Le misure tecniche ed organizzative per il controllo degli accessi integrate dai controlli ISO/EC 27001

Il tema del controllo fisico degli accessi riscuote sempre molto interesse, in quanto spesso trascurato come misura sia tecnica che organizzativa. Eppure anche la ISO/IEC 27001:2013 dedica una serie di controlli specifici (A11 Sicurezza fisica ed ambientale) e nello specifico A 11.1 Aree sicure) le cui linee guida sono definite nei controlli da 7.1 a 7.6 (con esclusione di 7.4)della ISO/IEC 27002:2022. In questo articolo si vogliono fornire indicazioni in merito alle misure da porre in essere mutuiate anche dalla ISO/IEC 27001:2013 supportata dalla linea guida ISO/IEC 27002:2022; mentre la ISO/IEC 27701 non richiede specifici requisiti aggiuntivi.

Due anni dopo l'invalidazione del Privacy Shield c’è un nuovo accordo sul trasferimento dei dati personali negli Usa

Importante passo in avanti sui trasferimenti di dati personali verso gli Stati Uniti, che erano rimasti in stallo fin dal luglio 2020 a seguito della sentenza Schrems II emanata dalla Corte di giustizia europea, che aveva invalidato il Privacy Shield, l’accordo largamente diffuso con cui grandi organizzazioni e multinazionali potevano fino ad allora legittimare il trasferimento di dati tra Europa e Usa. Dopo due anni di negoziati difficili e infruttuosi, l’annuncio preliminare di un nuovo accordo arriva ora dal presidente americano Joe Biden e dalla presidente della Commissione europea Ursula von der Leyen.

Dieci domande (e dieci risposte) da porsi per scegliere un cloud provider

Cloud computing è espressione che corrisponde ad un fenomeno esteso, un universo da anni in costante crescita e che investe ormai ogni ambito o settore di attività: una varietà di tecnologie e di tipologie di servizio imperniate sull’uso/fornitura di applicazioni informatiche, sulla capacità di gestione, elaborazione, condivisione e conservazione di dati in un contesto immateriale, altro rispetto a strumenti e infrastrutture di tipo tradizionale.In questo articolo si prendono in esame 10 domande e 10 rispettive rispettive risposte da porsi prima di scegliere un cloud provider.

Accesso alla valutazione dei rischi ed al Registro dei trattamenti

L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi.

La privacy non è di ostacolo per gli eredi che chiedono di accedere ai dati personali del terzo beneficiario della polizza vita

La Corte di Cassazione ha statuito che gli eredi a cui sia negato il diritto di accesso ai dati personali riferibili al terzo beneficiario di una polizza vita possano adire le vie legali ottenendone l’ostensione. In parole povere, la riservatezza dei dati personali deve cedere il passo rispetto all’esercizio di difesa in giudizio.  In linea di principio, non si può che convenire con quanto statuito dalla Corte di Cassazione nella sentenza 13 dicembre 2021 n. 39531.Osservazioni di natura critica, però, riguardano lo strumento che secondo la Corte sarebbe disponibile agli eredi per tutelare i propri diritti in giudizio.

Interruzione ed eliminazione di un trattamento di dati personali secondo il principio della 'Privacy by Design'

L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento; e l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento. In questo articolo, si presenta un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO.