contributo aggiuntivo Fondimpresa è esclusa anche l’attività formativa organizzata per conformare le imprese alla normativa nazionale obbligatoria in materie sicurezza sul lavoro

Possono beneficiare di tale contributo esclusivamente le PMI in possesso dei requisiti dell’Avviso che:

Tempistiche del piano formativo

Le attività formative dovranno essere avviate entro 30 giorni dalla notifica di autorizzazione.

Qualora l’azienda abbia necessità di realizzare con urgenza le azioni formative del Piano, può avviare le attività sotto la propria responsabilità anche subito dopo la presentazione del

piano tramite l’apposita funzionalità “Avvio anticipato”. In tal caso, l’azienda dichiara di essere consapevole che, in caso di esito negativo dell’istruttoria, nulla potrà richiedere a Fondimpresa a titolo di finanziamento del Piano stesso.

Fondimpresa provvede all’annullamento del Piano, le cui spese restano interamente a carico dell’Azienda titolare, nel caso in cui non siano pervenute le integrazioni richieste entro i termini previsti e per scadenza dei 180 giorni di durata massima del piano senza azioni formative svolte e valide.

Il contributo aggiuntivo Fondimpresa sarà concedibile in “regime de minimis” o in 651/2014, al netto di eventuali importi afferenti al maturando impegnato a preventivo e non rendicontabili in quanto non maturati a consuntivo, nel rispetto dei tempi massimi al fine della rendicontazione del piano.

Contattaci per accedere al contributo aggiuntivo Fondimpresa. Ci trovi ad Arzignano in provincia di Vicenza.

Foto di 3D Animation Production Company da Pixabay

Nell'ultimo periodo giorni è stata rilevata nella zona dell’Ovest Vicentino la circolazione di virus tramite PEC. Si tratta solo dell’ultimo episodio di rischio telematico in ordine di tempo e non sarà certo l’ultimo. Ricordiamo ad esempio la violazione del sistema informatico avvenuto nel marzo dello scorso anno ai danni del pronto soccorso dell’ospedale di Arzignano. L'attacco era avvenuto sempre tramite Posta elettronica certificata, con un tipo di malware chiamato ransomware. È bene quindi non abbassare la guardia su questo aspetto della sicurezza aziendale.

I ransomware e la posta elettronica certificata

Un ransomware è un programma dannoso che attacca un dispositivo elettronico. Come? Criptandone i contenuti, ovvero rendendoli inutilizzabili da parte del proprietario del computer. Quest’ultimo, per poter tornare in possesso dei propri dati, è costretto a pagare un riscatto (in inglese: "ransom") a chi ha lanciato l’attacco. Senza garanzia, va ricordato, che dopo il pagamento l’hacker gli invii i codici per liberare il proprio computer dal virus.
La PEC (posta elettronica certificata), com’è noto, è un tipo di posta elettronica, obbligatoria per tutte le aziende dal 2012, che ha valore legale analogo ad una raccomandata con ricevuta di ritorno.  In teoria, si tratta di un metodo di comunicazione più sicuro dei comuni servizi email. Ma anche la PEC può nascondere delle insidie. Infatti, i ransomware hanno trovato modo per intrufolarsi anche qui..

Come attaccano i virus tramite PEC

Ma come avvengono questi attacchi di virus tramite PEC? Travestendosi da contenuto ufficiale. Dato che le PEC vengono usate prevalentemente dalle aziende e dalle pubbliche amministrazioni, i ransomware potrebbero essere inseriti negli allegati. Ad esempio, una fattura in scadenza o comunicazioni simili. Il mittente spesso è un contatto realmente presente nella propria rubrica, ignaro propagatore del virus in quanto a sua volta vittima di hacker.
Allegato a queste mail difficilmente distinguibili da una reale, c’è un file che contiene una “macro” infetta. Una macro è un piccolo software che si può inserire in un documento di testo o foglio di calcolo. Attivandola si aprono le porte al virus. Questo cripta tutti i dati del computer (documenti, foto, video, database, ecc), rendendoli illeggibili e inutilizzabili. Questo rappresenta un problema di per sé, perché la perdita di documenti e informazioni può minare l'attività. Ma dopo l’introduzione del GDPR si configura anche come un “data breach”, ovvero una violazione di dati personali.

L’Importanza di sicurezza informatica

È importante sapersi difendere da tutti i malware, compresi gli attacchi di virus tramite PEC. Ciò anche perché il regolamento europeo sulla privacy prescrive alle aziende di mettere in campo tutte le misure adeguate e necessarie per proteggere i dati personali in loro possesso. Innanzitutto installando un antivirus efficace e affidabile. Poi attraverso la formazione e l’informazione del personale sulle procedure corrette da seguire. La prima causa di attacco informatico infatti è l’errore umano.  Una norma di buonsenso è di sospettare di tutta la posta elettronica. Inoltre non abilitare le macro e, in caso di dubbio, evitare di aprire gli allegati. Potete trovare altri consigli di sicurezza informatica anche in un precedente articolo del nostro blog.

Ricordiamo che le spese finalizzate alle attività di formazione finalizzate all’acquisizione o al consolidamento, da parte del personale dipendente delle competenze nelle tecnologie rilevanti per la realizzazione del processo di trasformazione tecnologica e digitale delle imprese previsto dal Piano nazionale Impresa 4.0 sono finanziabili col bonus formazione 4.0.

Data breach e sanzioni

Se il computer di una pubblica amministrazione o di un’azienda viene infettato da un ransomware o altro virus tramite PEC o è attaccato dagli hacker cosa si rischia oltre alla perdita dei dati? In caso di data breach, il fatto va notificato al Garante della privacy entro 72 ore da quando se ne viene a conoscenza. Nel caso che le misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione risultino inadeguate, il GDPR applica la sanzione pecuniaria pari al 2% del fatturato dell'intera società. Fino a 10 milioni di euro. Nel caso di un data breach non notificato, le autorità assumono che le misure di sicurezza fossero inadeguate. In tale caso si applica una doppia sanzione.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Business photo created by creativeart - www.freepik.com

A che punto siamo il GDPR? Il nuovo regolamento europeo sulla protezione dei dati personali è entrato in vigore il 25 maggio 2018 e l’italia si è adeguata lo scorso settembre con il D.Lgs. 101/2018. È stato previsto un periodo di prima applicazione di otto mesi per consentire, in particolare alle PMI, di adeguarsi alle nuove disposizioni. Questa fase transitoria terminerà dunque il 19 maggio 2019 (e ad un anno dall’entrata in vigore europea). Per facilitare l’apprendimento del nuovo regolamento, Federprivacy ha organizzato un interessante corso online.

“Privacy Cafè”

Il corso ricalca volutamente il format della fortunata sitcom TV “Camera Cafè”. Ogni puntata, costruita come se fosse il “break” di un corso di formazione sul tema, dura circa un minuto e mezzo. Le lezioni sono in tutto dieci e affrontano specifici punti del GDPR. Alla fine di ogni video viene verificato l’apprendimento dell’allievo. Per portare a termine il compito si hanno trenta minuti e al termine, in caso di esito positivo, si ottiene un attestato di partecipazione.

I nostri corsi in arrivo

Ricordiamo che per poter svolgere legittimamente le proprie mansioni riguardanti la manipolazione di qualunque dato personale, i lavoratori devono essere autorizzati dal datore di lavoro e istruiti sulle nozioni basilari della legge sulla privacy, come previsto dall’art.29 del Regolamento UE 2016/679. Per questo nelle prossime settimane lanceremo un calendario di corsi di formazione per lavoratori specifcamente dedicato al GDPR. Stay tuned...

Un percorso non facile

Il percorso di adozione del nuovo regolamento europeo GDPR è ben lungi dall’essere terminato in Italia. “Le grandi imprese hanno cominciato, e spero concluso, la fase di adeguamento al nuovo regolamento – ha affermato negli scorsi giorni Antonello Soro – e spero anche la Pubblica amministrazione centrale. Ma siamo consapevoli delle difficoltà che affrontano le piccole imprese”. Fino ad ora i controlli si sono concentrati su aziende che gestiscono grandi banche dati (come istituti di credito o società di telemarketing). Dopo il 19 maggio, tuttavia, terminerà il periodo transitorio che fino ad ora ha concesso alle PMI il tempo di aggiornarsi.

Responsabilità civile sulla protezione dei dati

Il mancato rispetto del regolamento GDPR sulla protezione dei dati personali comporta sia sanzioni amministrative, sia sanzioni penali. Le sanzioni amministrative si applicano in due casi:

Responsabilità penale

Le sanzioni penali saranno applicabili nei seguenti casi:

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy e ad indicarvi la modalità di gestione delle vecchie autorizzazioni. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Questa settimana scocca l'ora X per GDPR. Da venerdì 25 maggio, infatti, in tutta l'UE entra in vigore il nuovo regolamento sul trattamento dei dati personali. Ne abbiamo parlato ampiamente in questi ultimi mesi, ma molte aziende (vicentine e non solo) hanno ancora dubbi da chiarire sull'argomento. Per questo riprendiamo la rubrica "GDPR in pratica" con cui prendiamo in esame i problemi concreti delle imprese. Nell'ultimo post avevamo parlato dei più comuni tipi di trattamento. Oggi vi forniamo la lista dei documenti da produrre e un riassunto sulle figure fondamentali previste da GDPR.

Cliccando qui potrete scaricare inoltre una check list con cui verificare se siete pronti a GDPR.

I documenti da produrre

Le figure della privacy

GDPR prevede che il titolare del trattamento (persona fisica o giuridica) individui soggetti che collaborano alla gestione dei dati.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018 e ad indicarvi la modalità per dotarvi dei documenti da produrre. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Valutazione d’impatto sul trattamento dei dati. In inglese “Privacy impact assessment” (PIA). Sono termini con i quali le aziende dovranno familiarizzare in fretta. Hanno a che fare con il nuovo regolamento europeo sulla privacy, GDPR, che entrerà in vigore il prossimo 25 maggio. Vi abbiamo già spiegato che fra le novità introdotte c’è il principio dell’accountability. Oggi vi spieghiamo che rapporto esiste tra GDPR e PIA.

Il principio dell’accountability

Accountability” è un termine inglese che significa “responsabilità”. Nel mondo anglosassone con questa espressione si indica la responsabilità degli amministratori circa la corretta ed efficace gestione delle risorse. GDPR adotta questo principio introducendo per i titolari la responsabilità di garantire la correttezza delle procedure relative al trattamento dei dati personali, per evitare il rischio di furti o utilizzi indebiti.

Accountability e PIA

L’accountability rappresenta un principio estremamente rigoroso, la cui violazione può comportare pesanti sanzioni. Il nuovo regolamento europeo sulla privacy prevede infatti multe fino al 4% del fatturato di un’azienda. Introdotta dal regolamento europeo sulla privacy 679/2016, la valutazione d’impatto PIA sul trattamento dei dati è lo strumento che permette di ottemperare a tale principio

La valutazione d’impatto sul trattamento dei dati

La valutazione d’impatto PIA sul trattamento dei dati è obbligatoria per quei trattamenti che - per natura dei dati, oggetto, contesto, o finalità - presentano rischi specifici previsti dall’art. 35 di GDPR. Lo stesso articolo precisa le modalità della valutazione che deve analizzare:

I rischi connessi alla tecnologia

Continui scandali (Wannacry e Cambridge Analitica fra gli ultimi) dimostrano quanto l’avvento di nuove tecnologie imponga requisiti sempre più stringenti per tutelare il diritto alla privacy. Il principio dell’accountability, di conseguenza, vale anche per la gestione dei dati con mezzi informatici. Ciò significa che le aziende devono poter dimostrare di aver adottato tutte le misure necessarie.

I vantaggi della valutazione d’impatto PIA

Implementare una valutazione d’impatto PIA sul trattamento dei dati, anche quando non obbligatoria, porta a vantaggi per le aziende:

Siamo a disposizione per fornirvi la consulenza necessaria a implementare una valutazione d’impatto PIA sul trattamento dei dati e in generale ad offrirvi la formazione necessaria ad affrontare il cambiamento in materia di privacy . Per ulteriori informazioni, contattaci. Ci trovi ad Arzignano in provincia di Vicenza.

Siamo lieti di invitarvi al secondo seminario gratuito che abbiamo organizzato per il mese di marzo in collaborazione con Dasa-Rägister. Dopo il primo incontro su ISO 9001:2015, la prossima settimana spostiamo il focus su “GDPR 2016/679: il nuovo regolamento europeo sulla privacy”, a cui tutte le aziende devono adeguarsi entro il 25 maggio.

Dove e quando

Il seminario gratuito si svolgerà mercoledì 14 marzo 2018, dalle 14 alle 18, nella nostra sede di via dell’Industria 48/c ad Arzignano. Sarà l’occasione per approfondire i cambiamenti introdotti dal nuovo regolamento europeo GDPR in materia di dati personali con un esperta: la dott.ssa Virginia Basiricò, consulente specializzata in materia di privacy e risorse umane.

