Servizi digitali: quali obiettivi

Le nuove regole sono proporzionate, promuovono l’innovazione, la crescita e la competitività e facilitano l’ampliamento delle piattaforme più piccole, delle PMI e delle start-up. Le responsabilità di utenti, piattaforme e autorità pubbliche vengono riequilibrate secondo i valori europei, mettendo al centro i cittadini. Le regole

  • Proteggere meglio i consumatori e i loro diritti fondamentali online
  • Stabilire una forte trasparenza e un chiaro quadro di responsabilità per le piattaforme online
  • Promuovere l’innovazione, la crescita e la competitività all’interno del mercato unico
Per i cittadini Migliore tutela dei diritti fondamentali Più scelta, prezzi più bassi Minore esposizione a contenuti illegali
Per i fornitori di servizi digitali Certezza del diritto, armonizzazione delle regole Più facile da avviare e scalare in Europa
Per gli utenti business dei servizi digitali Più scelta, prezzi più bassi Accesso ai mercati dell’UE tramite piattaforme Parità di condizioni contro i fornitori di contenuti illegali
Per la società in generale Maggiore controllo democratico e supervisione sulle piattaforme sistemiche Mitigazione dei rischi sistemici, come manipolazione o disinformazione

Quali fornitori sono coperti?

La legge sui servizi digitali include regole per i servizi di intermediario online, che milioni di europei utilizzano ogni giorno. Gli obblighi dei diversi giocatori online corrispondono al loro ruolo, dimensione e impatto nell’ecosistema online.

Servizi intermediari offrono infrastruttura di rete: provider di accesso a Internet, registrazione di nomi di dominio; 
Servizi di hosting come servizi di cloud e web hosting;
Piattaforme online che riuniscono venditori e consumatori come mercati online, App store, piattaforme di economia collaborativa e piattaforme di social media;
Le piattaforme online molto grandi pongono rischi particolari nella diffusione di contenuti illegali e danni alla società. Norme specifiche sono previste per le piattaforme che raggiungono oltre il 10% dei 450 milioni di consumatori in Europa.  

Tutti gli intermediari online che offrono i loro servizi nel mercato unico, siano essi stabiliti nell’UE o all’esterno, dovranno rispettare le nuove regole. Le micro e le piccole imprese avranno obblighi proporzionati alle loro capacità e dimensioni, garantendo al tempo stesso che rimangano responsabili. Inoltre, anche se le micro e le piccole imprese crescessero in modo significativo, beneficerebbero di un’esenzione mirata da una serie di obblighi durante un periodo transitorio di 12 mesi.

Nuovi obblighi

Obbligazioni CumulativeServizi intermediariServizi di hostingPiattaforme onlinePiattaforme molto grandi
Reportistica sulla trasparenza
Requisiti sulle condizioni di servizio dovuta considerazione dei diritti fondamentali
Cooperazione con le autorità nazionali a seguito di ordini
Punti di contatto e, ove necessario, legale rappresentante
Avviso e azione e obbligo di fornire informazioni agli utenti
Denunciare reati
Meccanismo di reclamo e ricorso e risoluzione extragiudiziale delle controversie
Segnalatori affidabili
Provvedimenti contro avvisi e controdenuncia abusivi
Obblighi speciali per i mercati, ad es. credenziali di controllo di fornitori terzi (“KYBC”), compliance by design, controlli casuali
Divieto di pubblicità mirata ai bambini e di quelle basate su particolari caratteristiche degli utenti
Trasparenza dei sistemi di raccomandazione
Trasparenza della pubblicità online rivolta agli utenti
Obblighi di gestione del rischio e risposta alle crisi
Audit esterno e indipendente, funzione di conformità interna e responsabilità pubblica
Scelta dell’utente di non avere consigli basati sulla profilazione
Condivisione dei dati con autorità e ricercatori
Codici di condotta
Cooperazione di risposta alle crisi

Quale impatto dei nuovi obblighi

La legge sui servizi digitali migliora notevolmente i meccanismi per la rimozione dei contenuti illegali e per l’effettiva protezione dei diritti fondamentali degli utenti online, inclusa la libertà di parola. Crea inoltre un più forte controllo pubblico delle piattaforme online, in particolare per le piattaforme che raggiungono oltre il 10% della popolazione dell’UE.

 Ciò significa concretamente:

  • misure per contrastare beni, servizi o contenuti illegali online, come un meccanismo per consentire agli utenti di segnalare tali contenuti e per consentire alle piattaforme di collaborare con i “segnalatori attendibili”.
  • nuovi obblighi sulla tracciabilità degli utenti aziendali   nei mercati online, per aiutare a identificare i venditori di beni illegali o sforzi ragionevoli da parte dei mercati online per verificare casualmente se prodotti o servizi sono stati identificati come illegali in qualsiasi database ufficiale.
  • garanzie efficaci per gli utenti, inclusa la possibilità di contestare le decisioni di moderazione dei contenuti delle piattaforme.
  • divieto di determinati tipi di pubblicità mirate sulle piattaforme online (quando prendono di mira bambini o quando utilizzano categorie speciali di dati personali, come etnia, opinioni politiche, orientamento sessuale)
  • misure di trasparenza per le piattaforme online su una serie di questioni, compresi gli algoritmi utilizzati per le raccomandazioni.
  • obblighi per piattaforme molto grandi e motori di ricerca online molto grandi di prevenire l’uso improprio dei loro sistemi adottando azioni basate sul rischio e mediante audit indipendenti dei loro sistemi di gestione del rischio
  • accesso per i ricercatori ai dati chiave delle piattaforme e dei motori di ricerca più grandi, per capire come si evolvono i rischi online.
  • struttura di supervisione per affrontare la complessità dello spazio online: i paesi dell’UE avranno il ruolo primario, supportati da un nuovo consiglio europeo per i servizi digitali; per piattaforme molto grandi, la supervisione e l’applicazione da parte della Commissione.

Quali i prossimi passi

Una volta che la legge sarà formalmente adottata dai colegislatori dell’UE, sarà pubblicata nella Gazzetta ufficiale dell’Unione europea ed entrerà in vigore venti giorni dopo la sua pubblicazione. Il DSA sarà direttamente applicabile in tutta l’UE e si applicherà 15 mesi dopo l’entrata in vigore o dal 1° gennaio 2024, a seconda dell’evento successivo. Per quanto riguarda gli obblighi per piattaforme online molto grandi e motori di ricerca online molto grandi, i DSA si applicheranno a partire da una data precedente, ovvero quattro mesi dopo che sono stati designati come entranti nella categoria delle piattaforme online molto grandi o dei motori di ricerca online.

Nuove regole per gli utenti

Il Digital Services Act e il Digital Markets Act creano uno spazio digitale più sicuro e più aperto per tutti gli utenti, dove i loro diritti fondamentali sono protetti e dove hanno accesso a servizi digitali di qualità a prezzi inferiori.

Un ambiente online più sicuro

Oggi, le piattaforme online possono essere utilizzate in modo improprio per diffondere contenuti illegali come incitamento all’odio, contenuti terroristici o materiale pedopornografico, nonché per vendere merci pericolose e prodotti contraffatti, o per offrire servizi illegali, esponendo i cittadini a danni.

