Governance

Data Protection: la valutazione di impatto prevista dal GDPR by luca nogara

Dal 25 maggio 2018, giorno di applicazione del nuovo regolamento UE sulla privacy, per la corretta gestione del trattamento e della sicurezza dei dati personali vanno valutati i rischi delle violazioni e le possibili conseguenze. Ecco cosa prevede il testo, appena approvato in via definitiva, relativo Data protection impact assessment” (DPIA)

fonte:  digital4.biz  . l'articolo originale  qui

fonte: digital4.biz . l'articolo originale qui

La data protection impact assessment (DPIA), la valutazione d’impatto in caso di violazione della Data Protection, è stata definita da Gruppo di Lavoro del GDPR (WP29) lo scorso 4 ottobre 2017 (qui il testo definitivo doc. WP248rev.01). Come ben noto agli “addetti ai lavori”, dal 25 maggio 2018, giorno di applicazione del GDPR, il Regolamento UE sulla data protection n. 2016/679, la corretta gestione del trattamento e della sicurezza dei dati personali dovrà tenere conto della DPIA.

Cos'è la Data protection impact assessment (DPIA) e quando è obbligatoria

Premettiamo sin da subito come la DPIA altro non sia che una valutazione preliminare degli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati. Tale valutazione deve tenere in conto sia del grado di rischio che il trattamento possa presentare per i diritti e le libertà delle persone fisiche sia del grado di innovatività della tecnologia con cui viene effettuato il trattamento. In tal senso, una corretta DPIA, così come ribadito dal Gruppo di Lavoro, può essere utile per valutare l’impatto sulla protezione dei dati elaborati attraverso una particolare tecnologia, ad esempio una componente hardware o software.

Inoltre così come sottolineato dalle recenti Linee Guida nonché dal Garante per la Protezione dei Dati personali nella Guida all’applicazione del Regolamento europeo), una singola DPIA potrebbe essere utilizzata per valutare molteplici operazioni di trattamento che sono simili in termini di rischi presentati. Pertanto, compito del Titolare del Trattamento, utilizzando un “risk-based approach”, sarà quello (prima che i dati vengano trattati) di individuare, nello specifico, l’origine, la natura, la probabilità e la gravità del rischio, l’ambito di applicazione, il contesto e le finalità del trattamento stesso in quanto più è elevata la rischiosità del dato, più alte sono le conseguenze in termini d’impatto con l’interessato.

 

Ciò può consentire al Titolare, mediante anche la consultazione del Data Protection Officere dei responsabili del trattamento, di poter identificare le misure appropriate per minimizzare i rischi ed adottare costantemente (tenuto conto dello stato dell’arte) ogni misura tecnica, giuridica ed organizzativa in quanto una semplice variabilità del rischio potrebbe generare ulteriori attività da svolgere.

Le Linee Guida offrono ulteriori precisazioni tra cui, a titolo esemplificativo: un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazioned’impatto deve ritenersi obbligatoria nonché un elenco di operazioni di trattamento rispetto alle quali la valutazione d’impatto non è necessaria; criteri comuni aventi ad oggetto sia la metodologia da adottare per l’effettuazione della valutazione d’impatto sia la definizione dei casi in cui è necessario consultare l’Autorità di controllo; raccomandazioni sulla base dell’esperienza acquisita negli Stati membri dell’UE.

 

GDPR: cosa c’è da sapere sulla profilazione di clienti e consumatori by luca nogara

25 maggio 2018 trattamento dei dati personali siti webdevono essere the eu stati membri gdpr general data protection regulation pubbliche amministrazionigenerale sulla protezione unione europea data breach propri dati personali by design tratta di dati partire dal 25 maggioviolazione dei dati titolare del trattamento regolamento ue 2016/679 sicurezza dei dat regolamento gdpr

Read More

Come e perché la trasformazione digitale impone una nuova cultura aziendale di sicurezza by luca nogara

Per Gartner entro 3 anni il 95% degli attacchi sarà colpa dei comportamenti sbagliati degli utenti. Il costo? Nel caso del furto di dati sensibili, la sanzione amministrativa oggi va da 10mila a 120mila euro. Bissel (Accenture): occorre un approccio specifico per ogni settore che tuteli l’intera catena del valore. Bechelli (Clusit): il digitale impone una comprensione più ampia dei vantaggi, ma anche dei rischi del cyberspazio

fonte:  digital4.biz  . l'articolo originale  qui

fonte: digital4.biz . l'articolo originale qui

 

La trasformazione digitale offre un livello di comunicazione e di interazione che non ha precedenti nella storia. Il fenomeno dell'omnicanalità riguarda le 6C di un'utenza globale: Colleghi, Collaboratori, Competitor, Clienti, Cittadini e Consumatori... Gran parte della popolazione oggi è connessa: smartphone-dotata, ma anche tablet-dotata e pc-dotata. La consumerizzazione dell'IT ha portato i dipendenti a utilizzare con disinvoltura schermi touchscreen e menu di navigazione. Crescono le installazioni interattive: totem, chioschi, tavoli, specchi, pareti portano a bordo una nuova intelligenza applicativa. Tutto questo senza corsi di formazione aziendale perché a vincere è un passaparola bimodale (off line e online). 

