Pubblicato il

Rinnovati i servizi di aggiornamento per DPO e consulenti 231

Sono stati rinnovati i servizi on line di aggiornamento:
_  www.alert231.it inerente i modelli 231 e il D.lgs 231/01
www.clubdpo.com per l’aggiornamento del DPO
con la formula dell’abbonamento LITE, una nuova formula che assicura di ricevere sui rispettivi argomenti, tutte le novità in maniera puntuale e veloce, ad un prezzo molto contenuto!

Gli abbonamenti GOLD assicurano inoltre software professionale da utilizzare per un numero illimitato di aziende.

Pubblicato il

Semplificare le informative privacy attraverso il metodo “Creative Commons” Protocollo tra Garante Privacy e Creative Commons

********* CLUBDPO.COM *************
Lo strumento di aggiornamento continuo per i DPO
***********************************************

Semplificare l’elaborazione delle informative privacy usando il metodo Creative Commons, il sistema attraverso il quale il contenuto e il significato delle licenze per la fruizione di contenuti protetti dal diritto d’autore sono tradotti in simboli standard, universali, generabili automaticamente attraverso un’apposita piattaforma.

Proseguendo nella sua azione di semplificazione degli adempimenti previsti dal Regolamento Ue, l’Autorità Garante italiana per la protezione dei dati personali ha siglato un protocollo d’intesa che avvia la collaborazione con il Capitolo italiano di “Creative Commons” (CC), un’organizzazione internazionale senza scopo di lucro.

L’obiettivo è quello di valutare la realizzabilità di un sistema sul modello di quanto finora realizzato da CC per il diritto d’autore, che consenta ai titolari del trattamento di generare in maniera automatica un’informativa semplice e chiara e, per questa via, permettere alle persone di acquisire maggiore consapevolezza sul contenuto delle informative riguardanti il trattamento dei loro dati personali.

Sebbene lo studio parta dall’analisi del contesto italiano, l’obiettivo finale è quello di creare un sistema da mettere a disposizione in tutti gli Stati membri europei per costruire un ambiente digitale in cui le questioni legate alla protezione dei dati siano gestite in modo coordinato nel mercato unico digitale.

L’Italia si candida in questo modo ad essere il primo Paese a sperimentare l’implementabilità del metodo Creative Commons al campo della privacy, con l’obiettivo di fare da apripista e condividere i propri risultati.

Pubblicato il

Privacy – Novità dal Garante Privacy

Pubblicata il 20/7/2021 la newsletter del Garante privacy, con le seguenti novità:

  1. Garante privacy: sì a maggiori tutele per i dati giudiziari
    Il Garante per la privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.

    ********* CLUBDPO.COM *************
    Lo strumento di aggiornamento continuo per i DPO
    ***********************************************

  2. Fse: i pazienti hanno diritto di scegliere quali dati oscurare
    Il Garante Privacy sanziona due Aziende Sanitarie
    La normativa sul Fascicolo sanitario elettronico prevede che l’interessato possa oscurare dati e documenti presenti nel fascicolo che saranno così accessibili solo dallo stesso interessato e dal medico che li ha generati. Tale diritto è esercitabile al momento in cui sono generati i referti o successivamente. A seguito del mancato rispetto della richiesta di oscuramento avanzata dai pazienti, il Garante ha sanzionato due Aziende sanitarie (la Usl della Romagna e l’Azienda Provinciale per i Servizi Sanitari di Trento), rispettivamente per 120.000 e 150.000 euro.

  3. Garante: sì alle Linee guida Agid sull’interoperabilità delle banche dati pubbliche
    Garantire l’innovazione della pubblica amministrazione, con banche date interoperabili e accessibili in sicurezza anche a soggetti privati, proteggendo integrità e riservatezza dei dati dei cittadini. Questo l’obiettivo dei due nuovi schemi di Linee guida previste dal Codice dell’Amministrazione Digitale su cui il Garante per la protezione dei dati personali ha espresso parere favorevole.

Pubblicato il

COOKIE: dal Garante privacy nuove Linee guida a tutela degli utenti

Cookie: dal Garante privacy nuove Linee guida a tutela degli utenti
No a scrolling e a cookie wall se non in casi particolari, limiti alla reiterazione della richiesta di consenso

Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno.

********* CLUBDPO.COM *************
Lo strumento di aggiornamento continuo per i DPO
***********************************************

L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori: l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.

Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Ecco, in sintesi, i principali contenuti nelle nuove Linee guida sui cookie.

Informativa

Nel rispetto del Regolamento Ue, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso

Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.

Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Pubblicato il

Privacy – Data Breach, come gestirlo senza errori

Valutare la severità di un data breach è il primo passo da compiere prima di effettuare (entro 72 ore) la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).

La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.

Riassumiamo quindi i principali errori che la gestione di un data breach presenta.

  1. Assenza di una procedura scritta di gestione di un evento che comporta la violazione dei dati
  2. Assenza nella comunicazione agli interessati dell’avvenuto data breach, della natura della violazione  (es. se vi è stata una violazione della riservatezza)
  3. Ritardo nella comunicazione agli interessati
  4. Descrizione non realistica della violazione nella comunicazione
  5. Assenza nella comunicazione di consigli tecnici sui rimedi, adottabili direttamente dall’interessato, per mitigare le conseguenze dannose della violazione
  6. Utilizzare come strumenti di comunicazione all’interessato, i dati che si ritengono violati. Ad esempio non utilizzare l’email per inviare tale comunicazione, se la violazione riguarda proprio l’email. Valutare mezzi alternativi.

    UNA SOLUZIONE SOFTWARE PER IL DATA BREACH

    Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni, e fornisce le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’evento

    Il software funziona su un un algortimo che elabora i dati relativi a tre variabili come definite dalla procedura Enisa negli Anneex 1,2 e 3 :
    _ Contesto elaborazione dati
    _ Facilità con cui chi ha accesso ai dati violati può identificare i soggetti interessati
    _ Circostanze della violazione.

    L’utente deve scegliere per ogni variabile un valore definito dalla guida Enisa da un menù a tendina. Il software effettua in automatico il calcolo del livello di severità del databreach su 4 livelli: basso, medio, alto, molto alto.

    Per ogni livello di severità il software fornisce in automatico le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’evento

    In base a queste informazioni il titolare dei trattamenti dati può valutare che cosa fare. L’esito è stampabile e allegabile alla documentazione della gestione del data breach.
    Guarda la video demo

Pubblicato il

DPO: errori da evitare nel redigere la relazione annuale

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO**********************************

    CLUBDPO.COM

    La soluzione pratica per l’aggiornamento continuo del DPO

    **********************************

  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sula privacy .
Pubblicato il

Privacy – Garante privacy: no al controllo indiscriminato dei lavoratori

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

********************************
CORSI ON LINE PRIVACY – DPO – AGGIORNAMENTO DPO

*******************************

 

È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

********************************
CORSI ON LINE PRIVACY – DPO – AGGIORNAMENTO DPO

*******************************

Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.

Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Pubblicato il

FAQ DPO – Come svolgere il piano di monitoraggio del DPO?

FAQ DPO – Come svolgere il piano di monitoraggio del DPO?

 


CORSO ON LINE AGGIORNAMENTO DPO

Il monitoraggio dell’attività del DPO svolto dal titolare del trattamento dei dati dovrebbe essere un’attività periodica anche se non obbligatoriamente prevista dalla vigente normativa sulla privacy.

Tale monitoraggio consiste nello svolgimento di attività di verifica delle azioni intraprese dal titolare del trattamento per garantire la conformità alla normativa sulla protezione dei dati personali, la verifica  che policy,  procedure e misure di sicurezza definite dal titolare del trattamento, siano effettivamente applicate.

Tali verifiche sostanzialmente e dal punto di vista operativo riguardano: informative, designazioni, basi giuridiche, misure di sicurezza, modalità e criteri con cui è stata effettuata l’analisi dei rischi.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Pubblicato il

FAQ – Privacy DPO – Quali qualità professionali e titoli deve avere il DPO?

FAQ – Privacy DPO – Quali qualità professionali e titoli deve avere il DPO?

 

Al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale DPO, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura
ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il DPO  sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).

****** CORSO ON LINE AGGIORNAMENTO DPO ***********

Preliminarmente, si rende necessario che l’ente pubblico valuti le
qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati
personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua,
prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e
quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di
dati personali al di fuori dell’Unione europea.

Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere
un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo
specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende
dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.

Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di
acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di
valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica.

******* CORSO ON LINE ESPERTO DPO *****

Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate. Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.

In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico.

