logo elabo bianco 20 anni

Nell'ultimo periodo giorni è stata rilevata nella zona dell’Ovest Vicentino la circolazione di virus tramite PEC. Si tratta solo dell’ultimo episodio di rischio telematico in ordine di tempo e non sarà certo l’ultimo. Ricordiamo ad esempio la violazione del sistema informatico avvenuto nel marzo dello scorso anno ai danni del pronto soccorso dell’ospedale di Arzignano. L'attacco era avvenuto sempre tramite Posta elettronica certificata, con un tipo di malware chiamato ransomware. È bene quindi non abbassare la guardia su questo aspetto della sicurezza aziendale.

I ransomware e la posta elettronica certificata

Un ransomware è un programma dannoso che attacca un dispositivo elettronico. Come? Criptandone i contenuti, ovvero rendendoli inutilizzabili da parte del proprietario del computer. Quest’ultimo, per poter tornare in possesso dei propri dati, è costretto a pagare un riscatto (in inglese: "ransom") a chi ha lanciato l’attacco. Senza garanzia, va ricordato, che dopo il pagamento l’hacker gli invii i codici per liberare il proprio computer dal virus.
La PEC (posta elettronica certificata), com’è noto, è un tipo di posta elettronica, obbligatoria per tutte le aziende dal 2012, che ha valore legale analogo ad una raccomandata con ricevuta di ritorno.  In teoria, si tratta di un metodo di comunicazione più sicuro dei comuni servizi email. Ma anche la PEC può nascondere delle insidie. Infatti, i ransomware hanno trovato modo per intrufolarsi anche qui..

Come attaccano i virus tramite PEC

Ma come avvengono questi attacchi di virus tramite PEC? Travestendosi da contenuto ufficiale. Dato che le PEC vengono usate prevalentemente dalle aziende e dalle pubbliche amministrazioni, i ransomware potrebbero essere inseriti negli allegati. Ad esempio, una fattura in scadenza o comunicazioni simili. Il mittente spesso è un contatto realmente presente nella propria rubrica, ignaro propagatore del virus in quanto a sua volta vittima di hacker.
Allegato a queste mail difficilmente distinguibili da una reale, c’è un file che contiene una “macro” infetta. Una macro è un piccolo software che si può inserire in un documento di testo o foglio di calcolo. Attivandola si aprono le porte al virus. Questo cripta tutti i dati del computer (documenti, foto, video, database, ecc), rendendoli illeggibili e inutilizzabili. Questo rappresenta un problema di per sé, perché la perdita di documenti e informazioni può minare l'attività. Ma dopo l’introduzione del GDPR si configura anche come un “data breach”, ovvero una violazione di dati personali.

L’Importanza di sicurezza informatica

È importante sapersi difendere da tutti i malware, compresi gli attacchi di virus tramite PEC. Ciò anche perché il regolamento europeo sulla privacy prescrive alle aziende di mettere in campo tutte le misure adeguate e necessarie per proteggere i dati personali in loro possesso. Innanzitutto installando un antivirus efficace e affidabile. Poi attraverso la formazione e l’informazione del personale sulle procedure corrette da seguire. La prima causa di attacco informatico infatti è l’errore umano.  Una norma di buonsenso è di sospettare di tutta la posta elettronica. Inoltre non abilitare le macro e, in caso di dubbio, evitare di aprire gli allegati. Potete trovare altri consigli di sicurezza informatica anche in un precedente articolo del nostro blog.

Ricordiamo che le spese finalizzate alle attività di formazione finalizzate all’acquisizione o al consolidamento, da parte del personale dipendente delle competenze nelle tecnologie rilevanti per la realizzazione del processo di trasformazione tecnologica e digitale delle imprese previsto dal Piano nazionale Impresa 4.0 sono finanziabili col bonus formazione 4.0.

Data breach e sanzioni

Se il computer di una pubblica amministrazione o di un’azienda viene infettato da un ransomware o altro virus tramite PEC o è attaccato dagli hacker cosa si rischia oltre alla perdita dei dati? In caso di data breach, il fatto va notificato al Garante della privacy entro 72 ore da quando se ne viene a conoscenza. Nel caso che le misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione risultino inadeguate, il GDPR applica la sanzione pecuniaria pari al 2% del fatturato dell'intera società. Fino a 10 milioni di euro. Nel caso di un data breach non notificato, le autorità assumono che le misure di sicurezza fossero inadeguate. In tale caso si applica una doppia sanzione.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Business photo created by creativeart - www.freepik.com

A che punto siamo il GDPR? Il nuovo regolamento europeo sulla protezione dei dati personali è entrato in vigore il 25 maggio 2018 e l’italia si è adeguata lo scorso settembre con il D.Lgs. 101/2018. È stato previsto un periodo di prima applicazione di otto mesi per consentire, in particolare alle PMI, di adeguarsi alle nuove disposizioni. Questa fase transitoria terminerà dunque il 19 maggio 2019 (e ad un anno dall’entrata in vigore europea). Per facilitare l’apprendimento del nuovo regolamento, Federprivacy ha organizzato un interessante corso online.