Secondo l’indagine Eurobarometro del 2018, il 61% dei cittadini dell’UE intervistati afferma di essersi imbattuto in contenuti illegali online e il 65% afferma di non ritenere che Internet sia sicuro per l’uso.

Cosa cambia la nuova legge sui servizi digitali:

– Modi semplici e chiari per segnalare contenuti, beni o servizi illegali su piattaforme online;
– Obblighi di due diligence per le piattaforme e obblighi più forti per piattaforme molto grandi, dove si verificano i danni più gravi

Le autorità saranno meglio attrezzate per proteggere i cittadini controllando le piattaforme e applicando le norme insieme in tutta l’Unione.

Consumatori più protetti

Oggi i diritti fondamentali dei cittadini europei non sono adeguatamente tutelati online. Le piattaforme possono ad esempio decidere di eliminare i contenuti degli utenti, senza informare l’utente o fornire una possibilità di riparazione. Ciò ha forti implicazioni per la libertà di parola degli utenti.

Il 92% degli intervistati ritiene che la trasparenza da parte dei fornitori di servizi sia importante per proteggere la libertà di espressione degli utenti, sulla base del rapporto della consultazione pubblica aperta sulla legge sui servizi digitali.

Cosa cambia la nuova legge sui servizi digitali:

Gli utenti sono informati e possono contestare la rimozione dei contenuti da parte delle piattaforme;
Gli utenti avranno accesso ai meccanismi di risoluzione delle controversie nel proprio paese;
Termini e condizioni trasparenti per le piattaforme;
Più sicurezza e migliore conoscenza dei veri venditori dei prodotti che gli utenti acquistano;
Obblighi più forti per le piattaforme online molto grandi di valutare e mitigare i rischi a livello dell’organizzazione generale del loro servizio per i diritti degli utenti, dove le restrizioni dei diritti e i rischi di diffusione virale di contenuti illegali o dannosi hanno il maggiore impatto;
Meccanismi di risposta rapida alle crisi con misure aggiuntive di gestione del rischio per le crisi di salute pubblica e sicurezza;
Nuove tutele per i minori;
Divieto di pubblicità mirata su piattaforme online rivolte a minori o che utilizzano dati personali sensibili

Accesso ai dati delle piattaforme per consentire ai ricercatori di comprendere i rischi per la società e i diritti fondamentali.

Cittadini e utenti responsabili

Oggi le piattaforme ottimizzano la presentazione delle informazioni per catturare l’attenzione e aumentare le entrate, ma i loro utenti spesso non sono consapevoli di come i loro sistemi ordinano i contenuti e di come le piattaforme li profilano. La manipolazione dei sistemi di raccomandazione e l’abuso dei sistemi pubblicitari possono alimentare una pericolosa disinformazione e la propagazione di contenuti illegali.

Il 70% degli intervistati ritiene che la disinformazione si diffonda manipolando processi algoritmici su piattaforme online, secondo il rapporto della consultazione pubblica aperta sul Digital Services Act.

Cosa cambia la nuova legge sui servizi digitali:

Piattaforme online molto grandi e motori di ricerca molto grandi dovranno progettare i loro sistemi per affrontare i rischi della disinformazione;
Verifica indipendente della loro gestione del rischio, anche per i loro sistemi algoritmici;
Trasparenza delle regole per la moderazione dei contenuti;
Informazioni significative sulla pubblicità e gli annunci mirati: chi ha sponsorizzato l’annuncio, come e perché si rivolge a un utente. Divieto di alcune pubblicità mirate;
Informazioni chiare sul motivo per cui il contenuto è consigliato agli utenti;
Diritto degli utenti di rinunciare ai consigli sui contenuti basati sulla profilazione;
Migliore accesso ai dati per autorità e ricercatori per comprendere meglio la viralità online e il suo impatto al fine di ridurre i rischi per la società;
La partecipazione delle piattaforme ai codici di condotta come misura per mitigare i rischi.

Servizi digitali di qualità ad un prezzo inferiore

Il ruolo sistemico di alcune piattaforme online incide sulla vita di miliardi di utenti e milioni di aziende in Europa. Alcune aziende hanno un forte impatto, controllano l’accesso e sono radicate nei mercati digitali. Possono imporre condizioni ingiuste di prendere o lasciare sia agli utenti aziendali che ai consumatori.

Il 60% degli intervistati afferma che i consumatori non hanno scelte e alternative sufficienti per quanto riguarda le piattaforme online, mostra il rapporto della Consultazione pubblica aperta su un nuovo strumento per la concorrenza.

Cosa cambia il nuovo Digital Markets Act:

Divieto delle pratiche sleali, aprendo la possibilità agli utenti business di offrire ai consumatori più scelte di servizi innovativi;
Migliore interoperabilità con servizi alternativi a quelli dei gatekeeper;
Possibilità più facili per i consumatori di cambiare piattaforma se lo desiderano;
Servizi migliori e prezzi più bassi per i consumatori

Nuove regole per le imprese

La legge sui servizi digitali e la legge sui mercati digitali creano condizioni di parità che consentiranno alle imprese digitali innovative di crescere all’interno del mercato unico e competere a livello globale.

Innovativa piattaforma online in espansione nell’UE

  • Ci sono più di10,000 piattaforme nell’UE
  • 90% di questi sono piccole e medie imprese

I servizi digitali nell’UE devono attualmente fare i conti con 27 diversi insiemi di norme nazionali. Solo le aziende più grandi possono far fronte ai costi di conformità che ne derivano.

Cosa cambia la nuova legge sui servizi digitali:
Le stesse regole si applicheranno in tutta l’Unione e costituiranno la base di un ampio mercato interno per la crescita e la prosperità dei servizi digitali. Si prevede che il commercio digitale transfrontaliero nel mercato unico aumenterà fino al 2%;
I piccoli attori avranno certezza del diritto per sviluppare servizi e proteggere gli utenti da attività illegali e saranno supportati da standard, codici di condotta e linee guida;
Piccole e microimprese sono esentate dagli obblighi più onerosi, ma sono libere di applicare le migliori pratiche, per il loro vantaggio competitivo;
Sostegno allo scale-up: le esenzioni per le piccole imprese sono prorogate per 12 mesi dopo che superano le soglie di fatturato e personale che le qualificano come piccole imprese. 

Aziende legittime fiorenti

Il 61% degli intervistati in un sondaggio Eurobarometro ha affermato di essersi imbattuto in contenuti illegali online e il 66,5% ha affermato di non ritenere che Internet sia sicuro per gli utenti.

Affrontando le attività illegali e i prodotti online, le attività legittime possono prosperare online.

Cosa cambia la nuova legge sui servizi digitali:
Rimozione dei disincentivi per le aziende ad adottare misure volontarie per proteggere i propri utenti da contenuti, beni o servizi illegali;
Le aziende utilizzeranno nuovi meccanismi semplici ed efficaci per segnalare contenuti e beni illegali che violano i loro diritti, compresi i diritti di proprietà intellettuale, o competere a livello sleale;
Le aziende possono anche diventare “segnalatori affidabili” di contenuti o beni illegali, con procedure prioritarie speciali e una stretta cooperazione con le piattaforme

Obblighi rafforzati per i mercati di applicare misure dissuasive, come le politiche “conosci il tuo cliente aziendale”, compiere sforzi ragionevoli per eseguire controlli casuali sui prodotti venduti sul loro servizio o adottare nuove tecnologie per la tracciabilità dei prodotti.