L'abitudine a utilizzare Internet in tutte le sue forme ha inaugurato l'economia delle App, favorendo anche una più immediata comprensione dei vantaggi associati al cloud. Con tutte le conseguenze annesse e connesse.

Secondo Gartner da qui al 2020 il 95% degli attacchi alla sicurezza sarà colpa dei comportamenti sbagliati degli utenti (Fonte: Gartner Top Prediction for IT Organizations and Users for 2016 and Beyond). Gli analisti puntano l'attenzione sull'ingenuità delle persone che, deviate dai vantaggi e dalla semplicità delle tecnologie, non si rendono conto dei rischi e nemmeno conoscono le regole base della sicurezza rispetto alla gestione delle identità e degli accessi. Dal furti di dati alla paralisi dell'attività, lo scotto da pagare è ormai noto e dovrebbe far riflettere l'intero board aziendale.

Prendiamo il caso di un’organizzazione che in Italia subisca un attacco informatico da parte di alcuni hacker che riescono ad accedere ai dati sensibili e a diffonderli via web. Al momento, se gli interessati fanno ricorso al Garante della Privacy e si scopre che il titolare del trattamento (l’azienda) non aveva adottato le misure minime di sicurezza per la protezione dei dati, prescritte all’art. 33 del Codice della Privacy (CDP), la sanzione amministrativa va da un minimo di 10.000 euro a un massimo di 120.000 euro, comminati dal Garante e senza passare dall’autorità giudiziaria, ex art. 162 c. 2-bis CDP. In sede di giudizio penale la sanzione va a sommarsi  all'Ex art. 169 CDP per cui è previsto l’arresto fino a 2 anni (a questo link, la tabella di dettaglio)

Ma le aziende sanno quanto costa il cybercrime?

Quanto costa il cybercrime alle aziende? Gli analisti parlano di 11,7 milioni di dollari per azienda, con un aumento del 23% rispetto ai 9,5 milioni di dollari registrati nel 2016 e del 62% nell’ultimo quinquennio (Fonte: “Cost of Cyber Crime Study” - Accenture e Ponemon Institute, Settembre 2017). In media un’azienda subisce 130 violazioni all’anno (+ 27,4% rispetto al 2016) che si traducono in infiltrazioni nella rete o nei sistemi aziendali.

Kelly Bissell, Managing Director di Accenture Security"È necessario che le organizzazioni adottino una strategia di sicurezza dinamica e agile - afferma Kelly Bissell, Managing Director di Accenture Security -, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro. Occorre inoltre un approccio che sia specifico per ciascun settore e che tuteli l’intera catena del valore dell’azienda. Le conseguenze del cybercrime che le aziende subiscono a causa dei crimini informatici sono sempre più costose e devastanti, sottolineando l’importanza crescente di una pianificazione strategica e di un monitoraggio costante degli investimenti in sicurezza”.

Riportata ai suoi fondamentali, la questione è semplice: la gestione della sicurezza associata alla trasformazione digitale oggi non può essere più scaricata solo sui CIO o sui CISO che, facendo conto dei budget messi a loro disposizione, fanno miracoli per garantire la business continuity, la tutela dei dati e la protezione delle risorse aziendali.

Serve una consapevolezza più ampia e funzionale di cosa significhi risk management nell'era della trasformazione digitale, della Web Economy, delle aziende liquide e di tutti quegli orizzonti di servizio in continuo divenire che portano più fatturato ma anche più margini di rischio. È ora di lavorare a livello utente, offrendo un po' più di cultura ma anche soluzioni più puntuali in caso di perdite di dati e di fermi informatici. Serve maggiore consapevolezza a tutti i livelli dell'organizzazione.

