Business Continuity & Crisis Management: riflessioni operative sullo stato d'emergenza Covid-19

L'attuale situazione di emergenza legata al Covid-19 sta facendo emergere molteplici aspetti sociali, giuridici ed economici su cui è opportuno riflettere, in relazione al rallentamento produttivo (se non addirittura del totale blocco), che impattano tanto nel breve tanto nel medio lungo termine. La necessità di garantire la continuità aziendale (Business Continuity) dovrebbe essere letta almeno da due prospettive, diverse ma complementari, entrambe rientranti nella declinazione del principio di “accountability” previsto dal GDPR.

I vincoli di compatibilità con ordinamento europeo del diritto alla privacy dell’emergenza

L’art. 14 d.l. 9 marzo 2020, n. 14 ha introdotto un regime in deroga alla disciplina di tutela della privacy stabilita in via ordinaria dal d. lgs. 30 giugno 2003, n. 196, destinato ad operare sino “al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020” (c.d. emergenza Covid-19) ai fini dell’adozione da parte delle autorità competenti delle misure urgenti di contenimento e gestione dell’emergenza epidemiologica ai sensi dell’art. 3 del d. l. n. 6/2020, convertito con modificazioni dalla l. n. 13/2020.

L'app "Immuni" e i dati personali: rischi e priorità

La emergenza legata alla pandemia in atto sta mettendo a dura prova il diritto alla protezione dei dati personali consacrato dal regolamento UE 2016/679 (Gdpr).  Il pericolo è rappresentato dalla corsa dei governi alla ricerca di soluzioni tecnologiche che consentano di raccogliere, analizzare, utilizzare e conservare i dati personali per monitorare anche i potenziali contagiati ed arginare la diffusione del virus.

La privacy al tempo del Coronavirus: Webinar dell' Università di Padova con il patrocinio di Federprivacy

Anche se nell’attuale periodo di emergenza sanitaria la normativa sulla protezione dei dati personali è stata più volte additata come un ostacolo all’attuazione di efficaci azioni di prevenzione e contenimento del contagio da Covid-19, in realtà “la privacy è un diritto di libertà che, come ogni altro diritto fondamentale, è soggetto a bilanciamento con altri beni giuridici, e modula la sua intensità e il suo contenuto in ragione dello specifico contesto in cui si eserciti”, come ha spiegato in suo recente articolo Antonello Soro, presidente dell’Autorità Garante.

Ransomware colpisce il Comune di Marentino, gli hacker cancellano i backup di tutti i dati e chiedono riscatto di 100mila euro

Con un comunicato sul proprio sito istituzionale, il Comune di Marentino ha informato tutti gli interessati, residenti e non, di aver recentemente subito un attacco informatico di tipo ransomware che, sfruttando il periodo emergenziale causato dall’epidemia, ha violato i dati personali presenti sul server centrale. L’Ente ha affermato di essersi prontamente attivato, procedendo anche a notificare il data breach al Garante per la protezione dei dati personali come previsto dal Gdpr.

Sito dell'Inps in tilt, improbabile l'attacco hacker. L'istituto notifica il data breach, ma non aveva il Dpo.Istruttoria del Garante Privacy

Sito bloccato, servizi inaccessibili ed esposizione dei dati degli utenti. E' accaduto all'Inps nel giorno in cui era possibile inviare le richieste di bonus e congedi. Provando ad accedere a uno dei tre servizi previsti dal Cura Italia per tamponare l'emergenza Covid-19, il sito provava a caricare le pagine per diversi minuti prima di annunciare che il server non rispondeva. Via Twitter, l'Inps, sommersa dai messaggi di protesta, aveva scritto: "Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione". Nel frattempo, come previsto dall'art.33 del Gdpr, l'istituto ha provveduto ad eseguire la notifica del data breach, ma da notizie attendibili è emerso che il Dpo sarebbe andato in pensione il 30 marzo 2020 senza essere sostituto da nessuno. Intanto il Garante per la protezione dei dati personali ha prontamente avviato l'istruttoria.