La gestione delle risorse umane

Le risorse umane sono un aspetto particolarmente sensibile di cui tenere conto, sia per la tutela dei dati personali dei lavoratori, che per l’impatto di una corretta gestione nei confronti del GDPR.

Le risorse umane

Un ambito comune a tutte le organizzazioni, siano private o pubbliche, che ogni DPO si ritrova a dover analizzare e sorvegliare, riguarda la gestione delle risorse umane, a prescindere dalla forma contrattuale del rapporto di lavoro instaurato.

Per poter svolgere al meglio le proprie mansioni, è importante che il DPO abbia cognizione degli ambienti di trattamento svolti, per individuare conseguentemente i soggetti coinvolti.

E’ possibile differenziare le categorie di attività a seconda che siano svolte:

  1. esclusivamente all’interno dell’organizzazione;
  2. in regime di contitolarità (nei gruppi o nelle reti d’impresa);
  3. facendo ricorso a responsabili del trattamento (es. un centro di elaborazione paghe);
  4. con il coinvolgimento di terze parti (es. medico del lavoro).

Già attraverso un controllo documentale si può riscontrare la capacità dell’organizzazione di rendicontare gli adempimenti normativi.

Attraverso il registro delle attività di trattamento e le informative emerge la presenza dei soggetti individuati a sostegno del GDPR, nei casi di contitolarità e contrattualizzazione dei rapporti con i responsabili del trattamento.

Una particolare attenzione deve essere necessariamente posta sull’individuazione della corretta base giuridica delle attività che prevedono comunicazioni dei dati dei lavoratori e all’eventualità che siano svolti trasferimenti verso paesi terzi come nelle ipotesi di impiego di alcuni servizi cloud anche da parte dei responsabili del trattamento.

Per quanto riguarda le attività di sorveglianza che possono essere oggetto di programmazione, nell’ipotesi in cui siano stati individuati dei responsabili del trattamento è necessario che il DPO sappia indicare all’organizzazione l’opportunità di svolgere degli audit, la loro cadenza, ampiezza e profondità.

Una volta circoscritto così il perimetro dell’area della gestione risorse umane, gli approfondimenti da svolgere devono riguardare prima di tutto l’asseto organizzativo di cui si è dotato il titolare del trattamento al fine di valutare l’efficacia delle misure predisposte per la conformità normativa e la sicurezza dei trattamenti.

Il DPO nei processi che coinvolgono i lavoratori

I processi che è possibile individuare in via generale devono essere riferiti al ciclo di vita dei dati dei lavoratori, caratterizzato dalle seguenti fasi:

  1. selezione del personale;
  2. gestione del rapporto di lavoro;
  3. cessazione del rapporto di lavoro;
  4. conservazione e archiviazione.

da cui è possibile specificarne di ulteriori, a seconda della complessità o dell’esigenza di raggruppare trattamenti analoghi. Il DPO deve informare il titolare o il responsabile circa gli obblighi relativi a ciascuno dei processi individuati avendo cura di precisare anche le intersezioni con la normativa giuslavoristica soprattutto per quanto riguarda limiti e divieti.

Alcuni esempi possono essere la predisposizione di sistemi per il controllo dei lavoratori o il monitoraggio della strumentazione lavorativa, o altrimenti le modalità di svolgimento del colloquio di lavoro e le informazioni che è possibile acquisire.

L’azione di controllo del DPO all’interno di una porzione così sensibile per l’organizzazione, deve essere in sintonia con l’assetto organizzativo, pena che ne sia compromessa l’efficacia o che si creino situazioni in grado di generare un conflitto di interessi.

Ad esempio attraverso la verifica delle modalità mediante le quali i lavoratori sono informati, è possibile verificare il principio di trasparenza, così come il modo in cui gli operatori che accedono ai dati sono autorizzati, istruiti e formati, consente di verificare il principio di integrità e riservatezza.

La verifica delle misure organizzative

Il contratto con il DPO deve essere reso disponibile e diffuso a tutti gli operatori dal momento che sono soggetti interessati al trattamento, ma anche in considerazione di dare definizione ai flussi informativi.

Un ulteriore passaggio rilevante nel controllo del rispetto dei principi del GDPR consiste necessariamente nella verifica delle misure di sicurezza applicate e della loro adeguatezza sia in relazione ai database dei lavoratori sia per quanto riguarda l’aspetto della gestione del rischio connesso al fattore umano che riguarda anche tutte le altre attività di trattamento svolte.

Il controllo del fattore umano

È fondamentale che il DPO vada a valutare le modalità di autorizzazione e accesso ai dati soprattutto in considerazione dei cambi di mansione, delle diverse modalità di svolgimento del lavoro (smart working o telelavoro) e della sospensione o cessazione del rapporto di lavoro. Pur agendo principalmente all’interno della gestione delle risorse umane, il controllo di autorizzazioni, utenze e privilegi non può essere svolto senza coinvolgere anche l’ambito IT dell’organizzazione.

Le politiche di formazione e sensibilizzazione in ambito di sicurezza, alla pari delle misure tecniche, non possono essere verificate solamente per via documentale ma occorre che il DPO svolga degli approfondimenti specifici al fine di verificarne l’efficace attuazione. E a rigor di logica tali approfondimenti devono riguardare un’interazione con tutto il personale.

Diventa così di particolare importanza che gli operatori possano fare riferimento al DPO in modo riservato e senza il timore di ricevere conseguenze negative come conseguenza per eventuali richieste o segnalazioni. Di conseguenza è rilevante il metodo di acquisizione di informazioni o di reporting ai vertici dell’organizzazione.

Decreto trasparenza: specifica

Sistemi decisionali o di monitoraggio automatizzati

Obblighi del datore di lavoro

Art 1-bis del Decreto Legislativo n. 152/1997 obbliga il datore di lavoro a:

“informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. 

Tali informazioni devono essere rese in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”.

È quindi da valutare la presenza di strumenti informatici e sistemi decisionali o di monitoraggio automatizzati utilizzati dal datore di lavoro sia in fase preassuntiva che in fase di svolgimento attività lavorativa.

Molti di questi strumenti di profilazione coinvolgono il settore dell’HR (Human resources) nella fase di selezione (RECRUITING) delle risorse per ottimizzare le decisioni aziendali, come ad esempio:

  • sistemi di raccolta, selezione e screening automatizzati dei CV
  • analisi dei social network (Linkedin, Facebook, Twitter)
  • utilizzo di questionari, form, chatbot online
  • svolgimento di test psicoattitudinali/ psicometrici virtuali
  • videocolloqui e registrazione di questi
  • è fondamentale sapere se l’azienda si avvale di agenzie per il lavoro

È importante anche capire se vi sia uso all’interno dell’azienda di sistemi informatici di controllo, monitoraggio dei dipendenti, anche in caso di SMART WORKING quindi:

  • software o applicazioni di rilevazione delle presenze/assenze
  • software di valutazione delle performance del lavoratore, delle ore di produttività
  • monitoraggio delle mail attraverso sistemi di Logging per valutare il corretto uso della posta
  • videosorveglianza
  • software di key logging: capaci di intercettare e memorizzare ogni tasto premuto dall’utente nella tastiera
  • utilizzo di App di filtraggio o monitoraggio all’interno di tablet, pc, telefoni aziendali
  • installazione di software o strumenti di localizzazione del dipendente
  • ecc.

