La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”, pubblicata recentemente, ha completamento rivisto l’impianto dei controlli dello standard. Una parte rilevante dei controlli sono quelli afferenti alla sezione 6, relativa ai controlli sulle persone – “People controls”. Tali controlli riguardano la tutela del patrimonio di dati aziendali, e ben si applicano anche alla tutela di quelli personali.
La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements” ridisegna e riorganizza completamente l’impianto dei controlli rispetto alla precedente versione. La sezione 6 riguarda i controlli sulle persone “People controls” e prevede 8 controlli:
Le imprese possono dribblare le responsabilità privacy quando le violazioni sono commesse dai dipendenti che abusano della loro posizione ed eccedono le loro mansioni. Ma per arrivare a questo risultato la strada è in salita e, comunque, ci vogliono apposite clausole nelle nomine dei dipendenti come autorizzati al trattamento, nelle informative rese agli stessi e nelle istruzioni e policy aziendali.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Quando possiamo realmente parlare di gestione ottimale della privacy, quindi essere definiti compliant, nella sfera della gestione del personale dipendente? Quali sono, pertanto, gli adempimenti che il Titolare del Trattamento dati dovrà obbligatoriamente adottare per essere conforme al Regolamento (UE) 2016/679, rispettandone i princìpi e adottando procedure organizzative e di sicurezza per assicurare, sui dati trattati, un rischio definibile basso? Per adottare il linguaggio del Regolamento (UE) 2016/679 il Titolare del Trattamento dovrà, solamente, agire con accountability, pertanto con consapevolezza, competenza e responsabilità.
Il 65% degli oltre mille Data Protection Officer intervistati nel corso di un sondaggio condotto dall’Osservatorio di Federprivacy temono che una possibile situazione d’emergenza come quelle derivanti da ransomware o altri data breach possa scattare a causa dell’impreparazione o dell’incompetenza del personale che tratta dati personali in azienda, e il 58% dei DPO pensano che l’innesco potrebbe essere l’errore umano dall’interno, ovvero il cosiddetto “Insider Threat”.
Una volta designato o autorizzato un subordinato a svolgere determinati compiti connessi al trattamento dei dati personali, fino a che punto rimane responsabile il Titolare ovvero, fino a che punto l’assunzione di compiti e funzioni fa il paio con l’assunzione di profili di responsabilità? Esistono (e se sì, con quali limiti) ambiti di rivalsa del Titolare nei confronti del subordinato a fronte di una condanna ricevuta dal primo a seguito di un accertamento di responsabilità del sottoposto?
È stata pubblicata “Privacy Primi Passi”, la nuova miniguida edita da Federprivacy pensata per spiegare i requisiti basilari del Gdpr agli addetti che non sono professionisti della protezione dei dati, ma a che a motivo delle loro mansioni lavorative devono essere autorizzati al trattamento di dati personali. Con tale obiettivo, questo vademecum tascabile è stato scritto in un linguaggio semplice ed arricchito di vignette umoristiche con un approccio “soft” per aiutare i lettori a comprendere i concetti del Regolamento UE 2016/679 in modo piacevole, e a tratti con un sorriso.
Nomina doppia per l'incaricato aziendale alla verifica dei Green Pass: vale come designazione per l'attività di verifica e di accertamento delle violazioni, ma vale anche come autorizzazione al trattamento dei dati, ai sensi della normativa sulla privacy. È quanto discende dalla interpretazione dell'articolo 3 del decreto legge 127/2021, che impone ai datori di lavoro di mettere nero su bianco numerosi documenti, tra i quali l'atto di designazione. Stando all'articolo citato, e in particolare al comma 5 dello stesso, ci vuole un atto formale di designazione degli addetti individuati.
