Hotel e HotSpot WiFi

La sicurezza degli HotSpot WiFi di Hotel ed Alberghi è uno degli aspetti più trascurati nello scenario italiano.

Negli anni, siamo passati da un servizio a costo aggiuntivo ad un accessorio pressoché obbligatorio da fornire agli ospiti, a titolo gratuito; per questo, spesso non si ritiene utile investire in tale ambito, in quanto non porta utili tangibili.

Talvolta, nei nostri pernottamenti di lavoro in vari hotel, troviamo soluzioni che definire raffazzonate è eufemistico; in taluni casi, viene semplicemente consentito l’accesso alla stessa WLAN del router fornito dal provider internet, con tutta una serie di gravissimi rischi, incombenti sia a carico del gestore alberghiero che dei suoi clienti. In tale situazione, infatti, i dispositivi dei clienti non solo possono compromettere i devices dell’hotel ma anche quelli degli altri ospiti, in quanto possono comunicare tra di loro.

In relazione alla fornitura del servizio di connettività InterNet agli ospiti, sussistono varie normative e regolamenti, ivi compreso il Regolamento UE 679/2016; nella progettazione ed erogazione del servizio, occorre tener conto degli aspetti cogenti del GDPR e dei principi alla base della protezione dei dati personali, in particolare gli aspetti di minimizzazione, gestione del rischio, privacy by design – by default, misure di sicurezza e crittografia.

In relazione invece al famoso decreto Pisanu, pur essendo venuti meno gli obblighi di registrare i dati anagrafici e identificativi degli utenti e di monitorarne le sessioni InterNet, non mi sento di consigliare i proprietari di strutture alberghiere in tal senso, essendo sempre in capo ad essi la responsabilità di eventuali illeciti commessi da terzi nell’utilizzo delle proprie infrastrutture ITC.

Occorre quindi trovare “la quadratura del cerchio”; questa dovrà essere basata sulle specifiche caratteristiche della infrastruttura e delle esigenze della proprietà.


GDPR e sanità, le regole del Garante per studi medici, farmacie ed aziende sanitarie

L’Autorità di Controllo italiana (Garante Privacy), in apposito provvedimento, ha specificato le regole da adottare da parte di medici, farmacie ed ASL.

Come sapevamo, il medico non deve più chiedere il consenso per tutti i trattamenti che riguardano finalità di cura.

Si presti però estrema attenzione al fatto che trattamenti diversi da questa specifica finalità necessitano di altra base giuridica (o del relativo consenso).

Da evidenziare la precisazione della Autority che in ambito sanitario è sussistente, in linea generale, l’obbligo di tenuta del registro dei trattamenti; pertanto sia singoli professionisti, pediatri, studi medici associati, ospedali privati, case di cura, RSA, aziende sanitarie, farmacie debbono avere il registro dei trattamenti.

Per quanto riguarda il DPO, il singolo medico, le farmacie, parafarmacie ed ortopediche non sono tenute alla nomina; essa è invece richiesta a studi medici associati, case di cura, ospedali privati, centri diagnostici, RSA, centri chirurgici e tutti coloro che effettuano trattamenti sanitari in larga scala.

Per approfondimenti segnalo i miei post precedenti: studi medici e DPOsoggetti privati obbligati alla nomina del DPO.

Contattateci per avere supporto alla compilazione del registro dei trattamenti o per il approfondimenti in merito al ruolo di DPO in ambiti sanitari

GDPR ed il “vestito su misura”

Tra gli addetti ai lavori, ha preso campo il concetto di “vestito su misura”  oppure “abito sartoriale”, riferito ai processi di adeguamento di ogni diversa organizzazione.

Trascurando poche realtà, ogni organizzazione ha caratteristiche che necessitano di soluzioni “ad hoc” per l’adeguamento al GDPR; anche il corso di formazione deve essere specifico, centrato sui loro trattamenti e sui relativi processi e flussi di dati, nonchè sui rischi incombenti e sulle buone prassi operative da adottare.

Stamani ho visto gli “artefatti” generati da un software che consentirebbe (a dire del produttore) di adeguarsi ai requisiti del GDPR;
ebbene, dei documenti che ho visionato:

  • registro dei trattamenti;
  • informative ai clienti;
  • informative ai fornitori;
  • informative ai dipendenti;
  • lettere di nomina responsabile esterno;
  • lettere di incarico agli incaricati – soggetti designati dal titolare;

nessuno di questi aveva le necessarie caratteristiche richieste dal Regolamento, con la “chiccache il registro dei trattamenti mancava di campi obbligatori mentre aveva campi assolutamente inutili (se non controproducenti).

Quindi, in ambiti di media complessità (che purtroppo riscontro anche in micro imprese “pesantemente” informatizzate), diffidate non solo delle soluzioni “pret-a-porter”, ma anche dei pacchetti di consulenza offerti dalle associazioni di categoria ad un prezzo stracciato.

Spesso chi vi predispone i documenti non ha ben chiaro cosa vi stia scritto; oggi anche una inidonea informativa è sanzionata con importi astronomici.

E del fatto che oggi, in vigenza del GDPR, la dataprotection non si realizzi stampando qualche documento, avevo mai scritto?

Richieste, informazioni e preventivi

Con la ripresa lavorativa (e la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 101), molte organizzazioni mi stanno contattando per informazioni, richieste e preventivi in merito al GDPR.

Dato l’elevato carico di lavoro, non potrò rispondere a tutte le chiamate telefoniche; chiedo pertanto di inviare le richieste tramite una e-mail a webreq@stefanorossi.it, indicando i riferimenti per essere ricontattati appena mi sarà possibile.

GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.

Registro dei trattamenti – art. 30 GDPR

Come sappiamo, il Regolamento EU 679/2016 introduce, all’art. 30, l’obbligo per i Titolari di dotarsi del registro dei trattamenti.

L’obbligo non si applica alle organizzazioni con meno di 250 dipendenti, ma il Garante, gli Organi di Controllo ed i vari esperti ne consigliano la tenuta (e l’aggiornamento continuo, aggiungerei).

Come discriminante generale direi che i Titolari che trattano dati particolari di terzi, diversi da quelli dei dipendenti, debbono avere il Registro dei Trattamenti.

Il registro è tenuto in forma scritta o (meglio) anche in formato elettronico; non è strettamente necessario acquistare un software apposito in quanto, nelle “organizzazioni classiche”, si tratta di un documento abbastanza semplice da realizzare.

Ho predisposto un apposito documento di Excel con alcuni campi predeterminati ed alcune piccole automazioni, che supporta la produzione ed il mantenimento del  registro dei trattamenti per studi professionali e PMI non IT.

I clienti sono invitati a richiedere il documento (compreso nel servizio di consulenza GDPR).

Aggiornamento: sono state pubblicate le F.A.Q. sul Registro dei Trattamenti