Nel caso in cui venissero utilizzate queste tipologie di strumenti informatici di profilazione del lavoratore (il cui elenco non è certamente esaustivo) è necessario capire come vengono gestiti, le modalità di raccolta dei dati, la loro conservazione e trasmissione con lo scopo di valutare l’impatto di tali decisioni algoritmiche e applicare quindi le adeguate garanzie per il lavoratore che deve essere debitamente informato.

La privacy nelle riunioni online

Sebbene siamo sempre più consapevoli della necessità di proteggere la nostra privacy e sicurezza online, le riunioni virtuali richiedono l’adozione di misure specifiche.

Le riunioni virtuali

Una caratteristica comune del lavoro e del tele lavoro di oggi, sono le riunioni virtuali online tramite chiamate vocali, video o servizi web, aumentato soprattutto durante e dopo la pandemia.

I rischi più gravi

Trascurare l’organizzazione delle riunioni, senza tener conto dei rischi per la privacy, può facilitare comportamenti sleali da parte di interlocutori, molto spesso criminali informatici .

Adottando alcune precauzioni di base è possibile garantire uno spazio di lavoro efficace e sicuro, evitando incidenti che potrebbero costituire una violazione dei dati personali o comunque compromettere la privacy.

Ecco un breve riepilogo delle linee guida per lavorare in sicurezza, suggerimenti di base da considerare e applicare:

•          Rispetta le politiche stabilite dalla tua organizzazione in merito alle riunioni online. Ciò include l’utilizzo solo del fornitore di tecnologia approvato dall’organizzazione.

•          Nelle riunioni con un gran numero di partecipanti provenienti da più organizzazioni, è consigliabile designare almeno un partecipante per assistere l’organizzatore durante la riunione con il controllo dei partecipanti e problemi di privacy e sicurezza.

•          Pensare in anticipo alla sensibilità delle questioni da affrontare, all’identità dei partecipanti e alla possibile diffusione se l’incontro viene registrato.

•          Limitare il riutilizzo di codici/link di accesso. Se utilizzi lo stesso codice/link da un po’ di tempo, probabilmente lo hai condiviso con più persone di quante tu possa immaginare o ricordare.

•          Se l’argomento della riunione è delicato, a causa della questione da affrontare, dell’identità dei partecipanti o altro, è necessario utilizzare codici monouso, collegamenti e/o pin di accesso. Dovresti anche considerare la necessità di utilizzare l’autenticazione a due fattori. Ciò impedirà a chiunque di essere in grado di partecipare semplicemente determinando l’URL o il codice del collegamento di accesso.

•          Disabilita le funzioni non necessarie come la chat, la condivisione di file o la condivisione dello schermo.

•          Se del caso, limita chi può condividere lo schermo per evitare immagini indesiderate o impreviste. Prima che qualcuno condivida il proprio schermo, ricordagli del rischio di condividere informazioni riservate.

•          Inviare la chiamata solo a contatti specifici, evitando di inviare chiamate a gruppi o mailing list con link validi solo in virtù del loro possesso.

•          Utilizzare una “sala d’attesa” per ammettere i partecipanti e non consentire l’avvio della riunione fino a quando l’organizzatore non si unisce.

•          Abilita la funzione di notifica per quando i partecipanti si uniscono alla riunione. Questo potrebbe essere usando un tono distintivo o annunciando il loro nome. Se il tuo provider non lo consente, assicurati che l’host chieda ai nuovi partecipanti di identificarsi.

•          Se disponibile, utilizza un pannello per controllare i partecipanti e identificare quelli generici.

•          Non registrare la riunione se non necessario. In tal caso, informare opportunamente i partecipanti dello scopo della registrazione e in quale momento inizia/interrompe. Alcuni fornitori effettuano automaticamente questi annunci.

•          Prima di iniziare la riunione, controlla cosa è visibile dietro di te e quali informazioni personali stai rivelando. Prendi in considerazione l’utilizzo di uno sfondo virtuale per nascondere lo spazio dietro di te.

•          Avvisate eventuali conviventi che inizierete una riunione e prendete le misure necessarie per mantenere la loro attività fuori dalla portata del microfono e della telecamera.

•          Al di là dei problemi di efficienza della comunicazione, spegnere il microfono e la videocamera durante la riunione quando non è necessario. In particolare, se hai intenzione di fare qualcosa fuori dal fuoco della fotocamera. Prestare particolare attenzione ai microfoni wireless.

•          Tieni presente che l’acquisizione di video e audio potrebbe continuare, a causa di un errore umano o di sistema, quando ritieni che la riunione sia finita.

•          Al termine della riunione, assicurati di utilizzare un dispositivo che disabiliti fisicamente la fotocamera (scheda, adesivo o simili). Non rimuoverlo fino a quando non viene avviata la connessione.

•          Utilizza solo i servizi di riunione virtuale approvati dalla tua organizzazione per queste situazioni, con crittografia end-to-end e pin o password diversi per ogni partecipante. Dare istruzioni in modo che non vengano condivise.

•          Usa i dashboard dei partecipanti per monitorare chi è nella riunione in ogni momento.

•          Blocca l’accesso alla riunione una volta identificati tutti i partecipanti.

•          Consenti solo agli host di condividere il proprio schermo.

•          Se vengono effettuate registrazioni, devono essere crittografate con un algoritmo potente e password complesse. Elimina tutte le registrazioni che potrebbero essere state archiviate presso il provider.

•          Chiedere esplicitamente ai partecipanti di utilizzare solo dispositivi forniti e/o approvati dall’organizzazione.

E’ importante ricordare di essere consapevoli e attenersi alla policy privacy della propria organizzazione, tenere conto della logistica dell’incontro e adottare le misure appropriate per ogni situazione.

Sicurezza mobile nell’era dello smart working

La rivoluzione smart nel mondo del lavoro, impariamo la cultura della sicurezza.

La rivoluzione nel mondo del lavoro

L’adozione di forme autonome di lavoro, che consentono in autonomia di scegliere luoghi ed orari, rappresenta una formula vincente per lavoratore e datore. Infatti se consente al lavoratore di gestire al meglio il proprio tempo, liberandoli dal vincolo di orari e spostamenti, per il datore di lavoro si traduce in risparmio dei costi nella gestione degli spazi ed un aumento della produttività delle risorse impegnate nella formula “smart”.

Ovviamente tutto questo si è reso possibile grazie alla disponibilità di strumenti digitali che aiutano nel passaggio verso forme di lavoro flessibile e mobile, la presenza di smartphone e dispositivi mobili, così come la tecnologia cloud per la condivisione degli informazioni.

La rivoluzione dello smart working però deve portare ad una maggiore responsabilizzazione nella cyber security.