Quando il cloud è l'abilitatore della trasformazione digitale

Luca BechelliLa questione è che non c'è trasformazione digitale senza una governance delle infrastrutture e dei servizi. L'uso del cloud, ad esempio, cresce perché economicamente più comodo, ma quasi 7 aziende su 10 nutrono ancora molte riserve. Secondo l'Osservatorio Cloud e ICT as A Service del Politecnico di Milano il 67% delle imprese indica come principale fattore di inibizione la sicurezza e la privacy.

Eppure la sicurezza viene ancora considerata una componente addizionale perché le aziende seguono ancora un approccio banalmente costruttivo: prima creo l'infrastruttura e dopo penso alla sicurezza. Questa protezione non nativa, però, ha un impatto notevole sulle aziende.

"L’Italia è uno dei Paesi in cui c’è una percentuale di adozione del cloud tra le più alte in Europa (siamo i secondi tra tutti i Paesi) - spiega Luca Bechelli, Membro del Comitato Tecnico Scientifico, CLUSIT e consulente indipendente per la sicurezza informatica -. Eppure, rispetto al cloud, ci sono ancora molti limiti a livello di vision. Le aziende che ricorrono a servizi cloud, spesso non lo fanno nel modo corretto. A questo si aggiunge il problema dello shadow IT. Quante volte i nostri colleghi, in buona fede, si portano il lavoro a casa inviando una mail d’ufficio sul proprio account privato o caricandosi su un servizio di file sharing il lavoro (magari perché non gli abbiamo fornito un’alternativa aziendale valida per fare questo mestiere)? Da qui le preoccupazioni principali delle aziende: da recenti studi è emerso che il 64% delle aziende sono preoccupate di non sapere dove sono dati importanti, perché hanno perso di vista il modo in cui le informazioni viaggiano. Insomma, lo scenario effettivamente caratterizzato da molti problemi e da un approccio disfunzionale. La questione è che l’attaccante può essere qualcuno che sta a centinaia di km da noi, ma la maggior parte degli attacchi oggi si determina perché l’utente fa click". 

 

Spostare la complessità non significa dimenticare la sicurezza

Vero è che il cloud rende talmente efficiente e facile agli utenti l’uso dei sistemi da fornire la percezione di una riduzione delle complessità e questo si traduce troppo spesso in un'adozione di pratiche povere dal punto di vista della sicurezza. Bisogna invece ricordare che la complessità c’è ancora: è solo stata spostata e l'azienda deve comunque preoccuparsi di gestire la sua parte. 

"Dall’altra parte vediamo che sono importanti le quote di altre tipologie di cloud - ribadisce Bechelli - quindi Software as a Service (SaaS) e Platform as a Service (PaaS), con modalità di servizi centrali per il funzionamento dell’azienda: CRM, ERP, amministrazione, la stessa software automation delle mail che spesso viene sottovalutata e dove si trovano i dati più critici dell’azienda perché per quanto noi pensiamo di metterli all’interno di repository protetti, poi li facciamo comunque circolare nelle varie versioni. Il tema degli endpoint che accedono al cloud non è più solo il pc, ma una serie di dispositivi fissi e mobili che vanno protetti e tutelati perché la sicurezza che potremmo denominare Agile, ancora non esiste. I dati Clusit sulla crescita del cybercrime si commentano da soli".

 

Come evidenzia Bechelli, anche le aziende che non sono in cloud sono ormai di fronte a un bivio: se sono in cloud i suoi partner, ad esempio, un'organizzazione che credeva di non essere in cloud può scoprire di esserlo.

"Dobbiamo capire oggi che la nostra azienda è cambiata - conclude l'esperto -: non ha neanche più senso parlare di azienda mobile, che lo è già per definizione dal momento che i nostri dipendenti hanno un cellulare e, trovando aperta la porta del server di mail, cominciano a scaricare la posta sul proprio device. A quel punto siamo già mobili e dobbiamo pensare in mobilità. La trasformazione digitale è un'evoluzione delle esigenze dei colleghi che vogliono essere mobili, agili e che interagiscono in molti modi con il resto del mondo: non solo dal pc blindato tradizionale, ma anche con altri media che possono essere vulnerabili ad attacchi e possono mettere in crisi l’operatività".

 

Insomma, aggiornare gli antivirus non è più sufficiente. Il board aziendale deve imparare a guardare l'azienda in modo molto diverso, andando ben oltre il tema del GDPR. La normativa che entrerà in vigore a maggio del 2018 ha il merito di aver l'attenzione sul tema della protezione dei dati offrendo l'opportunità di rivedere posizioni e policy, ma non risolve certo la totalità della governance. CFO, CEO, COO... tutti gli executive devono imparare a vivere la trasformazione digitale con una visione della sicurezza non solo più responsabile ma anche più lungimirante.

