DATI COMUNI? EH, CAPIRAI…


Vedendo diverse realtà lavorative, abbiamo la sensazione che per le aziende occuparsi di privacy sia, per certi aspetti, una cosa complessa e intricata, e per altri, una cosa da niente, per cui ti puoi arrangiare alla meno peggio.

Come ad esempio per quanto riguarda il saper identificare quali siano i dati che necessitano tutela. Una cosa con cui si dovrebbe avere una certa dimestichezza…

E invece c’è chi è convinto di tutelare dati sensibili, e poi pensa che in tale categoria rientrino le coordinate bancarie dei dipendenti, piuttosto che le informazioni sui progetti aziendali. (NON è così.)

O ancora chi crede che i dati sensibili siano i soli dati meritevoli di tutela e per i quali vadano strutturate delle procedure per il trattamento corretto e legittimo. (NON è così.)

“Eh, capirai… nomi e cognomi sono dati comuni”, mi dicono, “non bisogna fare niente”.

Nome, cognome, indirizzo di residenza o e-mail non sono dati sensibili ma comunque hanno un loro valore, si riferiscono ad una determinata persona fisica (che sia candidato, dipendente, cliente) e come tali devono essere tutelati.

È importante essere autonomi nella gestione dei dati.

Ma questo significa essere preliminarmente consapevoli e sapere come muoversi, e non sottovalutare aspetti solo sulla carta “burocratici”, ma di per se estremamente significativi.

 

Queste storie, nella loro apparente assurdità, mostrano mancanze ed errori quotidiani (ma che possono costare caro) nella gestione dei dati, a cui però puoi porre rimedio.
Scopri come >>>> http://bit.ly/workshop_DataLawManagement

DANNATE CHIAVETTE USB


E ripartiamo per un altro giro nel mondo della privacy… Questa volta il nostro caso riguarda un responsabile delle risorse umane. Chi meglio di lui dovrebbe sapere come trattare i dati del personale?

Siamo stati in visita in una impresa piuttosto grande, con circa un centinaio di dipendenti. Un’azienda solida, strutturata (più o meno). Cominciamo il classico sopralluogo, e non starò qui tanto ad annoiarvi, sapete di cosa si tratta. Cosa abbiamo trovato sta volta? Per farla breve, che il responsabile delle risorse umane aveva una serie di chiavette USB in cui faceva sistematicamente il backup di tutti i fascicoli dei dipendenti. Negli anni ne aveva accumulate diverse – credo che nemmeno lui sapesse quante con esattezza. Aveva più copie degli stessi fascicoli, su più chiavette, perché VOLEVA ESSERE SICURO DI NON PERDERE LE INFORMAZIONI SALVATE.

Come se la cosa migliore da fare per non perdere qualcosa fosse farne mille copie, tanto da dimenticarsi addirittura di dove poi vanno a finire… Perché così era in effetti. Sempre per essere sicuro, di solito lasciava una chiavetta in ufficio, in un cassetto, e una se la portava a casa. Però poi ne aveva anche delle altre perché quelle che usava erano diventate vecchie e allora ne aveva prese di più nuove… (e le aveva tenute tutte, naturalmente). E ste chiavette che giravano da casa a lavoro, in un cassetto e poi in un altro “più sicuro”.

Ci sono anche informazioni importanti in questi fascicoli, o sbaglio? Dati sensibili? COSE CHE NON DOVREBBERO ESSERE DIFFUSE. Ad esempio se la tal persona o un suo familiare è soggetto a legge 104, oppure a quale associazione sindacale appartiene, solo per dire le prime due che mi vengono in mente.

Mi ha colpito questa cosa: siccome non voglio perdere informazioni, le moltiplico. (Quando è così che semmai ne perdo oggettivamente il controllo. Infatti il nostro responsabile delle risorse umane se poi perde una chiavetta USB magari nemmeno se ne accorge perché non sa neanche lui quante ne ha e dove le ha messe.) Non funziona così! soprattutto quando si trattano dati che devono essere protetti, riservati, e NON MOLTIPLICATI!

 

Queste storie, nella loro apparente assurdità, mostrano mancanze ed errori quotidiani (ma che possono costare caro) nella gestione dei dati, a cui però puoi porre rimedio.
Scopri come >>>> http://bit.ly/workshop_DataLawManagement

SORVEGLIANZA A LUCI ROSSE


Quella che vi devo raccontare oggi è una storia tanto semplice quanto assurda. E vi posso assicurare che è vera al cento per cento, perché l’ho vissuta in prima persona.

Siamo stati chiamati da una grande azienda, per un audit preliminare in tema di GDPR. La nuova normativa sulla privacy aveva fatto drizzare le antenne al titolare, e, anche se non lo sapeva ancora, ne aveva un’ottima ragione. Si trattava di una prima visita per vedere cosa c’era che non andava. Ma abbiamo visto ben di più.

Arriviamo, salutiamo e ci presentiamo. Ci fanno entrare nella reception all’ingresso, e, neanche il tempo di fare una domanda e di cominciare ad approfondire la questione privacy, notiamo che hanno un paio di televisori collegati alle telecamere di sicurezza installate nell’edificio.

Le riconosci subito, le tipiche schermate in bianco e nero, le inquadrature fisse e gli schermi suddivisi in settori che mostrano le riprese dei diversi spazi. Un dipendente seduto alla scrivania con i due televisori, sbrigava qualche faccenda compilando alcuni fogli, e ogni tanto ci buttava un occhio.

Guardo il mio collega, e inclino leggermente la testa arricciando le labbra come per dire, “però, non scherzano mica qui dentro”.

Se non che, giusto il tempo di rendersi conto un attimo meglio delle immagini, vedo una ragazza mezza nuda passare lì sullo schermo: questi avevano messo delle telecamere di videosorveglianza negli spogliatoi, maschili e femminili, dell’azienda. Almeno la parità dei sessi era stata garantita…

Non so dirvi da che parte buttasse lo sguardo il ragazzo seduto lì davanti, ma di una cosa sono sicuro: quelle telecamere non avrebbero mai dovuto essere lì.

Mi giro verso il mio collega che mi fa una faccia tra il sorpreso e il divertito. Notando cosa stavamo guardando, il titolare si è subito fatto avanti per farci sapere: “sono nascoste èh!”
“Ah, perfetto”, gli ho risposto, “peccato che siano anche totalmente illegali”.

 

Queste storie, nella loro apparente assurdità, mostrano mancanze ed errori quotidiani (ma che possono costare caro) nella gestione dei dati, a cui però puoi porre rimedio.
Scopri come >>>> http://bit.ly/workshop_DataLawManagement

Wi-Fi PER TUTTI!!!


Oggi il vostro carissimo investigatore di privacy è stato in visita… in un’azienda. Non fatemi dire di più, e figuratevela un po’ come vi pare: è un altro di quei casi all’ordine del giorno per chi come me è spesso in giro a seguire aziende in materia di GDPR.

Dopo poco che ero lì, gli ho chiesto una cortesia: se potevo usufruire della loro rete Wi-Fi. Loro molto gentilmente mi hanno risposto che non c’era nessun problema e mi hanno subito dato la password – che per comodità era scritta su un post-it, lì sulla bacheca della reception, pronta per chi ne avesse avuto bisogno.

Mi hanno fatto notare che infatti per loro era una cosa del tutto normale, che era una cortesia che riservavano a tutti i loro ospiti. D’altra parte, direte voi, che c’è di strano?

Di strano c’è che la password che mi hanno fornito, e che come mi hanno detto, forniscono a tutti i loro ospiti, consentiva l’accesso non solo a internet ma anche a tutto il server aziendale!

Il router era anche predisposto con una guest line (la linea di accesso per gli ospiti che permette di navigare in rete ma non consente di accedere al server dell’azienda), ma non la usavano “per comodità”.

Davvero scomodo dare una password diversa ai propri ospiti per impedire che possano ficcare il naso negli affari nostri. Anche perché in azienda di veri e propri affari si tratta.

E quindi? Quindi, chiunque avesse avuto la password della loro Wi-Fi, avrebbe potuto, comodamente seduto nella sua macchina, nel parcheggio sottostante gli uffici, connettersi ed entrare nel database aziendale in cui erano custoditi, a detta dello stesso titolare, file importantissimi “che se perdiamo quelli, non so che fine facciamo…”

Chiunque avrebbe potuto entrare nel server e prendersi ad esempio la lista di tutti i loro contatti e fornitori, per dire la cosa forse meno importante, e addirittura cancellare file, senza che questi se ne rendessero nemmeno conto.

Il titolare si è subito reso conto dell’errore pacchiano, e quasi imbarazzato ha detto “eh si, bisogna che stiamo attenti a ste cose. Non possiamo mica…”

Di sicuro per le aziende estendere la propria rete è un’obiettivo costante, ma forse ci sono cose che si farebbe meglio a tenere per se.

 

Queste storie, nella loro apparente assurdità, mostrano mancanze ed errori quotidiani (ma che possono costare caro) nella gestione dei dati, a cui però puoi porre rimedio.
Scopri come >>>> http://bit.ly/workshop_DataLawManagement

IL SEGRETISSIMO QUADERNO DELLE PASSWORD


Caro lettore, qui si parte con una storia di quelle che non sai neanche se continuare a ridere o se metterti a piangere. Tutto è cominciato con il solito giro per gli uffici dell’azienda, questa volta di una piccola media impresa.

Ti sarà capitato di entrare in un’azienda come questa, il classico capannone che nella parte anteriore ha i vari uffici di segreteria, amministrazione, eccetera. Nulla di straordinario. Un po’ di disordine qua e là, ma tutto nella norma.

Ma se ti guardi bene intorno, nelle bacheche al muro e nelle scrivanie dei dipendenti, e ti lasci trasportare dal magico flusso dei dati che trovi sparsi (tra biglietti da visita lasciati qua e là, numeri di telefono scritti sui post-it e chiavette usb lasciate in giro, facili da prendere per chiunque passi per qualsiasi ragione in questi uffici) potresti arrivare a trovare dei veri e propri tesori.

Muovi lo sguardo e tac, a un certo punto ti imbatti esattamente in qualcosa che ti fa dire “bingo”.

Ed è così che nel bel mezzo di una scrivania, di un dipendente che tra l’altro quel giorno era assente, lì sopra, alla portata di tutti e in bella vista, abbiamo trovato il quaderno delle password.

Ti starai domandando come facessimo ad aver capito cosa contenesse quel quaderno. Beh, era scritto in copertina a lettere cubitali: “QUADERNO DELLE PASSWORD”.

La cosa più segreta che c’è per una azienda, lì a disposizione, consultabile come un comodo catalogo. Finché sei lì che aspetti, potresti sfogliarlo per bene, fotografando pagina per pagina tutti i vari codici di accesso.

Secondo un antico stratagemma cinese, le cose nascoste meglio sono quelle più in bella vista. Ma mettere le password della propria azienda sotto agli occhi di tutti, forse non è un’interpretazione del tutto corretta di questo stratagemma.

 

Queste storie, nella loro apparente assurdità, mostrano mancanze ed errori quotidiani (ma che possono costare caro) nella gestione dei dati, a cui però puoi porre rimedio.

Scopri come >>>> http://bit.ly/workshop_DataLawManagement