Con il cloud addio al “perimetro aziendale”

Uno dei punti di riferimento per la messa in atto di strumenti elettronici di protezione dagli attacchi informatici, era l’azienda, il “perimetro” aziendale. Adesso con i servizi cloud, i confini non sono più certi dato che i servizi sono distribuiti in luoghi diversi. I dati aziendali non transitano più su reti che consentono “una protezione” sicura ed evidente (firewall dedicati per esempio), ma in molti casi passano attraverso infrastrutture a cui hanno accesso anche altri utenti ( la rete domestica per esempio) e che come sicurezza non richiamano assolutamente la rete aziendale.

Ecco che i cyber criminali possono “attaccare” in maniera massiccia, con molte possibilità di successo.

Utilizzo del proprio dispositivo mobile: un’arma non sempre vincente

Smartphone e tablet sempre più evoluti, hanno dato una spinta concreta allo smart working, unitamente alla connettività mobile. L’utilizzo del proprio dispositivo mobile, sia per l’attività lavorativa, sia per quanto concerne l’utilizzo privato, è una scelta quasi obbligata.

L’utilizzo di un device ad uso “promiscuo” porta ad una sovrapposizione tra la parte lavorativa e la parte privata, che per sua natura comporta un aumento esponenziale di pirati informatici, che in uno spazio aziendale sarebbero eliminati.

La cultura della sicurezza

Ecco perché oltre ai vari aspetti positivi dello smart working, dovrebbe viaggiare in parallelo, una nuova responsabilizzazione della sicurezza, una nuova cultura.

Oltre al pericolo degli attacchi informatici, non sono da trascurare gli incidenti provocati da semplici errori nell’utilizzo degli strumenti informatici. Infatti condividere con le persone sbagliati dati aziendali, comporta danni inimmaginabili, che potrebbero benissimo essere prevenuti attraverso una formazione specifica del lavoratore.

La privacy e la cyber sicurezza partono da corsi di formazione, dalla cultura del sapere, che dovrebbero responsabilizzare il lavoratore, in qualsiasi luogo svolga il proprio lavoro.

Quanto costa il cybercrime

Gli incidenti di sicurezza hanno costi che a volte non sono considerati. Oltre al danno reputazionale, che può ripercuotersi oltre sul valore dell’azienda stessa, anche sulla percezione esterna quindi clienti e fornitori, devono essere aggiunte le sanzioni collegate alle norme del nuovo Regolamento Generale per la Protezione dei Dati (GDPR), che possono arrivare fino al 4% del fatturato annuo dell’azienda.

Data Protection

L’utilizzo di sistemi cloud per la condivisone del lavoro, apre la strada alla possibilità di accessi non autorizzati. La mitigazione del rischio passa attraverso l’adozione di specifici strumenti che possono garantire la gestione di ciascun dato, in base alle sue caratteristiche.

Ecco alcuni esempi:

  • Monitoraggio degli accessi e delle operazioni sul cloud;
  • Verifica delle applicazioni utilizzate e valutazione del rischio;
  • Classificazione dei dati in base al livello di rilevanza e assegnazione di policy adeguate per l’accesso, la modifica, la condivisione;
  • Crittografia dei dati sensibili.

Il fattore tempo

Oltre gli attacchi informatici, la protezione passa anche dalla capacità di individuare con tempestività eventuali attività anomale, da parte di un utente o di un dispositivo.

Lo smart working pone la problematica di non considerare il fattore tempo come un elemento determinante, infatti un’attività fuori dall’orario di ufficio viene considerata un indizio di compromissione. La soluzione passa attraverso l’utilizzo di un sistema di analisi comportamentale, dove le attività sono analizzate in modo da rilevare eventuali anomalie, sia per il tipo di attività svolta, sia per la tempistica e la posizione geografica.

Protezione della propria identità

L’accesso agli strumenti e ai dati aziendali attraverso piattaforme cloud, mette in evidenza l’importanza della protezione dell’identità (credenziali di accesso) e sul monitoraggio degli accessi da remoto.

Inoltre attraverso la segmentazione della rete si può mitigare il rischio di incidenti di sicurezza, attraverso l’assegnazione di ruoli precisi ad ogni utente.

Quindi:

  • Implementazione di sistemi di autenticazione a due fattori attraverso l’uso di device fisici o sistemi biometrici (riconoscimento facciale o vocale, impronta digitale);
  • Assegnazione di ruoli ai singoli utenti, circoscrivendo i privilegi assegnati;
  • Analisi degli accessi su base geografica e verifica del dispositivo utilizzato

Gestione dispositivi mobile e applicazioni

Per garantire un utilizzo appropriato del dispositivo e la protezione dei dati aziendali, è indispensabile utilizzare strumenti che proteggano le informazioni aziendali e il dispositivo stesso, attraverso funzioni di Mobile Device Management.

  • Separazione tra dati personali e di dati aziendali, anche una volta memorizzati sul dispositivo;
  • Configurazioni di sicurezza a livello di password, PIN e blocco delle funzioni di rooting e jailbreaking;
  • Restrizioni delle App installabili sul dispositivo secondo policies di sicurezza predefinite;
  • Utilizzo delle App di produttività con modalità separata a secondo dell’uso aziendale o personale;
  • Controllo della navigazione attraverso la verifica delle URL verificate.

Protezione dalle minacce esterne

Come abbiamo già molte volte detto, il lavoro in mobilità comporta un maggior rischio di attacchi informatici da parte di hacker e cyber-criminali, dovuto non solo da una minore consapevolezza da parte degli utenti (che spesso sottovalutano i rischi collegati all’utilizzo dello smartphone), ma anche da alcuni aspetti specifici.

Il primo fattore di rischio riguarda la presenza di applicazioni di messaggistica o degli stessi SMS, di per sé sufficiente ad aprire la strada a messaggi di phishing e all’invio di URL malevole.

Un aspetto rilevante è anche quello degli aggiornamenti di sicurezza, la cui applicazione normalmente non è gestita attraversi strumenti di pach management e che lascia la strada libera all’utilizzo di exploit basati su vulnerabilità note. Ultimo fattore è quello ambientale, per esempio nel caso di navigazioni attraverso WI-FI pubbliche e non protette, che possono consentire l’intercettazione dei dati.

  • Implementazione di collegamenti via VPN (Virtual Private Network), per proteggere i dati ricevuti e inviati attraverso sistemi di crittografia;
  • Utilizzo di un antivirus sui dispositivi mobile;
  • Uso di un sistema di patch management sia a livello di sistema che delle applicazioni.

Violazioni digitali in rete

Ricerca Unipol-Ipsos: circa 10 milioni di italiani hanno subito violazioni digitali in rete

Quali violazioni

Dal furto di identità alla clonazione della carta di credito, dalla violazione della privacy al cyber bullismo: sono circa 10 milioni gli italiani che hanno subito violazioni digitali, personalmente o ai danni di un membro della propria famiglia.

Le violazioni coinvolgono soprattutto la cosiddetta “generazione Z” (32% dei casi a persone tra 16 e 26 anni) e gli episodi decrescono all’aumentare dell’età, piano piano fino ad arrivare al “solo” 11% dei Baby Boomers (57-64 anni).

I più esposti sono colore che utilizzano i social network con frequenza medio-elevata, seguiti da persone “esperte nel digitale” e “non esperti. Il furto di identità e la clonazione della carta di credito, sono percepiti più gravi nella navigazione web.

