Visualizza articoli per tag: best practices
La nuova ISO/DIS 19011:2026 applicata al contesto degli audit sui dati personali
La linea guida ISO 19011, riferimento internazionale per la conduzione degli audit dei sistemi di gestione, è in fase di revisione con una versione aggiornata — ISO/DIS 19011:2025 — la cui pubblicazione è prevista per il primo quadrimestre del 2026.
La tecnica del close reading applicata alla protezione dei dati: l’uso da parte del Data Protection Officer
Il close reading è una tecnica di analisi testuale che prevede un esame approfondito e meticoloso di un testo, che può essere utilizzata nel contesto della protezione dei dati personali ed in particolare da parte di un Data Protection Officer per migliorare la qualità e la quantità dei controlli che effettua.
Le domande da non fare durante la conduzione di un audit sulla protezione dei dati
La nuova edizione della “Linea guida per audit di sistemi di gestione” ISO 19011 è in fase di revisione; la pubblicazione è prevista per il primo trimestre del 2026. Le modifiche apportate sono piuttosto limitate, anche se alcune di grande interesse.
MOP: finalità ed applicazione pratica dello scadenziario privacy
Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario, parte integrante del MOP, (Modello Organizzativo Privacy), necessita un’opportuna riflessione. Lo strumento segnala la necessità di effettuare delle verifiche per controllare che le misure previste siano state effettivamente applicate e risultino efficaci (vedi anche GDPR art. 32 par. 1d). In altri termini, è una misura di “secondo livello” ovvero che “controlla altre misure”.
Processo disciplinare e protezione dei dati personali
Le sanzioni disciplinari sono comminate esclusivamente dal datore di lavoro di norma per tramite l’ufficio personale, sulla base del contratto di lavoro (eventualmente integrato) ed a seguito di accordi con le parti sociali. Non va però dimenticato che INAIL/INPS, e ATS rivestono il ruolo di pubblici ufficiali e nel caso di ispezione possono sanzionare anche il lavoratore per mancata ottemperanza alla normativa (ad esempio non indossa i DPI previsti) così come il datore di lavoro per mancata sorveglianza.
Protezione dei dati e riesame di direzione: un appuntamento strategico per rovesciare l'organizzazione come un calzino
Vogliamo affrontare il tema dell'accountability del titolare - come impostata dal Regolamento UE 2016/679 (a partire dall'art. 24, per poi essere rinvenuta, ancora in termini generali, negli artt. 5, 25, 32) - sapendo per esperienza che, in particolare nelle PMI e nelle piccole organizzazioni, permane un problema di attenzione continuativa ed effettiva alle esigenze/misure della protezione dei dati personali. Ecco allora emergere la necessità di un appuntamento periodico e, per così dire, 'strategico', nel quale il titolare possa applicare/esercitare consapevolezza della responsabilità, coscienza (auto)critica, aderenza a fatti/evidenze oggettive, ascolto dei più stretti collaboratori, generalità ovvero integralità dell'approccio, tensione verso il miglioramento continuo e capacità di pianificazione. Questo appuntamento è, inevitabilmente, quello del riesame di direzione.
Per leggere l'articolo integrale devi effettuare il login!
Quando un data breach colpisce un’applicazione di AI che tratta dati personali
Con l'entrata in vigore del Regolamento (UE) 2024/1689, noto come Articial Intelligence Act, un’organizzazione che sviluppa o utilizza sistemi di AI ad alto rischio dovrebbe predisporre una procedura integrata di incident management, in grado di rispondere contemporaneamente ai requisiti dell’AI Act e del GDPR.
Sicurezza dei trattamenti di dati personali e information security: necessari idonei processi organizzativi
Come noto, ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento UE 2016/679 (Gdpr), e tra questi troviamo il principio di integrità e riservatezza secondo il quale i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Il tema della sicurezza dei trattamenti è strettamente connesso con quello della information security.
Valutazione dei rischi: il modello basato sugli obiettivi e quello basato sugli scenari
Nell’articolo “La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019” sono stati introdotti alcuni temi sulla valutazione dei rischi confrontando quanto richiesto dalla ISO/IEC 27001:2013, dalla ISO/IEC 27701:2019 e dal REG. UE 2016/679. In questo secondo articolo sul tema si desidera porre l’accento su alcune modalità con le quali può essere condotta la valutazione dei rischi, illustrandole tramite alcuni semplici esempi.
Valutazione della rilevabilità nell’ambito della valutazione dei rischi sui dati personali: l’indice di priorità del rischio
L’indice priorità di rischio/priority number (IRP - RPN) è un indicatore che permette di individuare quando è necessario intervenire, con misure di mitigazione dedicate, considerando il rischio associato ad un evento inaccettabile e quando invece lo stesso rischio può essere considerato come accettabile. Il Titolare è comunque consapevole che l’unico modo per eliminare un rischio è quello di rimuovere la fonte che lo genera.
Galleria Video
Privacy Day Forum 2025: il trailer della giornata
Cerca Delegato

