I nuovi controlli della Norma ISO 27001:2022 che impattano sui dati personali

La recente pubblicazione, a ottobre 2022, della Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements, ha completamente rivisto l’impianto dei controlli dello standard.  Molti, se non la maggior parte, dei controlli, impattano sulla protezione dei dati personali in modo indiretto; alcuni sono invece direttamente mirati a tale aspetto. Con la nuova versione sono stati anche definiti due nuovi controlli specifici per la protezione dei dati, nella sezione 8 “Controlli tecnici”:

Il dumpster diving: dalla tutela della riservatezza al rispetto del GDPR

La gestione del rischio privacy è una questione complessa e che si sviluppa lungo diverse dimensioni, secondo i requisiti posti dal GDPR e dalle normative nazionali. In questa sede si richiama l’attenzione su una questione attinente alla fine del ciclo di vita delle informazioni, apparentemente del tutto residuale ma che, se non se ne ha consapevolezza, può essere foriera di rischi anche grandi, dal data breach al decadimento delle difese ai sistemi informativi oltre che reputazionali.

'Decreto Trasparenza' e trattamenti di dati personali: tra dubbi ed opportunità

Il Dlgs 104/2022 “Decreto Trasparenza” è stato pubblicato da alcuni mesi, ma i dubbi sono ancora molti; anzi, più si approfondisce il testo e maggiori sono le domande che non trovano risposte esaurienti. In questo articolo si approfondiranno i seguenti elementi, in attesa di ulteriori indicazioni da parte dei Ministeri e degli enti interessati:

Banche dati per fare campagne di marketing, chi le compra deve essere in grado di dimostrare la loro conformità al GDPR

Quando un’azienda decide di svolgere una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o da altri broker di dati che spesso si limitano a proporle come “conformi al GDPR” senza farsi troppi scrupoli, è sempre opportuno accertarsi di essere poi in grado di dimostrare che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi, e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano, altrimenti si rischia di andare incontro a sanzioni salate. Lo ha imparato a sue spese la EDF, che in Francia è la prima azienda di energia elettrica.

Il trasferimento del rischio applicato al GDPR e il ruolo del DPO

Una delle opzioni per il trattamento del rischio è quella del suo trasferimento in tutto o in parte ad un altro soggetto, come ad esempio le assicurazioni o i responsabili del trattamento. In questo articolo sono riportate alcune considerazioni generali in merito al trasferimento del rischio, per poi approfondire l’aspetto relativo al coinvolgimento delle assicurazioni, dei fornitori – responsabili del trattamento e dei contitolari. Da ultimo si accenna al ruolo del Data Protection Officer (DPO).

'Giusta attenzione per il rispetto della privacy degli assistiti' degli avvocati con le novità sulla fatturazione elettronica

Con il provvedimento del 24 novembre l’Agenzia delle Entrate riscrive le regole sull’emissione e la ricezione dei documenti, con un’attenzione particolare alle informazioni che possono essere utilizzate per i controlli.