La ricerca compiuta da Changes-Unipol, magazine digitale del gruppo assicurativo Italiano, elaborata da Ipsos. L’indagine si basa su 1720 interviste, su un campione di popolazione di età dai 16 ai 74 anni. A livello territoriale le infrazioni si verificano in maniera uniforme in tutta Italia.

I rischi più gravi nel web

Tra le varie violazioni digitali, una particolare attenzione merita il Cyber bullismo, fenomeno sociale che si sta prepotentemente imponendo come tipica manifestazione della criminalità minorile. I dati confermano che 4 intervistati su 10 valutano il cyber bullismo come un grave rischio, avvertito soprattutto dalle donne ed in generale in tutte le varie fasce di età.

I vari metodi per proteggersi

Per quanto riguarda le contromisure adottate per proteggersi, gli italiani si basano soprattutto sul “fai da te”, fornendo solo i dati personali obbligatori ed indispensabili, mentre una parte degli intervistati ritiene sufficiente non divulgare proprie foto e di minori. Queste misure si accentuano soprattutto nella generazione di età più avanzata, che prende le distanze dai social, mentre la Generazione Z appare meno prudente in relazione soprattutto alla pubblicazione di immagini e foto, soprattutto le proprie.

In questo contesto fatto di rischi digitali più o meno percepiti, si distinguono l’e-commerce ed i pagamenti online: il 77% degli italiani li ritiene infatti sicuri, percentuale che cala in base all’età.

Novità in materia di marketing

La proposta di un codice di condotta di settore ed il nuovo Registro Pubblico delle Opposizioni (RPO)

L’ultima proposta di un codice di condotta per le attività di telemarketing e teleselling

Sin dall’entrata in vigore del nuovo Regolamento Europeo, il Garante della Privacy ha promosso tutta una serie di iniziative rivolte ad accelerare le diverse categorie di soggetti privati verso l’introduzione di un codice di condotta. Anche il GDPR infatti affida alle Autorità di controllo il compito di incoraggiare l’elaborazione dei codici, strumento essenziale per verificare gli obblighi dei Titolari del trattamento e dei Responsabili, tenendo conto dei rischi per i diritti e le libertà delle persone fisiche.

I codici di condotta sono strumenti di autodisciplina con cui le organizzazioni, titolari e responsabili del trattamento, si autoimpongono, su base volontaria, regole di dettaglio che devono determinare comportamenti più appropriati da seguire nell’ambito della protezione dei dati personali.

Infatti con tali codici è possibile chiarire molti aspetti determinanti del GDPR come la liceità su cui basare il trattamento, le modalità di raccolta del consenso, l’applicazione dei principi che regolano il trattamento e garantire la massima trasparenza verso gli interessati, le misure di sicurezza da adottare, oltre ad ogni altra informazione utile in base al contesto di riferimento.

Le sanzioni del Garante nel settore del telemarketing

Una particolare attenzione da parte dell’Autorità del Garante è stata rivolta da tempo al settore delle telecomunicazioni, considerando i rischi alti per i diritti e le libertà dei consumatori, spesso calpestati in nome del marketing, delle offerte commerciali e qualunque costo e con ogni mezzo possibile.

La percezione del consumatore è di essere sempre e continuamente sotto tiro, lesa la propria tranquillità individuale, ma ciò che viene violato ha uno scenario ben più ampio, come la perdita dei propri dati, esposti al rischio di utilizzo illecito.

Il GDPR introducendo nuove garanzie (come il diritto alla portabilità dei dati) e di conseguenza alzando l’asticella delle sanzioni applicabili, ha posto le basi per una tutela più ampia delle persone fisiche. Le ordinanze di ingiunzione comminate dal Garante dimostrano soprattutto quante criticità ci siano nell’applicazione dello stesso Regolamento.

Le violazioni nella maggior parte dei casi riguardano chiamate promozionali senza la preventiva acquisizione del consenso o senza aver prima verificato le utenze iscritte al Registro Pubblico delle Opposizioni, il telemarketing selvaggio ha infatti caratteristiche ricorrente e facilmente riconoscibili, la prima delle quali è rappresentata dalla circostanza che le telefonate vengono effettuate da numerazioni non censite nel Registro Pubblico degli Operatori. A tale Registro devono infatti iscriversi obbligatoriamente tutti gli operatori economici, esercenti l’attività di call center. Tali numerazioni sono spesso disconosciute dalla rete di vendita delle compagnie committenti e le chiamate che partono attraverso questi canali realizzano quello che il Garante, in numerosi provvedimenti, ha definito un “sottobosco” illecito, che realizza un rilevantissimo volume di affari attraverso attività in gran parte illegittime.

Il Registro Pubblico delle Opposizioni

Il Registro Pubblico delle Opposizioni è stato in origine istituito con il D.P.R. 178/2010 e la sua gestione è stata affidata, dal Ministero dello Sviluppo Economico (Dipartimento per le Comunicazioni), alla Fondazione Ugo Bordoni (FUB). Al Garante Privacy spettano i compiti di vigilanza e di controllo sull’organizzazione e sul funzionamento del Registro.

Nel corso degli anni l’RPO ha subito numerosi interventi normativi, dapprima volti ad estendere le previsioni relative all’opt-out nel marketing telefonico anche alla posta cartacea; in seguito, con la sopracitata L. 5/2018, volti ad estendere la possibilità di iscrizione anche ai numeri di cellulare e a tutti i numeri riservati, ovvero non presenti negli elenchi pubblici. Ulteriori recenti modifiche hanno sanato altre criticità emerse nel tempo, in modo da includere nell’ambito del RPO anche le chiamate automatizzate (“robocall”), ovvero quelle effettuate senza operatore umano. Infine, il D.P.R. 26/2022, ha apportato le necessarie revisioni alle disposizioni regolamentari vigenti che disciplinano le modalità di iscrizione e funzionamento del RPO. A partire dal 27 luglio scorso il nuovo RPO è finalmente divenuto operativo. 

Il Registro Pubblico delle Opposizioni: quali cambiamenti

Per quanto riguarda i contraenti telefonici, ovvero i cittadini intestatari di un contratto telefonico, questi potranno iscrivere nel nuovo Registro Pubblico delle Opposizioni (RPO):

–    tutte le numerazioni telefoniche nazionali fisse o mobili (pubblicate o meno negli elenchi telefonici). La possibilità di iscrivere al registro anche i numeri cellulari rappresenta una novità importante e tanto attesa; 

–    tutti gli indirizzi postali presenti negli elenchi telefonici pubblici.

L’iscrizione nel registro “preclude qualsiasi trattamento” (art. 7 comma 6 del D.P.R. 26/2022), ovvero comporterà:         

–    l’opposizione automatica al trattamento dei dati delle numerazioni telefoniche, nonché degli indirizzi postali, per fini di invio di materiale pubblicitario o di vendita diretta o per ricerche di mercato o per comunicazioni commerciali;

–    il blocco di qualsiasi trattamento delle numerazioni telefoniche fisse e mobili, riportate o meno negli elenchi, e degli indirizzi postali per le stesse finalità effettuate tramite telefono o posta cartacea, comportando la revoca di tutti i consensi precedentemente espressi. 

Rimane tuttavia una deroga (che creerà non pochi problemi nell’applicazione della norma): viene fatta salva la possibilità di contattare i contraenti che abbiano espresso un consenso nel contesto di contratti in essere o cessati da meno di 30 giorni. 