“Privacy Cafè”

Il corso ricalca volutamente il format della fortunata sitcom TV “Camera Cafè”. Ogni puntata, costruita come se fosse il “break” di un corso di formazione sul tema, dura circa un minuto e mezzo. Le lezioni sono in tutto dieci e affrontano specifici punti del GDPR. Alla fine di ogni video viene verificato l’apprendimento dell’allievo. Per portare a termine il compito si hanno trenta minuti e al termine, in caso di esito positivo, si ottiene un attestato di partecipazione.

I nostri corsi in arrivo

Ricordiamo che per poter svolgere legittimamente le proprie mansioni riguardanti la manipolazione di qualunque dato personale, i lavoratori devono essere autorizzati dal datore di lavoro e istruiti sulle nozioni basilari della legge sulla privacy, come previsto dall’art.29 del Regolamento UE 2016/679. Per questo nelle prossime settimane lanceremo un calendario di corsi di formazione per lavoratori specifcamente dedicato al GDPR. Stay tuned...

Un percorso non facile

Il percorso di adozione del nuovo regolamento europeo GDPR è ben lungi dall’essere terminato in Italia. “Le grandi imprese hanno cominciato, e spero concluso, la fase di adeguamento al nuovo regolamento – ha affermato negli scorsi giorni Antonello Soro – e spero anche la Pubblica amministrazione centrale. Ma siamo consapevoli delle difficoltà che affrontano le piccole imprese”. Fino ad ora i controlli si sono concentrati su aziende che gestiscono grandi banche dati (come istituti di credito o società di telemarketing). Dopo il 19 maggio, tuttavia, terminerà il periodo transitorio che fino ad ora ha concesso alle PMI il tempo di aggiornarsi.

Responsabilità civile sulla protezione dei dati

Il mancato rispetto del regolamento GDPR sulla protezione dei dati personali comporta sia sanzioni amministrative, sia sanzioni penali. Le sanzioni amministrative si applicano in due casi:

Responsabilità penale

Le sanzioni penali saranno applicabili nei seguenti casi:

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy e ad indicarvi la modalità di gestione delle vecchie autorizzazioni. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Valutazione d’impatto sul trattamento dei dati. In inglese “Privacy impact assessment” (PIA). Sono termini con i quali le aziende dovranno familiarizzare in fretta. Hanno a che fare con il nuovo regolamento europeo sulla privacy, GDPR, che entrerà in vigore il prossimo 25 maggio. Vi abbiamo già spiegato che fra le novità introdotte c’è il principio dell’accountability. Oggi vi spieghiamo che rapporto esiste tra GDPR e PIA.

Il principio dell’accountability

Accountability” è un termine inglese che significa “responsabilità”. Nel mondo anglosassone con questa espressione si indica la responsabilità degli amministratori circa la corretta ed efficace gestione delle risorse. GDPR adotta questo principio introducendo per i titolari la responsabilità di garantire la correttezza delle procedure relative al trattamento dei dati personali, per evitare il rischio di furti o utilizzi indebiti.

Accountability e PIA

L’accountability rappresenta un principio estremamente rigoroso, la cui violazione può comportare pesanti sanzioni. Il nuovo regolamento europeo sulla privacy prevede infatti multe fino al 4% del fatturato di un’azienda. Introdotta dal regolamento europeo sulla privacy 679/2016, la valutazione d’impatto PIA sul trattamento dei dati è lo strumento che permette di ottemperare a tale principio

La valutazione d’impatto sul trattamento dei dati

La valutazione d’impatto PIA sul trattamento dei dati è obbligatoria per quei trattamenti che - per natura dei dati, oggetto, contesto, o finalità - presentano rischi specifici previsti dall’art. 35 di GDPR. Lo stesso articolo precisa le modalità della valutazione che deve analizzare:

I rischi connessi alla tecnologia

Continui scandali (Wannacry e Cambridge Analitica fra gli ultimi) dimostrano quanto l’avvento di nuove tecnologie imponga requisiti sempre più stringenti per tutelare il diritto alla privacy. Il principio dell’accountability, di conseguenza, vale anche per la gestione dei dati con mezzi informatici. Ciò significa che le aziende devono poter dimostrare di aver adottato tutte le misure necessarie.

I vantaggi della valutazione d’impatto PIA

Implementare una valutazione d’impatto PIA sul trattamento dei dati, anche quando non obbligatoria, porta a vantaggi per le aziende:

Siamo a disposizione per fornirvi la consulenza necessaria a implementare una valutazione d’impatto PIA sul trattamento dei dati e in generale ad offrirvi la formazione necessaria ad affrontare il cambiamento in materia di privacy . Per ulteriori informazioni, contattaci. Ci trovi ad Arzignano in provincia di Vicenza.