Guida alla gestione dei data breach secondo il regolamento GDPR sulla Data protection by luca nogara

Cosa fare in caso di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati? A chi rivolgersi? Come comunicarle? La risposta è nelle linee guida pubblicate dal Gruppo di lavoro del nuovo regolamento europeo sulla privacy

 

fonte:  digital4.biz  . l'articolo originale  qui

fonte: digital4.biz . l'articolo originale qui

 

A seguito dell’entrata in vigore del GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali), il Gruppo di lavoro Art. 29 si è più volte attivato per offrire indicazioni concrete e casi esemplificativi che potessero aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento.

Si collocano in questo scenario le nuove linee guida del Gruppo di lavoro Art. 29 sul data breach (Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017).

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia nettamente da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo generalizzato di notifica. Attualmente, anche il nostro ordinamento prevede un obbligo di notifica frammentario. In recepimento della normativa europea in materia di comunicazioni elettroniche, il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso puntuali provvedimenti del Garante privacy. Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento.

Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.

Le nuove linee guida integrano gli articoli citati e permettono di dare risposta ad una serie di quesiti la cui comprensione risulta di fondamentale importanza per la predisposizione di corrette procedure di notificazione.

Quando il titolare è ritenuto “a conoscenza” di una violazione?

L’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.

Nell linee guida, il Gruppo ritiene che debba considerarsi “a conoscenza” il titolare che abbia un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza. È evidente che, in base alle specifiche circostanze, mentre alcune violazioni saranno facilmente rilevabili, per altre sarà necessario instaurare un’indagine più approfondita. In questi casi, durante la fase di investigazione, il titolare può essere considerato come privo di un grado di conoscenza tale da far scattare immediatamente l’obbligo di notifica. Ciò precisato, il Gruppo sottolinea che il diligente comportamento del titolare sarà in ogni caso valutato sulla base della sua tempestiva attivazione in caso venga informato di una possibile infrazione. La fase investigativa, quindi, non deve essere abusata per prorogare illegittimamente il termine di notifica.

A tale considerazione si legano le raccomandazioni del Gruppo sia con riferimento alla struttura organizzativa predisposta dal titolare, sia in merito al ruolo del responsabile del trattamento in caso di data breach. In primo luogo, il Gruppo raccomanda ai titolari di predisporre un piano di sicurezza che evidenzi le procedure organizzative interne da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.

In merito al responsabile, l’art. 33 dispone l’obbligo in capo a quest’ultimo di informare tempestivamente il titolare dell’avvenuta violazione. Interpretando questo assunto alla luce del rapporto che lega titolare e responsabile, il Gruppo evidenzia come, in linea di principio, il titolare debba considerarsi a conoscenza della violazione nel momento in cui il proprio responsabile ne sia venuto a conoscenza. Non deve quindi esistere alcuna dilazione temporale nelle comunicazioni tra titolare e responsabile, giacché questi viene considerato come estensione fisica dell’attività del titolare e fa perciò scattare automaticamente l’obbligo di notifica in capo al primo.

Su questo punto, le linee guida prospettano l’ipotesi che il responsabile, sulla base di specifica autorizzazione del titolare contrattualmente prevista, possa eseguire personalmente la notifica per conto di quest’ultimo. Ciò non toglie, è bene sottolinearlo, che le responsabilità nei confronti dell’autorità e degli interessati scaturenti dalla notifica o dalla sua mancanza, permangano in capo al titolare. In caso di negligenza, il responsabile potrà rispondere unicamente nei confronti del titolare.

Qual è l’autorità di controllo competente?

L’art. 33 dispone che la notifica debba essere effettuata all’autorità di controllo competente, a norma dell’articolo 55. A sua volta l’art. 55 prevede che ciascuna autorità di controllo è competente per l’esercizio dei compiti e dei poteri assegnatele sul territorio del proprio Stato membro. Dunque, se la violazione si verifica in un determinato Stato membro, sarà all’autorità garante di quello Stato che dovrà essere presentata apposita notifica.

Lo scenario si complica nei casi in cui il trattamento dei dati valichi i confini territoriali nazionali, cosicché una loro violazione possa compromettere i diritti e le libertà di cittadini situati in diversi Pasi membri. In questo caso, il Gruppo chiarisce che dovrà utilizzarsi il meccanismo delle “autorità capofila”, previsto dall’art. 56 del GDPR. Fermo restando quanto disposto dall’art. 55, in caso di trattamenti transfrontalieri di dati personali si considera autorità capofila (e dunque autorità di riferimento anche in caso di notifica di data breach) l’autorità garante situata nello Stato membro presso cui si trova lo stabilimento principale o l’unico stabilimento del titolare o del responsabile. Naturalmente, il titolare rimane libero di notificare la violazione a tutte le autorità degli Stati membri in cui ritiene possano esserci conseguenze pregiudizievoli per gli interessati ivi locati. Tuttavia risulterà compliant anche nel caso decida di eseguire la notifica solo con riferimento all’autorità capofila correttamente individuata. 