Per quanto riguarda gli operatori, ovvero i titolari del trattamento dei dati che intendano utilizzare, tramite telefono o posta cartacea, i numeri telefonici nazionali fissi e cellulari e i dati presenti negli elenchi telefonici per finalità di:

  1. Invio di materiale pubblicitario
  2. Vendita diretta
  3. Comunicazione commerciale
  4. Compimento di ricerche di mercato

dovranno invece seguire le seguenti regole, pena l’applicazione di sanzioni amministrative pecuniarie fino a 20 milioni di euro o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

–    registrarsi al RPO mediante la funzione “Presentazione istanza”, attraverso la compilazione del web form e l’invio della documentazione. L’accesso all’area riservata deve necessariamente avvenire tramite i mezzi indicati sulla piattaforma (SPID, CNS oppure certificato digitale, PEC – firma digitale);

–    scaricare il file di testo e consultare le liste di contatti contenenti le numerazioni da verificare. Le liste hanno validità di 15 giorni per la consultazione del RPO Telefonico e 30 giorni per la consultazione del RPO Postale;

–    accertare che l’interessato non si sia opposto al trattamento delle proprie numerazioni telefoniche, per fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale;

–    qualora l’interessato sia opposto, gli operatori sono anche tenuti a revocare tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo, salvo i casi in cui si applichi la (criptica) deroga sopracitata. La revoca dei consensi ha efficacia sia sulle chiamate effettuate con operatore umano sia su quelle automatizzate.

Decreto trasparenza

Il recente Decreto Legislativo pone il datore di lavoro di fronte a nuove indicazioni da rilasciare al nuovo dipendente.

Decreto trasparenza

Il Decreto Legislativo 27 giugno 2022, n. 104 – attuazione Direttiva (UE) 2019/1152 – meglio conosciuto come Decreto Trasparenza prevede in linea generale che il datore di lavoro debba comunicare per iscritto al lavoratore gli “elementi essenziali del rapporto di lavoro” all’instaurazione del rapporto stesso e le “condizioni di lavoro e la relativa tutela”. Entrerà in vigore il 13 agosto 2022 e prevede ulteriori obblighi di trasparenza che impatteranno su tutta l’attività.

Il decreto si applica a tutto il mondo della subordinazione, al mondo delle APL e alla collaborazione e prevede un’applicazione immediata ai nuovi assunti a far data dal 13 agosto ’22 (art. 16) e per i contratti già in essere sin da subito, con l’obbligo del datore di lavoro di fornire informazioni entro 60 gg – su richiesta scritta del lavoratore stesso o delle rappresentanze sindacali.

Quindi nello specifico il decreto realizza un ampliamento del campo di applicazione soggettivo della disciplina in materia di obblighi informativi gravanti sul datore di lavoro, con estensione a:

  • lavoratori impiegati con tipologie contrattuali non standard (rapporti di collaborazioni continuative organizzate dal committente anche tramite piattaforme, contratto di prestazione occasionale, contratto di collaborazione coordinata e continuativa, etc.).
  • esclude però i rapporti di lavoro autonomo, purché non integranti rapporti di collaborazione coordinata e continuativa (art.1).

La norma stabilisce altresì che se in costanza di rapporto con l’azienda vi siano aggiornamenti per elementi non noti, quali leggi e contratti collettivi (si pensi ad esempio a nuovi orari interni o a sviluppo di nuovi software di monitoraggio della rete informatica), questi dovranno essere comunicati ai lavoratori  entro il primo giorno dal loro effetto.

Accountability Privacy e Protezione dati /GDPR

Importante per il mondo della data protection è l’articolo 1-bis del Decreto Legislativo n. 152/1997, che obbliga il datore di lavoro a:

“informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Tali informazioni devono essere rese in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico “. 

Il decreto fa quindi riferimento a strumenti informatici e sistemi decisionali o di monitoraggio automatizzati utilizzati dal datore di lavoro sia in fase pre assuntiva che in fase di svolgimento attività lavorativa con un ampliamento del dettato normativo dell’art. 22 del GDPR (Processo decisionale automatizzato): quindi nel decreto non si parla solo di scelte automatizzate senza l’intervento di un operatore, ma di software che aiutino l’imprenditore a fare scelte attraverso l’utilizzo di metriche e logiche informatiche di valutazione performance.

Quali informazioni fornire al lavoratore?

L’informazione che deve essere fornita al lavoratore ricomprende una serie di parametri molto dettagliati quali:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi (es. bonus o promozione);
  • gli scopi e le finalità dei sistemi (es. organizzativi);
  • la logica ed il funzionamento dei sistemi;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; 
  • il livello di accuratezza, robustezza e cyber sicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

A complicare un quadro già complicato il legislatore richiede che “Il lavoratore ha diritto a richiedere, direttamente o per il tramite delle rappresentanze sindacali aziendali o delle organizzazioni sindacali territoriali, ulteriori informazioni sull’impatto di tali sistemi automatizzati sul rapporto di lavoro. Il datore di lavoro o committente è tenuto a dare risposta entro 30 giorni dalla richiesta e deve comunque comunicare preventivamente (almeno 24 ore prima) ogni modifica delle informazioni già fornite, che comporti variazione delle condizioni di lavoro.

Lato GDPR: il decreto specifica anche che: “Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 (GDPR), il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove ne sussistano i presupposti (art. 36 GDPR).”

Quali documenti vanno redatti o aggiornati

Quindi occorre redigere o aggiornare:

  • Informativa ex art.13 GDPR nei confronti di dipendenti e collaboratori;
    • Lettera di incarico ex art. 29 GDPR con indicazioni circa la sicurezza del dato;
    • Registro di trattamento e analisi del rischio dei trattamenti inseriti a seguenti della nuova analisi;
    • DPIA dei trattamenti su strumenti informatici e sistemi decisionali o di monitoraggio automatizzati

In ogni caso, nei casi più articolati si suggerisce di predisporre un allegato | documento distinto dal contratto in modo che possa essere agevolmente utilizzato non solo per i nuovi assunti, ma anche per i lavoratori già in servizio che ne facessero richiesta, ma anche facilmente aggiornabile in caso di implementazione sistemi informatici e DB.

Sanzioni

In  assenza delle comunicazioni previste dal decreto, ovvero nel caso siano effettuate in ritardo o in modo incompleto, sono previste sanzioni differenziate per la tipologia di omissione.

La consapevolezza dei consumatori

I consumatori hanno confermato che la Privacy dei propri dati è diventata parte dei criteri che usano, per decidere i propri acquisti

I consumatori ed i propri dati

Da oltre 4 anni il GDPR ha cambiato la realtà di coloro che creano il contatto tra cliente e prodotto offerto, i cosiddetti “marketer”, hanno dovuto adattare il proprio ruolo e raggiungere i loro obiettivi, operando in un regime totalmente nuovo. Ma non solo il lavoro ed il ruolo dei marketer è cambiato, anche i consumatori hanno fatto il loro cambiamento nella percezione dell’importanza dei propri dati nel mercato e questo dovrebbe essere un “avviso” emesso e che i marketer dovrebbero percepire.

