Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance Governance

    Slack e il GDPR: La guida completa

    Tutto quello che deve sapere per garantire la conformità alle normative GDPR per Slack

    by Emily Schwenke

    Key Points

    • Questo blog è stato originariamente pubblicato sul sito web di Aware, ma con l'acquisizione di Aware da parte di Mimecast, ci assicuriamo che sia disponibile anche per i visitatori del sito web di Mimecast.
    • Sebbene esistano alcune eccezioni per le organizzazioni con meno di 250 dipendenti, la maggior parte delle organizzazioni che comunicano con i clienti nell'UE sono soggette ai regolamenti del GDPR.
    • Anche per le grandi organizzazioni, il reperimento dei dati necessari per soddisfare la conformità al GDPR può essere laborioso e costoso, anche se strumenti automatizzati come Aware possono aiutare.

    La privacy dei dati è fondamentale. Le aziende di oggi sono sottoposte a una pressione costante per garantire che i loro strumenti di comunicazione e collaborazione siano conformi alle varie normative sulla sicurezza dei dati. Uno di questi regolamenti cruciali è il Regolamento generale sulla protezione dei dati (GDPR). In questa guida completa, approfondiremo le complessità di Slack e della conformità al GDPR, risponderemo se Slack è conforme al GDPR ed esploreremo come può supportare la conformità normativa in Slack.

    Slack è conforme al GDPR?

    Sì, Slack supporta la conformità al GDPR. Slack ha compiuto passi significativi per allinearsi ai requisiti del GDPR in materia di privacy e sicurezza dei dati, consentendo alle organizzazioni coperte dal GDPR di utilizzare Slack rispettando i loro obblighi di gestire i dati personali in modo conforme.

    Che cos'è il GDPR?

    Il Regolamento generale sulla protezione dei dati è un regolamento completo sulla privacy dei dati emanato dall'Unione Europea (UE) per fornire alle persone un maggiore controllo sui loro dati personali. Il GDPR è stato istituito per affrontare le crescenti preoccupazioni relative alle violazioni dei dati e all'uso improprio dei dati personali, dando alle persone il diritto di conoscere, accedere e cancellare i propri dati. Inoltre, stabilisce regole severe per le organizzazioni che gestiscono i dati personali e prevede sanzioni severe in caso di non conformità.

    Alcune delle più grandi aziende del mondo sono cadute in fallo nel GDPR e sono state sanzionate per non aver protetto i dati degli utenti. Questi includono:

    • Meta è stata multata per 1,3 miliardi di dollari nel 2023 per aver trasferito i dati degli utenti dell'UE negli Stati Uniti.
    • Amazon è stata multata per 781 milioni di dollari per aver tracciato i dati degli utenti senza consenso.
    • WhatsApp è stata multata per 193 milioni di dollari per non aver informato chiaramente gli utenti sul trattamento dei loro dati.
    • Google è stata multata per un totale di 165 milioni di dollari per non aver fornito agli utenti un modo semplice per rifiutare i cookie.

    A chi si applica il GDPR?

    Il GDPR è una legge dell'Unione Europea che tutela i dati delle persone residenti nell'Unione Europea. Tuttavia, può essere applicata alle aziende con sede in altre parti del mondo, se raccolgono e gestiscono tali dati personali o li elaborano per conto di altri. Qualsiasi azienda che offra beni e servizi all'interno dell'UE, o che monitori il comportamento delle persone in quell'area, deve essere conforme al GDPR.

    Questo vale anche per le piccole imprese, poiché il GDPR si applica indipendentemente dalle dimensioni dell'azienda. Tuttavia, le aziende con meno di 250 dipendenti sono esenti da alcuni obblighi, come quello di richiedere un Responsabile della Protezione dei Dati. Il GDPR non si applica alle persone impegnate in attività "personali o domestiche", come la creazione di una newsletter via e-mail per amici e familiari. Tuttavia, il GDPR si applica alle persone impegnate in attività più professionali, anche per hobby, come ad esempio la gestione di una newsletter via e-mail per i fan di una serie televisiva popolare.

    Controllori e Responsabili del trattamento GDPR

    Nel contesto del GDPR, i responsabili del trattamento dei dati determinano le finalità e i mezzi del trattamento dei dati, mentre gli incaricati del trattamento dei dati agiscono per conto dei responsabili del trattamento. Slack, ad esempio, agisce come processore di dati quando la sua organizzazione utilizza la sua piattaforma. Alcune aziende possono controllare i propri dati in ogni momento e non utilizzare mai un elaboratore, ad esempio se la sua azienda costruisce e ospita il proprio strumento di comunicazione interna. Un incaricato del trattamento gestisce sempre i dati per conto di un'altra organizzazione.

    Sia i responsabili del trattamento che gli incaricati del trattamento hanno gli stessi obblighi ai sensi del GDPR quando si tratta di trattare i dati, ma gli incaricati del trattamento, per definizione, lavorano anche sotto l'obbligo dei responsabili del trattamento. Per questo è fondamentale stabilire responsabilità e accordi chiari tra i responsabili del trattamento e gli incaricati del trattamento per garantire la conformità. Spesso, queste responsabilità sono delineate in un accordo di trattamento dei dati. Slack offre un Addendum sul trattamento dei dati (DPA) come supplemento ai ToS del cliente. Per essere valido, il DPA deve essere eseguito da una persona autorizzata a firmare per conto dell'organizzazione responsabile del trattamento.

    Il GDPR si applica agli strumenti di collaborazione come Slack?

    Forse non penserà agli strumenti di collaborazione come ricettacoli di dati personali, ma la nostra ricerca mostra che molte piattaforme di comunicazione sul posto di lavoro sono piene di informazioni sensibili e riservate. In media, le informazioni personali si trovano in un terzo di tutti i messaggi, e uno su 17 contiene almeno tre informazioni sensibili. Questa proliferazione di rischi rende essenziale considerare strumenti come Slack quando si tratta di adempiere agli obblighi del GDPR.

    Oltre ai rischi PII contenuti in Slack, la possibilità di esercitare il diritto all'oblio di un cliente o di un dipendente si applica anche ai dati di Slack. Le aziende devono considerare in modo proattivo come identificare, isolare ed eliminare i dati Slack da un single custode entro i tempi previsti dal GDPR.

    I dipendenti sono coperti dal GDPR?

    Il GDPR riguarda tutti i dati, compresi quelli dei clienti e dei dipendenti. I dati dei dipendenti sono soggetti agli stessi standard di protezione dei dati dei clienti. Ciò significa che le organizzazioni devono assicurarsi di trattare i dati dei loro dipendenti in modo lecito e trasparente. In qualsiasi momento, un dipendente può presentare una richiesta di accesso ai dati personali ai sensi dell'Articolo 15 e ha gli stessi diritti di qualsiasi cliente o committente di vedere tutti i dati che l'azienda detiene su di lui, entro il termine di un mese previsto dall'Articolo 12.

    Esempi di rischi GDPR in Slack

    Il GDPR conferisce alle persone il diritto di accedere, rivedere, correggere e rimuovere i dati in loro possesso da parte dei responsabili del trattamento o degli incaricati del trattamento. Le aziende sono tenute a soddisfare le richieste del GDPR entro tempi specifici, il che può essere problematico per le grandi organizzazioni che conservano i dati in enormi insiemi di dati non strutturati.

    L'utente medio di Slack invia 28 messaggi al giorno, e oltre il 90% di questi sono inviati nei canali privati e nei DM, dove anche gli amministratori possono faticare a mantenere una visibilità completa. La sfida di estrarre questi dati in modo tempestivo non può essere sopravvalutata, e questo espone l'organizzazione al rischio di azioni normative.

    • Diritto di accesso (Richiesta di accesso ai dati): Un individuo può richiedere una copia dei dati personali che un'organizzazione detiene su di lui presentando una richiesta nota come DSAR. Questo include informazioni sulle modalità di elaborazione dei dati, sulle finalità dell'elaborazione e sui soggetti con cui vengono condivisi. Termine ultimo per conformarsi: 1 mese.
    • Diritto di rettifica: Se una persona ritiene che i dati personali in possesso di un'organizzazione siano inesatti o incompleti, può chiedere al responsabile del trattamento di rettificare o correggere i dati. Termine ultimo per conformarsi: 1 mese.
    • Diritto alla cancellazione (Diritto all'oblio): Le persone hanno il diritto di richiedere la cancellazione dei loro dati personali se non ci sono motivi legittimi per cui il titolare del trattamento continui a elaborarli. Questo diritto non è assoluto e può essere soggetto ad alcune eccezioni. Termine ultimo per conformarsi: 1 mese.
    • Diritto alla portabilità dei dati: Le persone possono richiedere i propri dati personali in un formato strutturato, comunemente utilizzato e leggibile da una macchina. Possono anche richiedere che i dati siano trasmessi direttamente a un altro titolare del trattamento, quando ciò è tecnicamente possibile. Questo diritto consente alle persone di spostare facilmente i propri dati tra diversi fornitori di servizi. Termine ultimo per conformarsi: 1 mese.

    Cinque passaggi per rendere Slack conforme al GDPR

    Slack supporta la conformità al GDPR nel suo ruolo di responsabile del trattamento dei dati, ma la piena conformità è una responsabilità condivisa tra Slack e i suoi utenti (i responsabili del trattamento dei dati contenuti in Slack). Slack offre funzionalità e caratteristiche che aiutano gli utenti a soddisfare i requisiti del GDPR, come le funzionalità di esportazione e cancellazione dei dati. Tuttavia, le organizzazioni devono anche implementare le loro politiche e procedure per garantire la conformità al GDPR all'interno del loro spazio di lavoro Slack.

    Per rendere Slack conforme al GDPR, le organizzazioni e i responsabili della conformità devono seguire questi cinque passi:

    1. Esaminare l'utilizzo dei dati: Capisca quali dati i dipendenti condividono su Slack e si assicuri che siano in linea con i principi del GDPR.
    2. Impostare le politiche di conservazione dei dati: Definisca per quanto tempo conservare i dati su Slack e riveda ed elimini regolarmente i dati di cui non ha più bisogno. Prenda in considerazione l'utilizzo di una soluzione DLP come Aware di Mimecast per automatizzare la conservazione e l'eliminazione dei dati da Slack.
    3. Educare gli utenti: Istruisca il suo team sulle normative GDPR e sulle migliori pratiche per utilizzare Slack in modo conforme. Tutti gli utenti di Slack devono essere consapevoli del fatto che le loro comunicazioni possono essere messe in evidenza dalle richieste di accesso ai soggetti e devono essere consapevoli di rimanere professionali nonostante lo stile di comunicazione informale di Slack.
    4. Utilizzi le funzioni di conformità di Slack: Sfrutti gli strumenti di gestione integrati di Slack per l'esportazione dei dati e la cancellazione dei profili. Questi strumenti supportano la ricerca dei dati Slack e la rimozione dei messaggi creati da un single utente (custode) in conformità con il GDPR. Tuttavia, sappia che questo strumento eliminerà tutti i contenuti generati dagli utenti e potrebbe includere dati di cui l'azienda potrebbe ritenersi proprietaria e che desidera conservare. Lo strumento di conservazione granulare di Mimecast Aware consente agli utenti di rivedere i contenuti generati dai custodi e di assegnare loro un valore prima dell'eliminazione, preservando i dati critici.
    5. Accelerare la conformità GDPR con Mimecast Aware: Mimecast Aware supporta la conformità GDPR per Slack utilizzando l'intelligenza artificiale per l'elaborazione del linguaggio naturale, leader nel settore, per applicare le politiche di utilizzo accettabile all'interno di Slack, rilevare e rimuovere le informazioni non autorizzate - compresi PII, PHI e dati sensibili dell'azienda - utilizzando flussi di lavoro automatizzati intelligenti, e implementare politiche di conservazione granulari e bidirezionali per eliminare o conservare automaticamente i dati preziosi. Mimecast Aware è anche un fornitore di sicurezza e conformità di fiducia di GovSlack.

    Altre considerazioni sulla conformità di Slack

    Oltre al GDPR, le organizzazioni che operano in settori altamente regolamentati come l'assistenza sanitaria (HIPAA) o la finanza (FINRA) devono attenersi a requisiti di conformità specifici quando utilizzano Slack. E tutte le organizzazioni, indipendentemente dal loro settore, hanno la responsabilità di proteggere le informazioni di identificazione personale (PII) e i dati del settore delle carte di pagamento (PCI) all'interno di Slack e di conformarsi alla norma ISO 27001 e/o SOC 2 come best practice. La nostra ricerca mostra che, quando le aziende distribuiscono piattaforme di collaborazione come Slack, i dipendenti le utilizzano come archivi per tutti i dati relativi all'azienda, a meno che non vengano offerte loro alternative migliori.

    Come Mimecast Aware supporta il GDPR e la conformità in Slack

    Aware supporta la gestione dei dati conforme al GDPR con soluzioni progettate per rispondere agli obblighi dell'organizzazione:

    • Articolo 5-Principi relativi alle modalità di trattamento dei dati personali da parte delle organizzazioni
    • Articolo 12-Comunicazione trasparente dei diritti dei soggetti interessati
    • Articolo 15-Diritto di accesso
    • Articolo 17-Diritto alla cancellazione

    Mimecast Aware si connette a Slack tramite API per ingerire senza problemi un record completo di tutti i messaggi nei canali Slack in tempo reale, senza alcun passaggio IT e senza alcun impatto sugli utenti finali. I messaggi di Slack vengono poi analizzati utilizzando i flussi di lavoro di elaborazione del linguaggio naturale (NLP) e AI/ML di proprietà di Aware, leader nel settore, per rilevare e ridurre automaticamente la condivisione di informazioni non autorizzate all'interno di Slack, compresi PII, PHI, PCI e altri dati sensibili. Utilizzando Aware, i team che si occupano di compliance possono mitigare i rischi in tutti gli strumenti di collaborazione da una single piattaforma centralizzata che ottimizza i flussi di lavoro, automatizza le notifiche e supporta senza sforzo il coaching dei dipendenti e l'applicazione delle policy.

    Oltre alle funzionalità di compliance, la piattaforma dati Aware offre una suite di funzionalità di eDiscovery, DLP e sentiment insights che supportano la gestione olistica delle comunicazioni dei dipendenti in tutta l'azienda, alimentando ogni aspetto del moderno flusso di lavoro dell'esperienza.

    Si affidi a Mimecast per identificare, affrontare e applicare la conformità per Slack e altro ancora. Per saperne di più.

    Inline_43.jpg
    Up Next
    Data Compliance Governance |
    Come esportare le conversazioni in Slack: Una guida completa

    Related Articles

    Data Compliance Governance
    Ha un problema di rischio dati in Slack?
    Data Compliance Governance
    La guida completa all'eDiscovery in Slack
    Data Compliance Governance
    Che cos'è lo Shadow IT? Esempi, rischi e soluzioni

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top