Le linee guida, peraltro, ricordano ai titolari che l’obbligo di notifica previsto dall’art. 33 del GDPR deve coordinarsi con ulteriori eventuali obblighi di notifica previsti da altri strumenti normativi. Per esempio, obblighi di notifica in caso di incidenti di sicurezza (categoria ampia che al suo interno ricomprende l’insieme delle violazioni di dati personali) sono presenti nel Regolamento e-IDAS per i fornitori di servizi fiduciari o nella Direttiva NIS per i fornitori di servizi essenziali e di servizi digitali. Dunque, se una società fornitrice di servizi certificati di firma elettronica riscontra una violazione di sicurezza, dovrà non soltanto notificare l’attività illecita alla propria autorità nazionale di riferimento ma, in caso siano coinvolti dati personali dei propri clienti e qualora ne ricorrano i presupposti, dovrà altresì darne riscontro all’autorità garante in materia di dati personali. 

 

Come devono comportarsi i titolari quando non dispongono di sufficienti informazioni sulla violazione?

La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti. Elemento centrale della procedura di notificazione è quindi la sua tempestività.

Tuttavia non sempre il titolare, anche quando ha appurato con ragionevole certezza l’esistenza di una violazione, è già in possesso di tutti gli elementi utili per effettuare una descrizione completa ed esaustiva dell’infrazione. Il Gruppo di lavoro chiarisce come il GDPR, tenendo in considerazione la predetta possibilità, mette a disposizione del titolare alcune tecniche o modalità che permettono di bilanciare le esigenze di celerità del messaggio con quelle di una sua sostanziale accuratezza e completezza.

La prima tecnica è l’utilizzo dell’“approssimazione”. Il titolare che non sia ancora in grado di conoscere con certezza il numero di persone e di dati personali interessati dalla violazione può comunicarne in prima battuta un ammontare approssimativo, provvedendo a specificare il numero esatto a seguito di accertamenti.

Secondo strumento previsto dal Regolamento è la “notificazione in fasi”. In questo caso il titolare, per la complessità o estensione della violazione, potrebbe non essere in grado di fornire con immediatezza all’autorità tutte le informazioni necessarie. Potrà allora ottemperare agli obblighi di notifica comunicando, dopo una prima e rapida notifica di alert, tutte le informazioni per fasi successive, aggiornando di volta in volta l’autorità sui nuovi riscontri.

Infine, il Regolamento prevede la possibilità di effettuare una notifica differita, dopo le 72 ore previste dall’art. 33. È il caso in cui, per esempio, un’impresa subisca violazioni ripetute, ravvicinate e di simile natura che interessino un numero elevato di soggetti. Al fine di evitare un aggravio di oneri in capo al titolare e l’invio scaglionato di un numero elevato di notificazioni tra loro identiche, il titolare è autorizzato ad eseguire un’unica “notifica aggregata” di tutte le violazioni occorse nel breve periodo di tempo (anche se superi le 72 ore), purché la notifica motivi le ragioni del ritardo.

Quali sono le modalità di comunicazione all’interessato?

Accanto agli obblighi di notifica all’autorità di controllo, l’art. 34 prevede in capo ai titolari un obbligo di comunicazione agli interessati che consenta loro di attivarsi a tutela dei propri interessi.

Come evidenziato dal Gruppo di lavoro, i due obblighi sono innescati dal superamento di soglie di rischio differenti: è sufficiente un rischio semplice per far sorgere il dovere di notifica, mentre è necessario un rischio “elevato” per attivare quello di comunicazione.

L’adeguatezza di una comunicazione è determinata non solo dal contenuto del messaggio, ma anche dalle modalità di effettuazione. Le linee guida, sulla base dell’art. 34, ricordano che devono sempre essere privilegiate modalità di comunicazione diretta con i soggetti interessati (quali email, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni nel contesto di update generali o newsletter, che potrebbero essere facilmente fraintesi dai lettori. Inoltre, dovrebbe tenere conto di possibili formati alternativi di visualizzazione del messaggio e delle diversità linguistiche dei soggetti riceventi (es. l’utilizzo della lingua madre dei soggetti riceventi rende il messaggio immediatamente comprensibile).  

