Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego
Le sanzioni disciplinari sono comminate esclusivamente dal datore di lavoro di norma per tramite l’ufficio personale, sulla base del contratto di lavoro (eventualmente integrato) ed a seguito di accordi con le parti sociali. Non va però dimenticato che INAIL/INPS, e ATS rivestono il ruolo di pubblici ufficiali e nel caso di ispezione possono sanzionare anche il lavoratore per mancata ottemperanza alla normativa (ad esempio non indossa i DPI previsti) così come il datore di lavoro per mancata sorveglianza.
La normativa in materia di protezione dei dati personali e il Dlgs 231/2001 "Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell´articolo 11 della legge 29 settembre 2000, n. 300" hanno diversi elementi in comune. In questo articolo si vogliono approfondire alcuni di essi, con l’obiettivo di illustrare come favorire l’integrazione tra sistemi.
La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell'informazione - Requisiti”, tratta anche del tema dello smaltimento dei supporti che contengono dati, nello specifico il controllo A.8.3.2 - dismissione dei supporti (nella ISO/IEC 27002:2022 controllo 7.10) , ove si specifica che la dismissione deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali. Ovviamente, la dismissione dei supporti si riferisce non solo a quelli elettronici, ma anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. L’articolo si concentra sulla dismissione dei supporti elettronici e cartacei dove di norma sono conservati dati personali, a riprova del fatto che la ISO/IEC 27001:2013 è da considerare come una validissima misura di accountability in relazione alla protezione dei dati personali.
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati.
A febbraio di quest’anno è stata pubblicata la nuova versione della ISO/IEC 27001:2022. Il documento ha riorganizzato i controlli, ne ha introdotti di nuovi, e ha integrato la parte relativa alle Linee Guida con nuove indicazioni. Tra queste alcune riguardano i trattamenti verbali come parte integrante del controllo 5.14 “Information transfer control”. In questo articolo si approfondirà questo tema, con un’attenzione specifica alle indicazioni provenienti dalla ISO/IEC 27002:2022, indicazioni che sono da considerarsi integrative ad altre misure.
In moltissime aziende è prevista la registrazione all’ingresso dei visitatori, siano essi clienti, manutentori esterni, addetti al vending, consulenti, rappresentanti di fornitori, candidati alla selezione, ecc. La registrazione è di norma svolta su supporti cartacei; le realtà più grandi dispongono invece di soluzioni elettroniche; in ogni caso molto raramente tale registrazione è gestita come un trattamento. In questo articolo si vogliono approfondire le implicazioni connesse a tale documento, con la consapevolezza che nelle aziende sono presenti situazioni molto variegate.
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.
Il tema della sostenibilità negli ultimi anni è entrato prepotentemente come fattore con il quale le organizzazioni di ogni tipo si devono costantemente confrontare. L’organo direttivo di un’organizzazione, i suoi dipendenti e altri soggetti come i clienti, i fornitori, i partner e le istituzioni, vogliono confrontarsi con soci in affari che perseguono politiche sostenibili. In questo articolo si desidera mettere in evidenza, prendendo spunto da Agenda 2030 dell’ONU, i punti di contatto tra il tema della sostenibilità e la protezione dei dati personali, pur consapevoli che si tratta di una tematica borderline, ma che comunque riserva alcune sorprese.