In base ad una ricerca eseguita su oltre 3000 consumatori, è stato scoperto che non solo i consumatori hanno una maggiore consapevolezza del modo in cui i dati sono usati ed hanno una maggiore comprensione dei loro diritti, ma anche che la privacy è diventata un dei criteri che usano per decidere dove comprare.

In breve, oggi i consumatori valutano la reputazione di un brand usando come parametro la privacy dei dati, nello stesso modo in cui utilizzano altri fattori più tradizionali come la qualità del prodotto o il servizio assistenza.

Ma qual è il perché di tale cambiamento?

Perché i consumatori sono più attenti alla privacy che non in precedenza? E’ stato chiesto agli intervistati se sentono di avere il controllo del modo in cui le loro informazioni personali sono usate delle società con cui interagiscono ed il 60% afferma di essere in disaccordo o indeciso.

Nonostante tutto però il GDPR non ha dato ai consumatori più fiducia nel modo in cui i loro dati sono trattati, solo il 60% ha prestato maggiore attenzione alle informazioni che condiviso con le aziende.

Ma quale prezzo stanno pagando le aziende

L’impatto più forte che tutto questo ha avuto sulle aziende, è la richiesta del consenso e qui i consumatori non possono essere più chiari di così: se l’azienda sbaglia a gestire il consenso, se ne andranno.

Quando è stato chiesto agli intervistati che cosa avrebbero fatto nel caso in cui fossero stati contattati attraverso un canale a cui non avevano prestato il consenso, il 57% ha affermato che avrebbe tagliato ogni rapporto con l’azienda.

Il problema, in questo caso, è che molte aziende permettono di dare (o rifiutare) il consenso all’utilizzo dei dati in diversi touchpoint (per esempio l’e-mail e la creazione dell’account), e questo fa sì che le preferenze al consenso vengano archiviate in diversi database e finiscano per dare un’immagine imprecisa delle preferenze del cliente al consenso. Questo può quindi portare le aziende a inviare comunicazioni che non sono coerenti con le preferenze più aggiornate del consumatore.

Il lato positivo per le aziende: la privacy come opportunità

Questa nuova attenzione dei consumatori alla privacy, può essere utilizzata a vantaggio delle aziende.

Per esempio, un rilevante 57% dei consumatori crede che le aziende con cui condividono i loro dati li vendano. Così le aziende dovrebbero imparare come prima cosa a esplicitare il fatto che non lo faranno: quasi due terzi (62%) degli intervistati ha detto infatti di essere più propenso acquistare da un’azienda che garantisce che non condividerà con terze parti le informazioni personali dei consumatori.

Nono solo mail 60% degli intervistati consiglierebbe ad amici e parenti, un’azienda che garantisca la privacy dei dati. Altro fatto a cui le aziende dovrebbero prestare attenzione è che i consumatori negli ultimi 12 mesi hanno letto più di 5 volte una policy privacy.

Il successo dipende quindi anche da una nuova prospettiva

La notizia della nuova concezione della privacy da parte dei consumatori, è un’opportunità per rinnovare e differenziare un’azienda. Siamo consapevoli che la privacy sia una risorsa di marketing e attraverso questa sarebbe opportuno andare incontro alle esigenze del consumatore. E cioè:

  • Imparare a raccogliere solo i dati necessari al proprio lavoro
  • Rivedere i modo con cui si raccolgono i dati ed il consenso
  • Dare la giusta importanza alla privacy dei dati

E soprattutto fare in modo che la privacy sia chiara e facile da trovare e capire, che sia altrettanto chiaro di come i dati raccolti saranno usati, in modo che il consumatore sia consapevole del rispetto che ci sarà nei loro confronti.

Identificazione della necessità di una DPIA (Valutazione di Impatto sulla protezione dei dati) nell’e-learning

Perchè valutare i rischi nel trattamento dati nella metodologia e-learning

E-learning: cosa si intende?

Nella tecnologia dell’informazione, per e-learning si intende il complesso di mezzi tecnologici messo a disposizione degli utenti, per l’accesso a contenuti didattici multimediali.

L’e-learning si differenzia da altri tipi di formazione a distanza, perché si basa su di una piattaforma tecnologica, cioè su un sistema informatico che gestisce la distribuzione e la fruizione dei contenuti formativi.

La relazione docente e discenti non è in tempo reale, non si tratta di un’aula virtuale, in quanto si basa sull’interazione utente-sistema informativo, è cioè asincrona.

Valutazione della metodologia e-learning

L’aspetto più criticabile dell’e-learning è la mancanza di empatia e contatto umano, che soltanto un corso in presenza riesce a fornire. Tuttavia per poter seguire un corso a più riprese, secondo le proprie disponibilità e tempi, trova molti riscontri positivi.  Poter utilizzare contenuti formativi standard, collaudati, che possono essere usufruiti da chiunque in qualsiasi momento, da dispositivi diversi accessibili anche da chi non dispone di postazioni di lavoro informatiche complete, sono un ottimo esempio di sfruttamento della tecnologia per la formazione del personale di Enti e Imprese, soprattutto per gli aspetti standard o di compliance.

Nella valutazione pro-contro si devono però considerare anche eventuali rischi, vediamo quali:

  • l’eventualità che gli utenti non siano in grado di utilizzare correttamente i dispositivi tecnologici, a causa di una scarsa familiarità con quest’ultimi;
  • la eventuale indisponibilità di una connessione Internet idonea, che può provocare scarsa qualità della fruizione delle lezioni, che possono interrompersi, o perdite di collegamento che possono essere critiche nei momenti di verifica, ad esempio.

Aspetti relativi ai dati personali

Utilizzare un metodo e-learning è comodo, funzionale ma non deve essere usato impropriamente. Esempio non si può contestare di non essere collegati al corso in un determinato momento, se il corso è da completare in totale autonomia secondo i propri tempi, non entro certo periodo di tempo.

Non può quindi essere usato per monitorare il personale, pur disponendo la piattaforma di sistemi di tracciamento dell’utente (collegamenti, accessi alle lezioni, esecuzioni ed esiti di test).

Di pari passo però il personale non può usare la formazione autonoma (che spesso viene svolta in orario lavorativo) per giustificare assenze dall’attività lavorativa, per propri fini personali, con tempi più lunghi di quelli previsti.

Necessità della Valutazione di Impatto  (DPIA)

Questa valutazione di impatto si rende necessaria sia per la scala del trattamento (nelle Piattaforme Smart e-learning vengono registrati considerevoli numeri di utenti, dipendenti, collaboratori o stagisti, tirocinanti di Enti e imprese), sia per il fatto che si configurano comunque monitoraggi di attività didattiche, che possono potenzialmente anche avere effetti negativi sulle persone.

In particolare possono essere indicati i seguenti criteri:

Monitoraggio sistematico su larga scala di luoghi accessibili pubblicamente
Trattamento di dati relativi a soggetti vulnerabili
Utilizzo innovativo o applicazione di nuove soluzioni tecnologiche od organizzative

Ovvero, ci troviamo nel caso in cui le attività di trattamento oggetto di esame rientrano nell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto pubblicate dall’Autorità Garante per la protezione dati personali con il Provvedimento N. 467 dell’11 ottobre 2018: 

“Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geo localizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal   WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8)”.