La ISO/IEC 27001:2022 affronta il tema della gestione dei supporti contenenti dati attraverso numerosi controlli (8.3.1, 8.3.2, 8.3.3 e 11.2.5). Il tema che ha rilevanti implicazioni sulla protezione dei dati personali. Indicazioni, di carattere operativo che, possono essere considerate misure di accountability, sono contenute nella ISO/IEC 27002:2022 e specificatamente nel controllo 7.10 “Storage Media” - Supporti di memorizzazione. Ovviamente le indicazioni relative alla gestione dei supporti non si limita a quelli elettronici (es. HD, dischi esterni, nastri di back-up, supporti contenenti dati biometrici), ma deve essere estesa anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati.
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
Il provvedimento del Garante Privacy nei confronti di Foodinho s.r.l. del 10 giugno 2021 (docweb 9675440) ha messo in luce ancora una volta la necessità di assicurare che gli algoritmi utilizzati dalle aziende per la gestione delle attività lavorative siano configurati in modo da garantire la “trasparenza” dei processi decisionali ed evitare discriminazioni tra i lavoratori.
Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati.
A febbraio di quest’anno è stata pubblicata la nuova versione della ISO/IEC 27001:2022. Il documento ha riorganizzato i controlli, ne ha introdotti di nuovi, e ha integrato la parte relativa alle Linee Guida con nuove indicazioni. Tra queste alcune riguardano i trattamenti verbali come parte integrante del controllo 5.14 “Information transfer control”. In questo articolo si approfondirà questo tema, con un’attenzione specifica alle indicazioni provenienti dalla ISO/IEC 27002:2022, indicazioni che sono da considerarsi integrative ad altre misure.
In moltissime aziende è prevista la registrazione all’ingresso dei visitatori, siano essi clienti, manutentori esterni, addetti al vending, consulenti, rappresentanti di fornitori, candidati alla selezione, ecc. La registrazione è di norma svolta su supporti cartacei; le realtà più grandi dispongono invece di soluzioni elettroniche; in ogni caso molto raramente tale registrazione è gestita come un trattamento. In questo articolo si vogliono approfondire le implicazioni connesse a tale documento, con la consapevolezza che nelle aziende sono presenti situazioni molto variegate.
