Monica Perego
Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego
MOP: finalità ed applicazione pratica dello scadenziario privacy
Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario, parte integrante del MOP, (Modello Organizzativo Privacy), necessita un’opportuna riflessione. Lo strumento segnala la necessità di effettuare delle verifiche per controllare che le misure previste siano state effettivamente applicate e risultino efficaci (vedi anche GDPR art. 32 par. 1d). In altri termini, è una misura di “secondo livello” ovvero che “controlla altre misure”.
Il Modello Organizzativo Privacy e l’integrazione tra normative cogenti e sistemi di gestione
Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability.
I controlli della Norma ISO/IEC 27001:2022 sugli autorizzati al trattamento tra 'Non Disclosure Agreement' e remote working
La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements” ridisegna e riorganizza completamente l’impianto dei controlli rispetto alla precedente versione. La sezione 6 riguarda i controlli sulle persone “People controls” e prevede 8 controlli:
Misure di sicurezza per la mitigazione degli effetti in caso d’emergenza: le barriere a protezione dei dati
La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale.
I controlli della Norma ISO 27001:2022 sul ciclo di vita dell’autorizzato al trattamento dei dati personali
La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”, pubblicata recentemente, ha completamento rivisto l’impianto dei controlli dello standard. Una parte rilevante dei controlli sono quelli afferenti alla sezione 6, relativa ai controlli sulle persone – “People controls”. Tali controlli riguardano la tutela del patrimonio di dati aziendali, e ben si applicano anche alla tutela di quelli personali.
I nuovi controlli della Norma ISO 27001:2022 che impattano sui dati personali
La recente pubblicazione, a ottobre 2022, della Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements, ha completamente rivisto l’impianto dei controlli dello standard. Molti, se non la maggior parte, dei controlli, impattano sulla protezione dei dati personali in modo indiretto; alcuni sono invece direttamente mirati a tale aspetto. Con la nuova versione sono stati anche definiti due nuovi controlli specifici per la protezione dei dati, nella sezione 8 “Controlli tecnici”:
'Decreto Trasparenza' e trattamenti di dati personali: tra dubbi ed opportunità
Il Dlgs 104/2022 “Decreto Trasparenza” è stato pubblicato da alcuni mesi, ma i dubbi sono ancora molti; anzi, più si approfondisce il testo e maggiori sono le domande che non trovano risposte esaurienti. In questo articolo si approfondiranno i seguenti elementi, in attesa di ulteriori indicazioni da parte dei Ministeri e degli enti interessati:
Il trasferimento del rischio applicato al GDPR e il ruolo del DPO
Una delle opzioni per il trattamento del rischio è quella del suo trasferimento in tutto o in parte ad un altro soggetto, come ad esempio le assicurazioni o i responsabili del trattamento. In questo articolo sono riportate alcune considerazioni generali in merito al trasferimento del rischio, per poi approfondire l’aspetto relativo al coinvolgimento delle assicurazioni, dei fornitori – responsabili del trattamento e dei contitolari. Da ultimo si accenna al ruolo del Data Protection Officer (DPO).
Il principio di ‘comply or explain’ applicato alla protezione dei dati personali
Il principio di “comply or explain” (in italiano “soddisfa o spiega”) è un elemento centrale della maggior parte dei regolamenti aziendali, in particolare di matrice anglosassone. È una soluzione estremamente valida per evitare un approccio rigido e fine a se stesso alle regole aziendali, promuovendo al contempo la responsabilizzazione dei collaboratori aziendali a tutti i livelli.
Uscita la nuova ISO 27001:2022 con gli standard su sicurezza delle informazioni, cybersecurity e privacy
Come ampiamente atteso, il 25 ottobre 2022 è uscita la terza edizione della ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni che prevede requisiti e controlli per garantire il rispetto dello standard. In questo articolo si desidera illustrare la struttura della nuova edizione della norma e fornire alcune indicazioni specifiche.