Anche in questo caso, il Regolamento è attento a non gravare i titolari di oneri eccessivi prevedendo che, nel caso la segnalazione diretta richieda sforzi sproporzionati, questa possa essere effettuata attraverso una comunicazione pubblica. Si sottolinea però che anche questo tipo di comunicazione deve mantenere lo stesso grado di efficacia conoscitiva del contatto diretto con l’interessato. Così, mentre può ritenersi adeguata la comunicazione fornita attraverso evidenti banner o notifiche disposte sui siti web, non lo sarà se questa sia limitata all’inserimento della notizia in un blog o in una rassegna stampa.

Come valutare il rischio conseguente a un data breach?

La corretta valutazione dei possibili rischi scaturenti da una violazione è un passaggio importante per un’efficiente gestione del data breach. L’analisi consente al titolare di individuare con prontezza adeguate misure per arginare o eliminare l’intrusione e di valutare la necessità di attivare le procedure di comunicazione e di notifica (che si ricorda si attivano solo al superamento di determinate soglie di rischio). Rispetto alla valutazione effettuata in sede di DPIA (Data Protection Impact Assessment), la valutazione di data breach persegue uno scopo più mirato. Nel primo caso, infatti, si valutano conseguenze potenziali nel caso si verifichi un’ipotetica violazione. Nel caso di data breach, invece, il giudizio prognostico effettuato con il DPIA dovrà essere personalizzato avendo riguardo alle concrete circostanze della violazione. 

Le linee guida rappresentano in questo campo un utile ausilio alle complesse attività di assessment, in quanto forniscono una serie di fattori che i titolari devono tenere in primaria considerazione ai fini della valutazione. In particolare, le conseguenze della violazione varieranno a seconda di: tipo di violazione e natura dei dati violati (es. violazione di riservatezza, di accessibilità o di integrità dei dati; dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (es. l’aggressione riguarda dati identificativi o dati personali non direttamente identificativi; era previsto l’utilizzo di tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui in termini di potenziali danni (es. i dati sono stati inviati erroneamente a un fornitore di fiducia o sono stati sottratti da un terzo sconosciuto); speciali caratteristiche e numero degli individui interessati (es. bambini o anziani; violazione massiccia o individuale); particolari caratteristiche del titolare (es. ambito di attività economico o sanitario; contatto frequente con dati sensibili).

Accertato il livello di rischio, il titolare sarà in grado di determinare la necessità o meno di eseguire la notifica all’autorità e la comunicazione agli individui interessati. A titolo esemplificativo, quindi, nel caso una media company perda il temporaneo accesso agli indirizzi email dei propri clienti a causa di un blackout, non sarà necessario procedere alla notifica dell’evento. Al contrario, la temporanea perdita di accesso ai dati sanitari dei pazienti di un ospedale, deve essere considerato un evento che pone a rischio (anche elevato) i diritti degli individui e dovrà perciò essere correttamente gestita ai sensi degli artt. 33 e 34 del GDPR.

Allo stesso modo, lo smarrimento di un CD o di una chiavetta USB contenente dati criptati indecifrabili da terzi, nel caso in cui la chiave crittografica sia nel possesso del titolare e questi possieda un backup di tali dati, potrebbe ritenersi non lesivo nei confronti degli interessati e quindi non obbligatoriamente notificabile. In caso invece la chiave crittografica non sia sicura o non esista un backup dei dati smarriti, sarà necessario attivare le procedure di notifica e comunicazione individuate. 

Data Management Platform (DMP): cosa sono e come aiutano a raggiungere l'audience giusta by luca nogara

Marketing e comunicazione per poter essere efficaci devono focalizzarsi sempre di più sulla user experience e sulla personalizzazione dei messaggi e dei servizi offerti. È proprio per questo che sta crescendo l’utilizzo delle DMP - Data Management Platform, sistemi che aiutano le aziende a raccogliere e organizzare dati e informazioni relative agli utenti per poterle clusterizzare e analizzare, e ottimizzare così gli investimenti pubblicitari

fonte: digital4.biz - potete leggere l'articolo originale qui

Che i dati siano il pilastro portante delle aziende ormai è inequivocabile e indiscutibile. Ancor più importanti e strategici lo sono per le divisioni Marketing che necessitano di informazioni sempre aggiornate per definire i propri piani di azione, programmare l’acquisto di pubblicità o l’avvio di campagne promozionali o di comunicazione, ecc. 

Secondo quanto emerge dall’Osservatorio Internet Media degli Osservatori Digital Innovation del Politecnico di Milanolo spostamento dal semplice acquisto di spazi per la pubblicità verso la necessità di accedere a specifiche audience rende sempre più critica la raccolta e l’organizzazione di dati e informazioni che permettano di clusterizzare gli utenti per poterne analizzare bisogni e comportamenti e, di conseguenza, personalizzare al meglio le attività di marketing e comunicazione.  

A supporto di questo scenario, si osserva da più analisi un crescente utilizzo delle cosiddette DMP - Data Management Platform. Cosa sono le DMP? Si tratta di soluzioni tecnologiche che possiamo raggruppare in due macro-gruppi:

- quelle di natura più “tattica”, finalizzate all’ottimizzazione degli acquisti di spazi media rivolti a specifiche audience;

- quelle di natura più “strategica” il cui obiettivo è raccogliere dati e informazioni non solo per l’acquisto di spazi pubblicitari ma anche per altre attività di marketing e Crm di taglio più “business oriented”.

Quello delle DMP è un mercato complesso, non solo perché, come accennato, ci sono soluzioni differenti a seconda degli obiettivi che si intende raggiungere, ma anche perché si tratta di piattaforme che, in generale, richiedono un continuo aggiornamento e un vero e proprio cambiamento nella governance aziendale della gestione delle informazioni all’interno delle diverse funzioni/divisioni (senza contare che l’investimento iniziale non è banale). Tuttavia, i modelli cloud incentrati sul Software-as-a-Service hanno contribuito alla diffusione di queste tecnologie, tanto da spingere alcune società di analisi come ExchangeWire Research e Weborama a stimare che, entro il 2018, il 92% di agenzie media, inserzionisti e publisher europei implementerà una DMP (analisi che emerge dall’ultimo report “State of the European Data Management Platform market: media usage already mature, but the evolution is not complete”).  

Il messaggio giusto al momento opportuno al target più corretto: è ciò che vuole chi utilizza una DMP

Il campione europeo preso in esame da ExchangeWire Research e Weborama non può dirsi a valenza statistica (360 i professionisti interpellati in Uk, Francia, Spagna e Italia) ma ha il pregio di tracciare gli orizzonti di un trend che negli ultimi due anni ha registrato crescite interessanti anche nel nostro paese. Le DMP sono considerate tecnologie ormai indispensabili dalle aziende che hanno nella pubblicità una forza di propulsione per il business, ma stanno diventando strumenti strategici anche per attività di marketing e comunicazione più ampie dove il dato su clienti, consumatori, utenti diventa il vero asset.

In quest’ottica, ciò che rivela l’indagine europea è interessante: oltre il 75% di coloro che già utilizzano una DMP crea attraverso questi sistemi nuovi volumi di affari proprio grazie ai dati, o meglio, attraverso le campagne corrette, indirizzate al target giusto al momento opportuno (obiettivo raggiungibile solo attraverso il corretto utilizzo dei dati).

Quali dati raccogliere

Quanto alla tipologia di dati “necessari” al raggiungimento di questi obiettivi, una DMP dovrebbe essere in grado di raccogliere ed integrare qualsiasi tipo di dato ma, stando ai risultati europei dell’indagine condotta lo scorso anno, le aziende tendono a collezionare con più sistemicità quelli provenienti dai comportamenti degli utenti sul web (navigazione di siti e app, per l’87% degli intervistati) integrandoli con quelli già presenti nel proprio CRM (nel 64% dei casi). I dati provenienti dai social network iniziano ad entrare nel bacino di raccolta, integrazione e analisi di una DMP anche se con percentuali più basse (solo il 43% delle aziende prese in esame afferma di utilizzarli); è probabile che ne vedremo la crescita come fonte di alimentazione delle DMP nei prossimi 12 mesi.

I robot prenderanno il posto dei colletti bianchi? No, se si punterà sull'integrazione by luca nogara

A partire dal 2022 l'intelligenza artificiale metterà a rischio anche le posizioni con competenze più qualificate in ambito Legal, Finance e IT: CIO e funzione HR dovranno trovare il giusto equilibrio nel tracciare le regole della convivenza tra uomo e macchine, e le nuove strategie di assunzione. Il punto di Gartner

fonte: digital4.biz - potete leggere l'articolo originale qui

Anche i profili professionali di alto livello subiranno la concorrenza delle macchine. Almeno secondo Gartner, che nel report "Prepare for when AI turns skilled practices into utilities" prevede che a partire dal 2022 i professionisti più qualificati degli ambiti finanziario, legale e informatico saranno eguagliati se non superati nello svolgimento delle loro mansioni dall'intelligenza artificiale (AI), che si manifesterà in azienda attraverso smart machine e robot.