A chi è rivolto il seminario gratuito

L’incontro è rivolto ad imprenditori e responsabili aziendali della privacy. GDPR riguarda tutte le imprese che trattano dati personali in forma digitale o cartacea (circa il 90% del totale). Non ci sono distinzioni di dimensione (grandi aziende, PMI, studi professionali) e settore. Per le imprese non in regola, il nuovo regolamento UE prevede sanzioni fino al 4% del fatturato.

Contenuti

Come abbiamo già scritto in questo blog, GDPR sostituirà il Codice sulla privacy (la normativa vigente oggi in Italia) attribuendo nuovi obblighi alle organizzazioni e nuovi diritti ai cittadini. Scopo del seminario è illustrare l'impatto di queste novità sugli attuali sistemi di gestione della privacy. E delineare quali cambiamenti sono richiesti in concreto alle aziende.

Al termine del corso verrà rilasciato un attestato di partecipazione

Adeguarsi conviene

GDPR non è solo un obbligo, ma anche un’opportunità. Per le imprese, in effetti, adeguarsi al nuovo regolamento non serve solo ad evitare sanzioni. La svolta in materia di tutela dei dati richiede di ripensare le procedure interne. Divenendo un'occasione per renderle più sicure, efficienti e trasparenti. Adottando un nuovo approccio all’uso dei dati personali.

Per iscrizione e maggiori informazioni sui contenuti del seminario o sulla transizione verso il nuovo standard ISO 9001:2015, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Protezione dei dati personali e reti informatiche: due concetti sempre più connessi fra loro con l’entrata in vigore di Gdpr. A ricordarcelo sono due ricorrenze di questi giorni. Oggi è il Safer Internet Day: evento organizzato a livello internazionale per promuovere un uso più sicuro e responsabile del web. La settimana scorsa, il 30 gennaio, si è celebrata invece la Giornata europea per la protezione dei dati personali, che mira a sensibilizzare i cittadini sul diritto alla privacy.

Internet, privacy e “accountability”

Vi abbiamo già spiegato che cos’è Gdpr, il nuovo regolamento europeo sulla privacy che scatta il prossimo 25 maggio 2018. Oggi invece ci focalizziamo sulla connessione tra protezione dei dati personali e sicurezza delle reti aziendali imposta dalla nuova norma che riguarderà da subito tutte le imprese e i professionisti italiani. Gdpr infatti introduce il principio dell’“accountability” (responsabilità), che obbliga ad assumere tutte le misure idonee alla tutela della privacy.

Protezione dei dati personali

Gdpr, in altre parole, sposta sulle aziende l’onere della prova di aver fatto tutto il possibile per proteggere i dati personali in loro possesso (e per garantire ad ogni cittadino di avere pieno controllo sui propri dati). Questo richiede certamente una protezione delle reti informatiche da accessi esterni che possono compromettere la privacy. Meno automatico, invece, è pensare ai cambiamenti nell’organizzazione interna richiesti dal nuovo regolamento europeo.

Chi ha accesso ai nostri dati?

C’è un recente studio dell’Harvard Business Review che dovrebbe far riflettere. Secondo gli autori, in media il 70% dei lavoratori ha accesso a dati a cui non dovrebbe. Si tratta solo di un esempio della condizione di opacità nella tutela dei dati personali a cui Gdpr vuole dare un giro di vite. Anche attraverso pesanti sanzioni. Adeguarsi potrebbe richiedere alle organizzazioni un miglioramento tecnologico. Ancor prima, tuttavia, è richiesto a tutti un cambiamento culturale.

Una cultura della privacy

Il nuovo regolamento europeo sulla privacy in effetti obbliga ogni azienda a fare una riflessione sulle proprie procedure interne. A creare regole, standard e controlli necessari alla protezione dei dati personali. E a garantire al contempo la loro utilizzabilità nei processi decisionali. Da sempre noi diffondiamo nell’Ovest vicentino la cultura della sicurezza sui luoghi di lavoro. Ora possiamo essere anche i vostri partner per adottare una nuova cultura della privacy.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Come abbiamo già ricordato in un precedente post, una delle principali novità per le aziende nel 2018 riguarda il trattamento dei dati personali. Il prossimo 25 maggio, infatti, entrerà in vigore il nuovo regolamento europeo 2016/679 sulla privacy (Gdpr). La nuova norma comporta diversi cambiamenti che riguardano tutte le aziende. (E può rappresentare anche un’opportunità). La sua violazione, tuttavia, comporta pesanti sanzioni.

