Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario, parte integrante del MOP, (Modello Organizzativo Privacy), necessita un’opportuna riflessione. Lo strumento segnala la necessità di effettuare delle verifiche per controllare che le misure previste siano state effettivamente applicate e risultino efficaci (vedi anche GDPR art. 32 par. 1d). In altri termini, è una misura di “secondo livello” ovvero che “controlla altre misure”.

Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability.

La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements” ridisegna e riorganizza completamente l’impianto dei controlli rispetto alla precedente versione.  La sezione 6 riguarda i controlli sulle persone “People controls” e prevede 8 controlli:

La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale.

La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”, pubblicata recentemente, ha completamento rivisto l’impianto dei controlli dello standard.  Una parte rilevante dei controlli sono quelli afferenti alla sezione 6, relativa ai controlli sulle persone – “People controls”. Tali controlli riguardano la tutela del patrimonio di dati aziendali, e ben si applicano anche alla tutela di quelli personali.

La recente pubblicazione, a ottobre 2022, della Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements, ha completamente rivisto l’impianto dei controlli dello standard.  Molti, se non la maggior parte, dei controlli, impattano sulla protezione dei dati personali in modo indiretto; alcuni sono invece direttamente mirati a tale aspetto. Con la nuova versione sono stati anche definiti due nuovi controlli specifici per la protezione dei dati, nella sezione 8 “Controlli tecnici”:

Il Dlgs 104/2022 “Decreto Trasparenza” è stato pubblicato da alcuni mesi, ma i dubbi sono ancora molti; anzi, più si approfondisce il testo e maggiori sono le domande che non trovano risposte esaurienti. In questo articolo si approfondiranno i seguenti elementi, in attesa di ulteriori indicazioni da parte dei Ministeri e degli enti interessati:

Una delle opzioni per il trattamento del rischio è quella del suo trasferimento in tutto o in parte ad un altro soggetto, come ad esempio le assicurazioni o i responsabili del trattamento. In questo articolo sono riportate alcune considerazioni generali in merito al trasferimento del rischio, per poi approfondire l’aspetto relativo al coinvolgimento delle assicurazioni, dei fornitori – responsabili del trattamento e dei contitolari. Da ultimo si accenna al ruolo del Data Protection Officer (DPO).

Il principio di “comply or explain” (in italiano “soddisfa o spiega”) è un elemento centrale della maggior parte dei regolamenti aziendali, in particolare di matrice anglosassone. È una soluzione estremamente valida per evitare un approccio rigido e fine a se stesso alle regole aziendali, promuovendo al contempo la responsabilizzazione dei collaboratori aziendali a tutti i livelli.

Come ampiamente atteso, il 25 ottobre 2022 è uscita la terza edizione della ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni che prevede requisiti e controlli per garantire il rispetto dello standard. In questo articolo si desidera illustrare la struttura della nuova edizione della norma e fornire alcune indicazioni specifiche.