«AI e machine learning renderanno alcune delle attività svolte oggi da professionisti qualificati funzioni a basso costo», conferma Stephen Prentice, Vice President and Gartner Fellow, «e questo porterà molte industry a rivedere completamente modelli organizzativi e strategie di business, visto considerando che settori attualmente ad alto margine, sulla spinta di tecnologie che trasformano lavori complessi in semplici servizi informatici acquistabili a cottimo, si trasformeranno in vere e proprie utilities».

Uno degli ambiti più coinvolti, secondo Prentice, sarà quello legale. Oggi un avvocato deve affrontare un lungo percorso formativo per maturare le competenze e le conoscenze necessarie a svolgere la propria mansione. Lo stesso può dirsi di una macchina: attualmente i sistemi AI necessitano di tempo e investimenti per costruire il proprio know how e sviluppare determinate specializzazioni. La differenza con un essere umano è che una macchina, una volta addestrata, può replicare le proprie funzioni virtualmente all'infinito. Se un'azienda invece ha bisogno di più avvocati, deve assumerli, con tutto quel che ne consegue sul piano dei costi.

Anche il Finance subirà un importante scossone: attività come l'analisi per la concessione di prestiti e l'assicurazione dei crediti possono già essere automatizzate. Ma se da una parte l'AI ridimensionerà la forza lavoro, specialmente rispetto alla gestione dell'ordinaria amministrazione, dall'altra permetterà di dirottare le risorse fino a ora impegnate in attività ripetitive sullo sviluppo e sull'erogazione di servizi a maggior valore.

Questa trasformazione è inevitabile anche rispetto al comparto dell'IT, e in maniera trasversale i CIO devono preparare l'organizzazione a un drastico cambiamento rispetto allepriorità nei processi di assunzione. «L'AI è naturalmente più efficace nell'affrontare task ben definiti e con obiettivi chiari, mentre l'intervento umano continuerà a essere preponderante là dove i problemi sono di definizione più complessa», continua Prentice.

«Una cosa non esclude l'altra, macchina e uomo possono collaborare e non dimentichiamoci che quando cambiano le condizioni di base è sempre l'uomo che indirizza la macchina». Così Prentice raccomanda ai Chief Executive Officer di sfruttare i piani aziendali di medio termine per immaginare e pianificare insieme all'ufficio HR, un giusto equilibrio tra skill umane e capacità dell'AI. Troppa automazione rischia infatti di rendere l'impresa poco flessibile, ma porre i giusti limiti tra un ambito e l'altro si rivelerà utile anche per rassicurare i collaboratori rispetto a paventate invasioni di campo da parte dei robot.

Collaboration, Cloud ed ERP "unificato": le tre priorità dei CPO nel 2016 by luca nogara

Mentre il Procurement è conservatore per natura, il mondo delle imprese continua a evolversi trainata dall'innovazione tecnologica. La funzione acquisti è oggi chiamata a una scelta: essere modellata da questi cambiamenti o esserne partecipe in modo proattivo. Una survey di Procurement Leaders su 400 Responsabili Acquisti analizza i trend in atto

abstract - fonte www.digital4.biz - puoi trovare l'articolo originale qui

Gli ingranaggi del sistema di Procurement tendono a girare lentamente e i nuovi trend rilevati non sempre hanno effetto immediato. È un mondo a due velocità in cui difficilmente si riesce a stare al passo con la digital transformation.

Il 2016 probabilmente non sarà un anno di rivoluzione, ma di cambiamento graduale e continuativo. Anche perchè ancora si riscontra una certa riluttanza ad adottare nuovi strumenti tecnologici all’interno della funzione acquisti. Per fortuna i CPO, pur con un atteggiamento conservatore, sono tra i principali sponsor dell’innovazione, se introdotta gradualmente. Chiaramente un simile atteggiamento può essere penalizzante per le aziende, che rischiano di perdere terreno rispetto ai competitor che giocano con convinzione la partita dell’innovazione.

Per capire meglio gli impatti che la trasformazione digitale ha sul processo di acquisto,Procurement Leaders ha condotto una survey su oltre 400 CPO e Responsabili Acquisti, per comprendere quale impatto hanno i nuovi trend tecnologici.

Innanzitutto è emerso che le aree di maggior interesse riguardano la gestione nei sistemi informativi dei processi di collaborazione, i sistemi ERP e il Cloud Computing.