GDPR... (ri)parliamone...

GiGa

Moderatore
Staff Forum
Professione: Progettista/Disegnatore
Software: Mechanical, Inventor, 3DS Max
Regione: Roma
"(ri)parliamone" perchè, stranamente, non ho trovato altre discussioni che ne parlino ma forse io non sono stato capace di trovarla...

Da maggio di quest'anno è in vigore la normativa europea inerente la protezione dei dati personali, alla quale ogni attività lavorativa (compresi quindi lavoratori autonomi) deve adeguarsi...
Volendo evitare gli "sciacalli", che quando ci sono questi adempimenti necessari si propongono come risolutori di tutti i problemi ovviamente a prezzi spropositati, la fonte principale di informazioni resta il Web (applicando i dovuti filtri)... ma non si può dire sia un argomento facile, perlomeno nell'attuazione pratica corretta.

La maggior parte delle informazioni che si trovano, sono inerenti ad aziende o lavoratori autonomi/professionisti con dati riservati davvero sensibili (medici, avvocati, commercialisti, etc) o che comunque lavorano con i privati. Pochissimo si trova per chi deve gestire solo qualche indirizzo mail e qualche numero di telefono di altre aziende o di qualche fornitore...

Ho cercato di adeguarmi, ponendo in essere tutto ciò che ritenevo piu' corretto, ma "lo sbaglio in buona fede" è sempre dietro l'angolo ed a me, lavoratore autonomo con P.Iva, restano molti dubbi magari banali ma, viste le sanzioni possibili, da non sottovalutare.
Per esempio:

- Lavorando da casa, il mio pc è in uso "promiscuo" casa-lavoro. Questo vuol dire che, per esempio in rubrica, oltre ai dati dei (pochissimi) clienti ho la raccolta di 25 e passa anni di contatti personali privati... di questi, che me ne faccio? Da che ho capito, in teoria dovrei richiedere la liberatoria per il trattamento dei dati personali a molti di questi. Magari anche a gente che non sento da 20 anni? Ok, potrei cancellarli ma non basterebbe comunque per risolvere la questione.

- Questione smartphone: lì dentro c'è sempre piu' la vita di ognuno di noi... piu' che criptarlo, accesso con pin e dati biometrici, che altro?

- Ho la fortuna/sfortuna di lavorare con pochissimi clienti dei quali ho contatti personali diretti con dipendenti... dovrei chiedere la liberatoria al singolo dipendente? Il giorno in cui un dipendente mi dà la mail di un suo collega che nemmeno conosco (in genere nella forma nome.cognome@ditta.it, quindi diventa "dato sensibile" in quanto riconducibile alla persona), dovrei chiedergli la liberatoria?

- Cerco di mantenere il sistema informatico di casa nelle massime condizioni di sicurezza, compatibili con una realtà SoHo... ma è risaputo anche che, per principio, tutte le reti e tutti i pc sono vulnerabili... ma se il backup (per esempio del .pst di Outlook) che ho nel cloud (tipo OneDrive o Google Drive o Dropbox) venisse compromesso, ne sarei responsabile io?
La soluzione semplice sarebbe quella di appoggiarsi a sistemi "certificati" per GDPR, ma i costi comincerebbero ad essere insostenibili per realtà individuali così "semplici"...

Qualcuno di voi, ha "affrontato" queste mie perplessità? Come vi comportate con il GPDR?
 

Utente cancellato 70856

Guest
potresti aggiungere una risposta automatica ogni volta che ricevi una mail
accetti il trattamento dei dati personali etc....
e quando la spedisci aggiungila alla firma
non dimenticare che anche gli altri hanno i tuoi dati personali
 

cacciatorino

Moderatore SolidEdge
Staff Forum
Professione: Ingegnere meccanico
Software: SolidEdge CoCreate Salome-Meca
Regione: Porto Recanati, ma con l'appennino nel cuore
Riuppo questa discussione, perche' un consulente mi ha chiamato per propormi la sua soluzione per mettermi in regola, che si limitava a vendermi un firewall fisico fra il modem e la rete (1300 euro + IVA) e monitorarlo da remoto per modiche 350 euro/anno.

Alcune info accessorie sono anche in quest'altra discussione:


Anche io come l'OP ho fatto qualche ricerca in internet ma ho capito solo due cose:

1) Il 99% dei link esplicativi che si trovano sono di aziende di consulenza informatica che hanno l'interesse principale di vendere prodotti e servizi e non quello di chiarire la questione

2) Per essere in regola col GDPR mi pare che si debba scrivere (e seguire) un documento in cui si descrive come si trattano i dati.

Domanda:
vedo che il mio modem TIM (fibra) ha gia' un firewall integrato. Sara' sufficiente per essere in regola, almeno sotto questo aspetto? Chiaramente qui' non trattiamo solo dati sanitari, ma al limite qualche email e numero telefonico.

Ogni contributo che approfondisca l'argomento e' benvenuto comunque.
 

stevie

Utente Standard
Professione: Ingegnere meccanico
Software: Solidedge, Cosmos
Regione: Lombardia
Riuppo questa discussione, perche' un consulente mi ha chiamato per propormi la sua soluzione per mettermi in regola, che si limitava a vendermi un firewall fisico fra il modem e la rete (1300 euro + IVA) e monitorarlo da remoto per modiche 350 euro/anno.

