L’attività di consulenza in ambito di protezione dei dati personali si sviluppa in varie fasi, di cui la prima è l’individuazione di una politica privacy ad hoc per l'azienda.

Inizialmente vengono svolti degli incontri con la direzione aziendale e con i vari responsabili di settore per comprendere al meglio la realtà. Una volta individuate le mansioni delle aree aziendali, l’organigramma interno, i contratti in uso, l’eventuale documentazione in ambito privacy ed il flusso dei dati personali all’interno e all’esterno della società si sviluppa un piano di adeguamento al GDPR, Codice Privacy D.lgs. n. 196/2003 e D.lgs. 101/2018.

Durante gli incontri verrà appurata la necessità di effettuare una Valutazioni d’impatto Privacy (cosiddetta “DPIA”) su trattamenti particolarmente delicati svolti dall’azienda. Ad esempio, videosorveglianza all’interno dei locali aziendali, profilazione dei clienti, utilizzo di nuove tecnologie non ancora valutate, ecc.

Il servizio si occupa di redigere il Registro delle attività di trattamento del Titolare del Trattamento ai sensi dell’art. 30 del Regolamento Europeo n.679/2016 (GDPR) e, se necessario, il Registro delle attività di trattamento del Responsabile del trattamento.

I Registri delle Attività di Trattamento devono contenere:

• Elenco dei trattamenti svolti dall’azienda: in particolare per ogni trattamento devono essere specificati finalità, basi legali del trattamento, modalità del trattamento, periodo di conservazione dei dati, destinatari dei dati, archivi del trattamento, eventuale diffusione dei dati ed eventuale trasferimento dei dati in paesi extra-UE;
• Elenco degli interessati dell’azienda;
• Elenco dei Responsabili del Trattamento: in particolare per ogni responsabile devono essere specificati la finalità (o mansione) del Responsabile del Trattamento, i dati che tratta in qualità di responsabile ed eventuali archivi di cui è responsabile;
• Elenco delle misure di sicurezza in atto: questa parte deve essere sviluppata a stretto contatto con i responsabili delle singole aree aziendali e con il responsabile informatico dell’azienda.

Successivamente alla predisposizione dei Registri delle attività di trattamento è necessario sviluppare un’attenta analisi dei rischi delle sedi operative, degli archivi cartacei e digitali. Questo per comprendere al meglio se le misure in atto a livello logico, organizzativo e fisico sono sufficienti a mantenere un rischio basso per l’azienda.

La redazione dei documenti principali in ambito di protezione dei dati personali si può eseguire solo dopo aver analizzato attentamente la realtà aziendale e le mansioni delle singole aree aziendali.

I documenti da produrre per la compliance al GDPR, al Codice Privacy D.lgs. 196/2003 e al D.lgs. 101/2018 sono:

• Informative specifiche per ogni trattamento svolto, ad esempio: Informativa per il personale dipendente, Informativa per clienti e fornitori, Informativa per l’invio della newsletter, Privacy policy del Sito internet, ecc.;
• Nomina per gli addetti al trattamento, cioè per tutti i dipendenti che trattano dati all’interno dell’azienda;
• Nomina per i Responsabili esterni del trattamento, cioè tutti quei soggetti con un contratto continuativo che trattano dati all’esterno della società (ad esempio, il Consulente del Lavoro);
• Nomina per il DPO;
• Privacy by design e by default, nel quale sono contenute le policy interne sul trattamento dei dati come definito dall’art. 25 del GDPR;
• Regolamenti interni per l’utilizzo delle risorse cartacee ed informatiche o integrazioni al Regolamento aziendale;
• Documenti specifici come l’autorizzazione per l’utilizzo della videosorveglianza o dei sistemi di geolocalizzazione.

Il DPO (Data Protection Officer o Responsabile della protezione dei dati personali) è una figura introdotta dal GDPR, cioè una persona fisica/società che può essere sia interna che esterna all’azienda con il compito di sorvegliare l’operato in ambito privacy dell’azienda.

Nello specifico la sezione 4 del GDPR denominata “Responsabile della protezione dei dati” definisce:

• La designazione del DPO è necessaria ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 del GDPR o di dati relativi a condanne penali e a reati di cui all'articolo 10 del GDPR.
• Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti.
• Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
• Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.
• Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento; d) cooperare con l'autorità di controllo; e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento.

La formazione in materia di Privacy è obbligatoria ai sensi del Regolamento Europeo n. 679/2016 per tutti i soggetti che trattano dati all’interno della società. Unitamente ad essa la formazione in materia di Cybersecurity è necessaria per comprendere al meglio la teoria della privacy e la praticità delle misure di sicurezza messe in atto dalla società.

La formazione in materia di Privacy si articola in: Descrizione delle maggiori leggi in materia di protezione dei dati, Inquadramento delle figure del Trattamento (Titolare del Trattamento, Responsabile del Trattamento, Addetti al Trattamento, DPO), Diritti dell’interessato e dell’eventuale esercizio, Procedure in ambito privacy adottate dall’azienda, Procedure operative sulla gestione di un Data Breach e Regolamenti interni in materia di protezione dei dati personali.

Formazione base di Cybersecurity per i dipendenti: corso di formazione rivolto al personale aziendale senza particolari conoscenze nell'ambito della cybersecurity. All'interno del corso vengono fornite solide basi di cybersecurity al fine di tutelare la sicurezza delle informazioni trattate e difendersi dalle principali minacce informatiche quali ad esempio Virus, Phishing, Social Engineering e frodi telefoniche.

Corsi di formazione avanzati in materia di Cybersecurity: corsi di formazione creati ad hoc in ambito della cybersecurity modellati sulle esigenze dell'azienda, basati sulle piattaforme e/o sui software utilizzati all'interno dell'azienda.

La sensibilizzazione del personale può essere affrontata con delle simulazioni di attacchi di Phishing, Social Engineering e Data Breach, in modo da verificare il comportamento dell’utente.

All'interno dei corsi di formazione, su richiesta del committente, potranno essere incluse le policy aziendali attualmente in essere.

Il servizio di Verifica di documenti e politiche in ambito di protezione dei dati personali si sviluppa concordando con il cliente la periodicità di ogni controllo.

In ogni audit verrà verificata:

• la correttezza della documentazione;
• lo stato delle procedure interne;
• l’utilizzo delle informative ai singoli interessati;
• le nomine del personale come addetti al trattamento e dei fornitori/collaboratori che trattano dati per conto del Titolare come Responsabili esterni del Trattamento;
• lo stato della formazione dei dipendenti;
• l’eventuale modifica o aggiornamento di qualsiasi documento.

Il servizio proposto ha lo scopo di identificare gli eventuali punti deboli presenti nel perimetro informatico di proprietà dell'azienda. A seguito dell’individuazione vengono fornite idonee linee guida atte a mitigare o eliminare ogni possibile rischio di sicurezza derivante dalle vulnerabilità rilevate.

A titolo esemplificativo e non esaustivo l’attività di Vulnerability Assessment e Network Scan porterà in evidenza:

• Servizi configurati in modo non sicuro;
• Presenza di credenziali di accesso deboli;
• Sistemi operativi non aggiornati, obsoleti e pertanto vulnerabili;
• Applicativi obsoleti, non aggiornati e pertanto vulnerabili;
• Informazioni e servizi esposti in eccesso rispetto alla reale necessità di utilizzo;
• Impostazioni e configurazioni di sicurezza non più idonee rispetto ai progressi tecnologici.

L’attività è rivolta sia a reti pubbliche raggiungibili tramite Internet, sia a reti private. La modalità di esecuzione delle attività potrà essere sia “in presenza” direttamente all’interno dell’azienda, sia in remoto. Nel caso di scansioni remote di reti private verrà fornito un appliance specifico che verrà collegato all’interno della rete dell'azienda e permetterà al personale della PrivacyCura di effettuare le attività previste.

Il servizio di Penetration Testing può essere riassunto come una vera e propria simulazione di attacco etico ad un sistema o una rete informatica in condizioni reali. Tramite i test effettuati è possibile determinare quale sia realmente la resistenza dell’intera struttura informatica in previsione di un eventuale attacco informatico. L’attività è composta da molteplici fasi, tra cui:

• Raccolta di informazioni;
• Rilevazione e scansione dei sistemi;
• Valutazione delle vulnerabilità riscontrate;
• Scrittura di un Report.

L’attività, a seconda delle esigenze dell'azienda committente potrà essere svolta in tre diverse modalità:

• Black Box: Modalità in cui il Penetration Tester non ha conoscenze della rete di proprietà dell'azienda, e sulla base di questo impersonifica un Hacker che tenta di compromettere la rete dell'azienda.
• White Box: Modalità in cui l'azienda fornisce informazioni dettagliate sulla rete oggetto di verifica, ed il Penetration Tester sulla base delle informazioni fornite verifica l’effettiva sicurezza della rete.
• Grey Box: Modalità in cui l'azienda fornisce credenziali di accesso ai propri sistemi, sia come utente "standard" che come utente con privilegi superiori. Lo scopo dell'attività effettuata dal Penetration Tester è quella di verificare l’effettiva robustezza dei sistemi sia dal punto di vista di un normale utente, sia dal punto di vista di un utente privilegiato.

L’attività prevede un servizio di consulenza da parte del nostro Team di sicurezza informatica al fine di stabilire unitamente alla direzione aziendale quali servizi e/o sistemi possono migliorare l’attuale sicurezza dell’attuale infrastruttura informativa.

L’attività si compone di molteplici punti, tra cui i più importanti:

• Raccolta delle informazioni: viene richiesta una descrizione dettagliata dell’attuale infrastruttura informatica, dei sistemi operativi utilizzati, degli applicativi utilizzati, delle attuali misure di sicurezza in essere ed ogni dettaglio che possa riguardare la sicurezza delle informazioni trattate in generale;
• Analisi dell’attuale infrastruttura: Viene svolta una breve analisi, per lo più automatizzata, dell’attuale infrastruttura dell'azienda. I dati raccolti in seguito vengono analizzati ed elaborati sotto forma di un Report che rappresenta l’attuale situazione;
• Ipotesi di miglioramento: In base ai dati raccolti, sia nella prima che nella seconda fase, viene preparato un documento riassuntivo dove vengono esposte le ipotesi di miglioramento attuabili;
• Presentazione dei risultati: In base alle esigenze e disposizioni dell'azienda committente viene organizzata una riunione in cui avviene l’esposizione dei risultati e delle ipotesi di miglioramento, in cui eventualmente, se ritenuto necessario, vengono consigliate le opportune azioni migliorative.

PrivacyCura, in quanto vendor independent, ci tiene a specificare che l’attività non prevede la rivendita diretta di software o hardware atti a migliorare la situazione generale relativa alla sicurezza della rete oggetto di analisi, ma offre un servizio di consulenza a 360° in cui vengono consigliati fornitori adatti alle esigenze dell'azienda ed un servizio di consulenza che può essere prolungato anche dopo il termine dell’attività richiesta, al fine di avere un organo di controllo che supervisioni tutte le future attività relative alla sicurezza intraprese.