Siamo lieti di invitarvi al secondo seminario gratuito che abbiamo organizzato per il mese di marzo in collaborazione con Dasa-Rägister. Dopo il primo incontro su ISO 9001:2015, la prossima settimana spostiamo il focus su “GDPR 2016/679: il nuovo regolamento europeo sulla privacy”, a cui tutte le aziende devono adeguarsi entro il 25 maggio.

Dove e quando

Il seminario gratuito si svolgerà mercoledì 14 marzo 2018, dalle 14 alle 18, nella nostra sede di via dell’Industria 48/c ad Arzignano. Sarà l’occasione per approfondire i cambiamenti introdotti dal nuovo regolamento europeo GDPR in materia di dati personali con un esperta: la dott.ssa Virginia Basiricò, consulente specializzata in materia di privacy e risorse umane.

A chi è rivolto il seminario gratuito

L’incontro è rivolto ad imprenditori e responsabili aziendali della privacy. GDPR riguarda tutte le imprese che trattano dati personali in forma digitale o cartacea (circa il 90% del totale). Non ci sono distinzioni di dimensione (grandi aziende, PMI, studi professionali) e settore. Per le imprese non in regola, il nuovo regolamento UE prevede sanzioni fino al 4% del fatturato.

Contenuti

Come abbiamo già scritto in questo blog, GDPR sostituirà il Codice sulla privacy (la normativa vigente oggi in Italia) attribuendo nuovi obblighi alle organizzazioni e nuovi diritti ai cittadini. Scopo del seminario è illustrare l'impatto di queste novità sugli attuali sistemi di gestione della privacy. E delineare quali cambiamenti sono richiesti in concreto alle aziende.

Al termine del corso verrà rilasciato un attestato di partecipazione

Adeguarsi conviene

GDPR non è solo un obbligo, ma anche un’opportunità. Per le imprese, in effetti, adeguarsi al nuovo regolamento non serve solo ad evitare sanzioni. La svolta in materia di tutela dei dati richiede di ripensare le procedure interne. Divenendo un'occasione per renderle più sicure, efficienti e trasparenti. Adottando un nuovo approccio all’uso dei dati personali.

Per iscrizione e maggiori informazioni sui contenuti del seminario o sulla transizione verso il nuovo standard ISO 9001:2015, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Protezione dei dati personali e reti informatiche: due concetti sempre più connessi fra loro con l’entrata in vigore di Gdpr. A ricordarcelo sono due ricorrenze di questi giorni. Oggi è il Safer Internet Day: evento organizzato a livello internazionale per promuovere un uso più sicuro e responsabile del web. La settimana scorsa, il 30 gennaio, si è celebrata invece la Giornata europea per la protezione dei dati personali, che mira a sensibilizzare i cittadini sul diritto alla privacy.

Internet, privacy e “accountability”

Vi abbiamo già spiegato che cos’è Gdpr, il nuovo regolamento europeo sulla privacy che scatta il prossimo 25 maggio 2018. Oggi invece ci focalizziamo sulla connessione tra protezione dei dati personali e sicurezza delle reti aziendali imposta dalla nuova norma che riguarderà da subito tutte le imprese e i professionisti italiani. Gdpr infatti introduce il principio dell’“accountability” (responsabilità), che obbliga ad assumere tutte le misure idonee alla tutela della privacy.

Protezione dei dati personali

Gdpr, in altre parole, sposta sulle aziende l’onere della prova di aver fatto tutto il possibile per proteggere i dati personali in loro possesso (e per garantire ad ogni cittadino di avere pieno controllo sui propri dati). Questo richiede certamente una protezione delle reti informatiche da accessi esterni che possono compromettere la privacy. Meno automatico, invece, è pensare ai cambiamenti nell’organizzazione interna richiesti dal nuovo regolamento europeo.

Chi ha accesso ai nostri dati?

C’è un recente studio dell’Harvard Business Review che dovrebbe far riflettere. Secondo gli autori, in media il 70% dei lavoratori ha accesso a dati a cui non dovrebbe. Si tratta solo di un esempio della condizione di opacità nella tutela dei dati personali a cui Gdpr vuole dare un giro di vite. Anche attraverso pesanti sanzioni. Adeguarsi potrebbe richiedere alle organizzazioni un miglioramento tecnologico. Ancor prima, tuttavia, è richiesto a tutti un cambiamento culturale.

Una cultura della privacy

Il nuovo regolamento europeo sulla privacy in effetti obbliga ogni azienda a fare una riflessione sulle proprie procedure interne. A creare regole, standard e controlli necessari alla protezione dei dati personali. E a garantire al contempo la loro utilizzabilità nei processi decisionali. Da sempre noi diffondiamo nell’Ovest vicentino la cultura della sicurezza sui luoghi di lavoro. Ora possiamo essere anche i vostri partner per adottare una nuova cultura della privacy.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

E_LABO SRL
Via dell’Industria 48/C int.1 - 36071 Arzignano (VI)
C.F. e P.IVA IT 03093450249 | REA VI - 298371
Tel: 0444 478406 | E-mail: e-labo@e-labo.it
Created by Hassel Omnichannel
crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram