Visualizza articoli per tag: best practices

Per molti italiani stanno arrivando le vacanze, e staccare un po' la spina dà senza dubbio sollievo, ma per evitare brutte sorprese durante l'estate è sempre opportuno stare attenti a non abbassare la guardia mentre utilizziamo smartphone, tablet, e anche strumenti di svago come i droni. Allora, anche se in questo periodo vi trovate sotto l'ombrellone, ci sono alcune utili best practices suggerite dal Garante con il vademecum "E-state in privacy":

L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP - indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento. 

Il tema delle “misure di mitigazione”, da applicare a seguito della valutazione dei rischi, presenta numerose sfaccettature, in questo articolo vengono illustrati alcuni aspetti secondari, ma non per questo non degni di approfondimento.  Le misure di mitigazione sono necessarie per prevenire e per evitare che si ripetano gli eventi che incidono sulla perdita di riservatezza, integrità e disponibilità dei dati personali e, quindi, servono a ridurre gli impatti sugli interessati, a seguito di eventi avversi, in relazione ai loro diritti e alle loro libertà, così come chiede il GDPR.

Per leggere questo articolo devi essere registrato ed effettuare il login!

Il tema degli accessi fisici alle aree ed ai locali di un’organizzazione merita un approfondimento particolare sul tema in quanto un’attenta valutazione dei rischi potrebbe far emergere delle vulnerabilità, in tutto o in parte non considerate precedentemente. Quest’articolo propone una Check List, che può essere utilizzata sia in fase di assesment che in fase di audit (avendo come criterio il sistema di gestione della protezione dei dati o la conformità legislativa).

Per leggere questo articolo devi essere registrato ed effettuare il login!

La raccolta di fotografie o video che ritraggono delle persone da parte di un’azienda comporta un trattamento di dati personali, e pertanto ricade a tutti gli effetti nell’ambito di applicazione del GDPR. La raccolta delle immagini dei lavoratori, dei collaboratori, degli utenti di un servizio, dei clienti o visitatori può essere effettuata per motivi diversi:

Vogliamo affrontare il tema dell'accountability del titolare - come impostata dal Regolamento UE 2016/679 (a partire dall'art. 24, per poi essere rinvenuta, ancora in termini generali, negli artt. 5, 25, 32) - sapendo per esperienza che, in particolare nelle PMI e nelle piccole organizzazioni, permane un problema di attenzione continuativa ed effettiva alle esigenze/misure della protezione dei dati personali.  Ecco allora emergere la necessità di un appuntamento periodico e, per così dire, 'strategico', nel quale il titolare possa applicare/esercitare consapevolezza della responsabilità, coscienza (auto)critica, aderenza a fatti/evidenze oggettive, ascolto dei più stretti collaboratori, generalità ovvero integralità dell'approccio, tensione verso il miglioramento continuo e capacità di pianificazione.  Questo appuntamento è, inevitabilmente, quello del riesame di direzione.

Nell’articolo “La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019” sono stati introdotti alcuni temi sulla valutazione dei rischi confrontando quanto richiesto dalla ISO/IEC 27001:2013, dalla ISO/IEC 27701:2019 e dal REG. UE 2016/679. In questo secondo articolo sul tema si desidera porre l’accento su alcune modalità con le quali può essere condotta la valutazione dei rischi, illustrandole tramite alcuni semplici esempi.

L’indice priorità di rischio/priority number (IRP - RPN) è un indicatore che permette di individuare quando è necessario intervenire, con misure di mitigazione dedicate, considerando il rischio associato ad un evento inaccettabile e quando invece lo stesso rischio può essere considerato come accettabile. Il Titolare è comunque consapevole che l’unico modo per eliminare un rischio è quello di rimuovere la fonte che lo genera.