Fonte: Linee guida Garante Privacy – Documento di indirizzo su designazione, posizione e compiti del
Responsabile della protezione dei dati (RPD) in ambito pubblico

Pubblicato il

L’uso di Whatsapp ai fini aziendali può portare a sanzioni privacy – ecco come evitarle

L’uso di Whatsapp ai fini aziendali può portare a sanzioni privacy – ecco come evitarle

L’utilizzo di Whatsapp dei dipendenti per lavoro, è un comportamento che mette in grave pericolo la sicurezza e la privacy aziendale. 

C’è la concreta possibilità di perdere enormi quantità di dati e informazioni indispensabili per lo svolgimento delle attività aziendali.

Parallelamente vi è il pericolo che documenti e  informazioni riservate diventino pubbliche con ripercussioni negative ed eventuali  richieste risarcitorie

L’uso non regolamentato di Whatsapp in azienda presta il fianco anche a cyber attacchi da parte di hacker senza scrupoli.

Cosa può fare l’azienda al fine di mettere in sicurezza l’utilizzo di Whatsapp?

La soluzione ideale sarebbe quello di vietarne l’uso, ma come recenti ricerche hanno evidenziato, il suo utilizzo è talmente radicato nella quotidianità lavorativa che tale misura è impossibile da applicare.

l 75% dei dipendenti usa infatti WhatsApp o altre app di messaggistica e software di videoconferenza online per condividere dati sensibili, e il 71% di essi confessa di usare queste applicazioni per inviare informazioni critiche dell’azienda per cui lavora. Ad evidenziarlo è uno studio di Veritas Technologies, azienda specializzata nella produzione di soluzioni tecnologiche per la protezione dei dati, che ha intervistato 12.500 colletti bianchi di quattro continenti. (fonte: Feder Privacy).

La stessa Feder Privacy ha svolto un’indagine su un campione di circa mille professionisti e manager d’impresa italiani, dalla quale è emerso che la metà degli intervistati (52%) utilizza – più o meno spesso – il proprio smartphone per fotografare documenti di lavoro riservati e spedirli tramite WhatsApp o un’altra app simile. Peccato che circa uno su quattro di essi (24%) ammetta anche che ogni tanto sbaglia destinatario, e a preoccupare maggiormente è il fatto che tra le informazioni scambiate tramite queste applicazioni vi sono password aziendali, dettagli delle carte di credito, dati dei clienti, piani strategici, informazioni bancarie e salariali, e persino risultati dei test Covid-19 dei dipendenti con relativi dettagli medici. (fonte: Feder Privacy)

La prima cosa da fare è  formare i propri dipendenti sui pericoli e le conseguenze relative a utilizzare Whatsapp ai fini professionali.
In questa comunicazione formativa occorre comunicare quali siano i mezzi da utilizzare quando il dipendente si trova ad gestire informazioni che trattano dati aziendali.

E’ fortemente consigliabile utilizzare delle piattaforme appositamente progettate la massima protezione della privacy dei clienti e dei dati aziendali. 

Per risolvere la problematica delle conseguenze legali legate a un utilizzo improprio di Whatsapp da parte dei dipendenti, abbiamo realizzato Check up Privacy Whatsapp è il software che consente di individuare gli aspetti privacy sanzionabili nell’utilizzo aziendale di Whatsapp.

Il 75% dei dipendenti utilizza WhatsApp o altre app di messaggistica istantanea e software di videoconferenza online come Teams e Zoom per condividere dati sensibili, e il 71% di essi ammette di usare queste applicazioni per inviare informazioni critiche riguardanti l’azienda per cui lavora.

Per questo, quasi un terzo (30%) degli impiegati è stato già ammonito dai propri responsabili dopo aver inviato tali dati confidenziali tramite canali non consentiti dalle procedure interne.

Se il management non ne approva l’utilizzo le organizzazioni potrebbero incorrere in problemi di non conformità riguardanti le normative sulla privacy, Gdpr incluso. E se lo approva l’utilizzo deve essere conforme al GDPR stesso.

Con questo software è possibile individuare eventuali aspetti critici nell’utilizzo di Whatsapp a fini aziendali, e correggerli per evitare sanzioni anche gravi.

Il software lavora su un algortimo che consente, rispondendo a 15 quesiti specifici, di individuare:
_il livello di rischio non conformità privacy GDPR nell’uso di Whatsapp a livello aziendale
_ i consigli operativi per evitare le eventuali sanzioni privacy