Alcune info accessorie sono anche in quest'altra discussione:


Anche io come l'OP ho fatto qualche ricerca in internet ma ho capito solo due cose:

1) Il 99% dei link esplicativi che si trovano sono di aziende di consulenza informatica che hanno l'interesse principale di vendere prodotti e servizi e non quello di chiarire la questione

2) Per essere in regola col GDPR mi pare che si debba scrivere (e seguire) un documento in cui si descrive come si trattano i dati.

Domanda:
vedo che il mio modem TIM (fibra) ha gia' un firewall integrato. Sara' sufficiente per essere in regola, almeno sotto questo aspetto? Chiaramente qui' non trattiamo solo dati sanitari, ma al limite qualche email e numero telefonico.

Ogni contributo che approfondisca l'argomento e' benvenuto comunque.

il problema secondo me è che non è sufficiente un semplice "adeguamento" alla GDPR, ma sarebbe auspicabile anche una copertura assicurativa che risponda in caso di violazione dei dati personali posseduti sui computer aziendali, perchè per quanto si possano utilizzare firewall, antivirus, antimalware, etc qualunque sistema è a rischio.
So che alcune aziende acquistano il pacchetto completo adeguamento, messa in sicurezza rete informatica e assicurazione, i costi non li so ma non credo siano noccioline, e poi si entra nel solito giro degli abbonamento annuali che vanno a gravare sui costi.

Per quanto riguarda l'uso promiscuo computer personale + professionale io consiglio di dedicare all'attività professionale un computer dedicato il più libero possibile da dati personali di persone non strettamente legate alla professione svolta.
 

TETRASTORE

Utente Senior
Professione: Founder di TETRAPOWER SRL
Software: Solid Edge
Regione: Emilia Romagna
E' vero che per essere in regola col GDPR non e' possibile usare software di protezione (antivirus, firewall, etc) gratuiti, ma vanno obbligatoriamente presi quelli a pagamento?
Non è vero; questo è ciò che dice chi vuole vendere il proprio prodotto, basti pensare che a Facebook, che sicuramente ha sistemi di protezione all'avanguardia, recentemente sono stati sottratti dati di 533 milioni di utenti di cui 37 milioni solo in Italia. Questo significa che qualunque sistema può presentare delle vulnerabilità, la possibilità di una violazione dipende, secondo me, da quale valore può attribuire un Hacker al tuo archivio dati, ovviamente come nel caso di Facebook sopra citato, chi cercherà di violare milioni di account per trarne profitto, avrà delle competenze di molto superiori da chi vuole cercare di bloccarti il computer o ti ha rubato il cellulare con pochi nominativi, per il quale come deterrente può essere sufficiente un semplice antivirus od altro software di protezione gratuito, come per esempio anche la protezione biometrica già disponibile gratuitamente in molti smartphone.

E' necessario evidenziare inoltre che secondo quanto previsto dal GDPR chi deve adeguarsi non può limitarsi ad alcuni adempimenti “formali” (che pure sono previsti) ma deve concretamente ed effettivamente adottare le misure di sicurezza per tutelare il trattamento dei dati personali. Il problema è che queste non vengono indicate ma la loro individuazione è lasciata ai soggetti obbligati, secondo il principio di auto-responsabilizzazione.
È inutile ricercare nel GDPR cosa fare in pratica, poiché il regolamento si limita a obbligare le aziende ad auto responsabilizzarsi.
Alla luce del GDPR cosa bisogna fare per mettersi in regola (essere cioè GDPR compliant) dipende dal tipo di trattamento che l’azienda intende effettuare con i dati personali: il regolamento impone di adottare le misure di sicurezza devono essere “adeguate” al trattamento dei dati personali. Secondo il GDPR cosa fare in pratica è lasciato alla auto-valutazione di ogni singola azienda (per esempio, le misure ed i sistemi di sicurezza di un ospedale dovranno essere molto più sofisticati di quelli di una piccola o micro impresa senza dipendenti che deve gestire qualche centinaio di nominativi con un livello di rischio basso, per le quali può essere sufficiente l'adozione di un semplice antivirus).

Comunque i punti fondamentali da tenere in considerazione sono:
- individuare la quantità e tipologia dei dati trattati, delle procedure e chi può accedervi
- effettuare un valutazione dei rischi e redigere un apposito documento (vedi esempio)
- definire, redigere e divulgare la procedura per la gestione di un Data Breach (vedi esempio)
- effettuare la valutazione di impatto sulla protezione dei dati DPIA (solo se necessaria).
I due esempi che ho riportato sopra sono riferiti a realtà diverse che gestiscono moltissimi dati sensibili, però sono documenti che possono essere utili dal punto di vista dell'approccio per prendere spunto ed adeguarli alla propria situazione.

Non mi dilungo ulteriormente, ma consiglio di leggere Il GDPR per le piccole (e piccolissime) imprese redatto da un avvocato dotato di senso pratico che risponde in modo semplice e a molti quesiti in materia.
 

Statistiche forum

Discussioni
55,991
Messaggi
477,634
Utenti registrati
96,836
Ultimo utente registrato
pinom

Top