NEWS

Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy - Twitter: monica_perego

Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.

Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati.

A febbraio di quest’anno è stata pubblicata la nuova versione della ISO/IEC 27001:2022. Il documento ha riorganizzato i controlli, ne ha introdotti di nuovi, e ha integrato la parte relativa alle Linee Guida con nuove indicazioni. Tra queste alcune riguardano i trattamenti verbali come parte integrante del controllo 5.14 “Information transfer control”. In questo articolo si approfondirà questo tema, con un’attenzione specifica alle indicazioni provenienti dalla ISO/IEC 27002:2022, indicazioni che sono da considerarsi integrative ad altre misure.

In moltissime aziende è prevista la registrazione all’ingresso dei visitatori, siano essi clienti, manutentori esterni, addetti al vending, consulenti, rappresentanti di fornitori, candidati alla selezione, ecc. La registrazione è di norma svolta su supporti cartacei; le realtà più grandi dispongono invece di soluzioni elettroniche; in ogni caso molto raramente tale registrazione è gestita come un trattamento. In questo articolo si vogliono approfondire le implicazioni connesse a tale documento, con la consapevolezza che nelle aziende sono presenti situazioni molto variegate.

Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.

Il tema della sostenibilità negli ultimi anni è entrato prepotentemente come fattore con il quale le organizzazioni di ogni tipo si devono costantemente confrontare. L’organo direttivo di un’organizzazione, i suoi dipendenti e altri soggetti come i clienti, i fornitori, i partner e le istituzioni, vogliono confrontarsi con soci in affari che perseguono politiche sostenibili. In questo articolo si desidera mettere in evidenza, prendendo spunto da Agenda 2030 dell’ONU, i punti di contatto tra il tema della sostenibilità e la protezione dei dati personali, pur consapevoli che si tratta di una tematica borderline, ma che comunque riserva alcune sorprese.

Il considerando 88 del GDPR richiede almeno una procedura per la notifica della violazione dei dati personali. Tale richiesta, in una logica sistemica, deve considerare da un lato tutto il processo di gestione di un evento di Data Breach e non solo la gestione del singolo evento, e dall’altro non solo le situazioni di Data Breach ma anche quelle di potenziale evento che mina la sicurezza delle informazioni.

La pandemia e l’esponenziale incremento di attacchi hacker ci hanno ricordato che un’organizzazione può trovarsi inaspettatamente  in condizione emergenziale; tale situazione può essere innescata da eventi interni od esterni. Catastrofi naturali, incendi, problemi alla catena di approvvigionamento, attacchi ai sistemi informatici, sono solo alcune delle molte minacce riguardanti la gestione di qualsiasi attività. Il DPO deve essere promotore di una pianificazione coerente e solida della continuità aziendale anche in caso di condizione emergenziale, al fine di garantire i diritti e le liberta dell’interessato, considerando il bilanciamento di tutti gli interessi in gioco, le priorità, le risorse economiche disponibili.

La norma ISO/IEC 27701:2019 "Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines" , presenta una struttura particolare, in corso di revisione a seguito della nuova versione della ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls, pubblicata a febbraio 2022, che ha riorganizzato i controlli sulla sicurezza delle informazioni. L’obiettivo di questo articolo è quello di presentare una serie di ricorrenze presenti nello standard dedicato alla protezione dei dati personali.

La situazione emergenziale è uno stato, innescato da un “agente di minaccia”, in cui può trovarsi un’organizzazione; tale condizione può essere simmetrica, ovvero colpisce tutta una serie di soggetti che appartengono ad uno specifico cluster (area geografica, settore merceologico, ecc.) oppure asimmetrica (colpisce una sola organizzazione). Un incendio o un data breach sono condizioni emergenziali asimmetriche; la pandemia Covid-19 o un evento naturale che colpisce una regione è una condizione emergenziale simmetrica.

Prev1234Next
Pagina 1 di 4

Presentazione del volume Risposte Privacy - Roma, 24 giugno 2022

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy