In Innovando Swiss, la protezione dei dati non è una formalità, è un fondamento. Progettiamo sistemi e processi che integrano infrastruttura svizzera, cifratura e governance proattiva, perché le informazioni personali restino sicure, tracciabili e gestite con integrità.
Proteggere i dati non significa soltanto conservarli al sicuro. Significa sapere perché vengono raccolti, come vengono trattati, dove sono custoditi e quali rischi possono generare.
Ogni dato personale racconta qualcosa di una persona, di un rapporto, di una scelta, di una relazione professionale. Anche quando sembra semplice, un indirizzo email, un dato di fatturazione, una richiesta inviata tramite modulo o una traccia di navigazione non è mai soltanto un elemento tecnico. È una porzione di fiducia.
Per Innovando, la protezione dei dati non è un adempimento da collocare in fondo al sito. È una parte del modo in cui lavoriamo. Riguarda la struttura dei processi, la scelta dei fornitori, l’architettura dei sistemi, la conservazione delle informazioni, la sicurezza informatica, la gestione degli accessi, la documentazione interna e il rapporto con clienti, utenti, partner e fornitori.
La DPIA, Data Protection Impact Assessment, o valutazione d’impatto sulla protezione dei dati, nasce proprio per questo: identificare i trattamenti, valutare i rischi, definire misure adeguate e documentare in modo trasparente le scelte adottate. Nel quadro europeo, l’Articolo 35 del GDPR richiede una DPIA quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Anche il Comitato europeo per la protezione dei dati considera la DPIA uno strumento centrale per valutare e governare i rischi dei trattamenti.
Nel contesto svizzero, la Legge federale sulla protezione dei dati prevede una valutazione d’impatto quando un trattamento può comportare un rischio elevato per la personalità o i diritti fondamentali degli interessati, in particolare in relazione alla natura, alla portata, alle circostanze e allo scopo del trattamento, anche quando vengono utilizzate nuove tecnologie.
Innovando GmbH ha scelto di redigere e mantenere una propria DPIA non come documento difensivo, ma come strumento di governance. Il nostro obiettivo non è soltanto dimostrare conformità. È rendere leggibile il modo in cui proteggiamo le informazioni che attraversano i nostri processi.
Una valutazione d’impatto ben fatta non serve a produrre carta. Serve a evitare superficialità.
Serve a chiedersi quali dati vengono raccolti, per quale motivo, da chi vengono trattati, per quanto tempo vengono conservati, quali strumenti li elaborano, quali fornitori possono accedervi, quali rischi esistono e quali misure tecniche e organizzative sono state adottate per ridurli.
Questa distinzione è decisiva.
La protezione dei dati non vive nelle formule legali. Vive nei sistemi, nei comportamenti e nelle decisioni operative. Una privacy policy può spiegare. Un cookie banner può raccogliere preferenze. Un contratto può disciplinare ruoli e responsabilità. Ma la DPIA compie un passo ulteriore: osserva l’intero trattamento come un organismo, ne analizza le parti sensibili e misura il rischio residuo.
Nel nostro caso, la DPIA copre le attività operative, consulenziali e digitali di Innovando GmbH: analisi, marketing, CRM, manutenzione ordinaria e straordinaria dei siti web, produzione di documenti strategici per la comunicazione delle imprese e gestione amministrativa dei rapporti commerciali.
Questo significa che la protezione dei dati non viene affrontata solo quando nasce un problema. Viene integrata prima, durante e dopo il trattamento. Prima, nella progettazione. Durante, nella gestione degli accessi, degli strumenti e dei fornitori. Dopo, nella conservazione, nella revisione e nella cancellazione quando i dati non sono più necessari.
Innovando tratta dati personali legati alla propria attività professionale: dati di clienti, prospect, fornitori, dipendenti e utenti web. Le categorie comprendono nome, cognome, denominazione aziendale, indirizzo, email, dati contrattuali, dati di fatturazione, cookie e dati di navigazione.
Sono dati necessari per gestire rapporti commerciali, comunicazioni, attività amministrative, servizi digitali, newsletter, analisi del traffico, personalizzazione dei contenuti, manutenzione tecnica, attività consulenziali e miglioramento continuo dei servizi.
Il principio resta semplice: raccogliere ciò che serve, conservarlo per il tempo necessario, proteggerlo con misure adeguate, limitarne l’accesso e renderne comprensibile il trattamento.
La DPIA serve proprio a impedire che la raccolta dei dati diventi automatismo. Ogni dato deve avere una ragione. Ogni trattamento deve avere un perimetro. Ogni rischio deve essere valutato. Ogni misura di sicurezza deve essere proporzionata.
Non trattiamo i dati come materia prima indistinta. Li trattiamo come responsabilità.
La sicurezza dei dati presso Innovando si fonda su una strategia multilivello. Non esiste una singola misura capace di garantire protezione assoluta. Esiste invece una combinazione di scelte tecniche, organizzative e comportamentali che riducono il rischio e rendono l’infrastruttura più resiliente.
La DPIA documenta una strategia basata sui principi di defense in depth e resilience by design. In altre parole: più livelli di protezione, più punti di controllo, più capacità di recupero in caso di incidente, errore umano, guasto o evento esterno.
Uno degli elementi centrali è il sistema di backup secondo la regola 3-2-1: tre copie dei dati, due supporti differenti, una copia conservata off-site. I dati aziendali vengono duplicati su un sistema NAS primario in RAID 5 e su un secondo NAS, anch’esso in RAID 5, collocato in una diversa unità fisica. I backup sono crittografati e sottoposti a test periodici di integrità.
Questa architettura non è un dettaglio tecnico secondario. È una dichiarazione di metodo. Significa che la continuità operativa, la disponibilità delle informazioni e la protezione contro perdita o danneggiamento dei dati non vengono affidate alla fortuna, ma a una struttura ridondante e verificata.
La DPIA documenta inoltre crittografia AES-256 per i backup, custodia controllata delle chiavi, controlli hash, firewall hardware dedicati, segmentazione della rete, aggiornamenti regolari dei server e applicazione delle patch di sicurezza entro 24 ore dalla pubblicazione ufficiale.
La protezione, quando è seria, non fa rumore. Lavora sotto la superficie.
La protezione dei dati non riguarda solo ciò che avviene dentro l’azienda. Riguarda anche la filiera tecnologica.
Per questo la DPIA identifica i responsabili esterni e i fornitori coinvolti nei processi, tra cui Metanet AG per cloud e hosting, BREVO per la gestione delle newsletter, Banca Popolare di Sondrio e PayPal per i pagamenti, BEXIO per la contabilità aziendale. Il documento indica inoltre certificazioni e riferimenti infrastrutturali collegati a data center conformi alla norma ISO 27001.
La localizzazione dei dati rappresenta un elemento importante della nostra postura di sicurezza: la DPIA dichiara che i dati sono archiviati ed elaborati in Svizzera e che non viene effettuato trasferimento verso Paesi esterni all’UE o non aderenti al GDPR e alla LPD.
Questa scelta non va letta come una formula geografica. Va letta come criterio di controllo. Sapere dove sono i dati, attraverso quali fornitori transitano e quali misure li proteggono è parte essenziale della fiducia.
La sicurezza non è soltanto “avere buoni strumenti”. È sapere chi fa cosa, dove, con quali limiti e sotto quale responsabilità.
Una DPIA seria non finge che il rischio non esista. Lo nomina.
Nel documento sono identificati rischi potenziali come accesso non autorizzato ai dati, perdita accidentale o danneggiamento, profilazione automatizzata non autorizzata e trasferimento illecito di dati.
La valutazione non si limita a elencarli. Li collega alle misure di mitigazione adottate: backup ridondanti, crittografia, firewall, segmentazione, aggiornamenti, limitazione degli accessi, procedure interne, cultura della sicurezza, assenza di trattamenti automatizzati predittivi non autorizzati e revisione periodica.
Il punto non è dire che nulla potrà mai accadere. Sarebbe ingenuo e poco credibile. Il punto è dimostrare che i rischi sono stati letti, classificati e ridotti con misure proporzionate.
Secondo la DPIA, la combinazione tra infrastruttura, backup, procedure di sicurezza e assenza di trattamenti ad alto impatto determina un rischio residuo estremamente basso.
Questa frase è importante, ma va capita bene. “Rischio basso” non significa assenza di responsabilità. Significa che il trattamento è stato analizzato e che le misure adottate sono ritenute adeguate rispetto alla natura, alla scala e alle finalità dei dati trattati.
La protezione dei dati non consiste soltanto nel prevenire. Consiste anche nel sapere come reagire.
La DPIA di Innovando prevede una procedura in caso di sospetto o accertato data breach: notifica immediata al titolare del trattamento, analisi tecnica entro 24 ore, isolamento del sistema coinvolto, comunicazione ai soggetti interessati e alle autorità competenti quando necessario, redazione di un rapporto di incidente e revisione annuale.
Questa procedura ha un valore preciso: riduce l’improvvisazione.
Nella gestione dei dati, l’improvvisazione è uno dei rischi più sottovalutati. Un incidente non diventa grave solo per ciò che accade tecnicamente, ma anche per il modo in cui viene riconosciuto, contenuto, documentato e comunicato.
Preparare una procedura significa accettare una realtà matura: nessun sistema deve fondarsi sull’idea di essere invulnerabile. Deve fondarsi sulla capacità di prevenire, rilevare, rispondere e migliorare.
La fiducia non nasce dalla promessa che non esisteranno mai problemi. Nasce dalla qualità della risposta quando un problema viene identificato.
La DPIA è anche uno strumento per dare sostanza a tre principi fondamentali: privacy by design, privacy by default e accountability.
Privacy by design significa progettare processi e strumenti tenendo conto della protezione dei dati fin dall’inizio, non come correzione successiva. Privacy by default significa limitare il trattamento a ciò che è necessario, evitando raccolte eccessive o configurazioni troppo invasive. Accountability significa poter dimostrare, con documenti, processi e misure concrete, che la protezione dei dati non è soltanto dichiarata, ma praticata.
Il Garante italiano sottolinea che la valutazione d’impatto è una buona prassi anche oltre i casi strettamente obbligatori, perché aiuta il titolare a prevenire incidenti e a ricavare indicazioni utili per governare i trattamenti.
Questa è esattamente la prospettiva che adottiamo.
La DPIA non è un archivio statico. È un documento vivo, soggetto a revisione annuale o ogni volta che intervengano modifiche sostanziali nei processi aziendali, nei sistemi informatici o nelle normative di riferimento.
Una protezione seria non si scrive una volta per sempre. Si mantiene.
La sicurezza informatica non è soltanto una questione di server, backup e firewall. È una cultura.
Nel documento DPIA, Innovando dichiara di promuovere una cultura della sicurezza proattiva, nella quale ogni collaboratore considera la protezione dei dati non come un vincolo operativo, ma come una responsabilità etica e reputazionale.
Questo passaggio è forse uno dei più importanti.
Le aziende spesso parlano di protezione dei dati come se fosse una faccenda riservata ai tecnici o ai legali. In realtà, ogni dato entra in una catena di comportamenti: chi lo raccoglie, chi lo legge, chi lo salva, chi lo trasmette, chi lo cancella, chi lo esporta, chi lo usa per prendere decisioni.
La tecnologia può proteggere molto. Non può proteggere tutto da sola.
Per questo la nostra DPIA tiene insieme infrastruttura e comportamento, strumenti e responsabilità, misure tecniche e consapevolezza organizzativa. La protezione dei dati funziona quando diventa abitudine professionale, non quando resta confinata in un documento.
Una DPIA non è utile soltanto all’azienda che la redige. È utile anche a chi con quell’azienda lavora.
Per i clienti, significa sapere che i dati affidati a Innovando non entrano in un sistema opaco. Significa poter contare su processi documentati, fornitori identificati, misure di sicurezza dichiarate, tempi di conservazione definiti, procedure di risposta agli incidenti e responsabilità chiare.
Per i partner, significa collaborare con un’organizzazione che considera la protezione delle informazioni parte della propria qualità professionale.
Per gli utenti, significa interagire con un ecosistema digitale progettato per ridurre rischi, evitare trattamenti non necessari e mantenere un rapporto più trasparente tra tecnologia, comunicazione e fiducia.
La protezione dei dati, quando è fatta bene, non rallenta il lavoro. Lo rende più serio.
Permette di evitare ambiguità, riduce vulnerabilità, migliora i processi, rafforza la reputazione e crea una base più solida per ogni relazione commerciale.
Innovando considera la DPIA una dichiarazione di maturità operativa.
La nostra valutazione d’impatto sulla protezione dei dati nasce per questo: trasformare la privacy da obbligo formale a disciplina interna. Una disciplina fatta di prevenzione, proporzionalità, revisione e responsabilità.
Il dato personale non è un dettaglio tecnico. È una relazione di fiducia in forma digitale. Proteggerlo significa proteggere le persone, i clienti, i processi e la credibilità stessa dell’azienda.
Legal and operational headquarters:
Local dateSwitzerlandChecking...
SUPPORTO