Nuove norme sulla privacy

Il nuovo regolamento ha l’obiettivo di garantire a tutti i cittadini dell’Unione pieno controllo sui propri dati personali. Al contempo uniformerà le norme dei Paesi membri in materia di privacy. Tra i suoi effetti, quindi, Gdpr favorirà la circolazione dei dati all’interno dell’Ue, oggi molto limitata a causa delle differenti legislazioni. Pur definendo regole stringenti, quindi, Gdpr diventerà anche un’opportunità strategica per le aziende.

Quali sono le novità introdotte?

Gdpr in Italia andrà a sostituire l’attuale “Codice in materia di protezione dei dati personali” e la Direttiva CE 95/46. Le novità principali riguardano:

Cosa cambia per le aziende?

Il nuovo regolamento 2016/679 comporta per le aziende che trattano dati personali (praticamente tutte!) diversi cambiamenti a livello organizzativo:

Retroattività e sanzioni

Le sanzioni per il mancato rispetto del regolamento sono particolarmente severe, comprese tra il 2 e il 4% del fatturato globale annuo dell’azienda che commette illecito. Per quanto riguarda la retroattività il Regolamento sancisce che non occorre rinnovare le richieste di consenso per il trattamento dei dati se questo è stato espresso secondo modalità conformi nella disciplina previgente.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Nei primi mesi del 2018 le aziende dovranno affrontare diverse rivoluzioni nel campo della sicurezza sul lavoro. Da maggio scattano due normative europee: Reach, che riguarda le sostanze chimiche, e Gdpr, relativo alla privacy. Si attende inoltre entro marzo la nuova Iso 45001, primo standard internazionale certificabile sulla gestione per la sicurezza sul lavoro. Slitta invece di un anno l’entrata in vigore del nuovo regolamento sui rifiuti: il Sistri.

Reach: il via a maggio 2018

Il Reach è il nuovo regolamento europeo sulla chimica e riguarda tutte le sostanze prodotte o importate in quantità superiore a una tonnellata. Entro il 31 maggio 2018, queste dovranno essere tutte registrate al presso l’Echa l'Agenzia europea per le sostanze chimiche. Per produzioni/importazioni di oltre 10 tonnellate, inoltre, è richiesta la stesura di una relazione sulla sicurezza chimica. La registrazione deve avvenire attraverso l'applicazione Iuclid.

Novità in materia di tutela dei dati

Il regolamento Gdpr entrerà in vigore qualche giorno prima del Reach, il 25 maggio. Mira a proteggere la privacy imponendo alle aziende una stretta sulla gestione dei dati personali in loro possesso. In particolare esse devono dimostrare di aver implementato misure di governance dell’informazione, data protection, un approccio “privacy by design”. In caso contrario rischiano multe fino fino a 20 milioni di euro o al 4% del fatturato annuo.

Iso 45001: sicurezza certificabile

Dovrebbero terminare il 25 gennaio la penultima fase della pubblicazione di Iso 45001. In caso di esito positivo, il testo finale dello standard dovrebbe essere pubblicato entro febbraio/marzo. Iso 45001 è lo standard che permette l’implementazione di un sistema di gestione cetificabile per la salute e sicurezza sul lavoro. I suoi obiettivi sono:

Rifiuti: Sistri rimandato al 2019

Doveva terminare il 31 dicembre il regime transitorio del nuovo sistema di tracciabilità dei rifiuti, il Sistri. Invece la finanziaria 2018 ha prorogato di un anno questo passaggio e previsto nel frattempo di apportare ulteriori semplificazioni alla norma. Non scatteranno quindi le multe per chi non si è ancora messo in regola con il nuovo sistema, ma le aziende faranno bene tenersi aggiornati sulle modifiche che saranno introdotte durante l'anno.

Siamo a disposizione per offrirvi tutta la consulenza necessaria ad adempiere alle norme Reach e Gdpr entro maggio 2018 e per mettersi in regola col Sistri entro dicembre. Ci stiamo preparando inoltre per assistervi nell’implementazione di un sistema per la gestione della sicurezza Iso 45001. Per maggiori informazioni, contattaci.

E_LABO SRL
Via dell’Industria 48/C int.1 - 36071 Arzignano (VI)
C.F. e P.IVA IT 03093450249 | REA VI - 298371
Tel: 0444 478406 | E-mail: e-labo@e-labo.it
Created by Hassel Omnichannel
crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram