Primo PianoMercoledì, 13 Luglio 2022 12:22 La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell’informazione – Requisiti”, tratta anche del tema dello smaltimento dei supporti che contengono dati, nello specifico il controllo A.8.3.2 – dismissione dei supporti (nella ISO/IEC 27002:2022 controllo 7.10), ove si specifica che la dismissione deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali.  (Nella foto: Monica Perego, docente del Corso di alta formazione sui Sistemi di Gestione della Privacy) Ovviamente, la dismissione dei supporti si riferisce non solo a quelli elettronici, ma anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. L’articolo si concentra sulla dismissione dei supporti elettronici e cartacei dove di norma sono conservati dati personali, a riprova del fatto che la ISO/IEC 27001:2013 è da considerare come una validissima misura di accountability in relazione alla protezione dei dati personali. Il controllo 7.10 della ISO/IEC 27002:2022 – Il controllo 7.10 “Storage media” – Supporti di memorizzazione – Supporti rimovibili, fornisce misure relative al ciclo di vita dei supporti che contengono dati, misure tra le quali figura la gestione dei supporti ed ovviamente le modalità del loro smaltimento, che deve essere effettuato tenendo conto del livello di classificazione delle informazioni che vi sono contenute (come indicato dal controllo 5.12 “Classification of information”). Lo scopo del controllo è quello di garantire la divulgazione, la modifica, la rimozione o la distruzione, sulla base delle autorizzazioni delle informazioni circa l’archiviazione su tali supporti. Approfondendo quanto riportato nella linea guida ISO/IEC 27002:2022 – controllo 7.10, in relazione agli aspetti relativi al riutilizzo e smaltimento sicuro, sono fornite preziose indicazioni, di seguito riportate, con alcune note integrativa a cura dell’autrice. Linee guida per il riutilizzo e lo smaltimento sicuro dei supporti – Per tali necessità dovrebbero essere stabilite delle procedure, per ridurre al minimo il rischio di accesso ad informazioni riservate da parte di persone non autorizzate. Le procedure dovrebbero essere congruenti con il livello di classificazione delle informazioni contenute. Bisogna considerare i seguenti elementi: Altre informazioni – È importante sottolineare che la distruzione di un supporto non necessariamente implica la distruzione dei dati, che potrebbero essere migrati su altri supporti; ad esempio, un supporto cartaceo può essere digitalizzato per conservare i dati e successivamente distrutto. I controlli 8.10 e 7.14 della ISO/IEC 27001:2022 – Il controllo 7.10 “Storage media” non va confuso con il controllo 8.10 “Information deletion” – Cancellazione delle informazioni -, che tratta del controllo delle informazioni che devono essere cancellate quando non più richieste; informazioni memorizzate nei sistemi informatici, nei dispositivi, o in qualsiasi altro supporto di memorizzazione, Il controllo 8.10 è stato introdotto con la pubblicazione della ISO/IEC 27002:2022; non esiste un controllo corrispondente nella precedente versione della linea guida. Il controllo 7.14 “Secure disposal or re-use of equipment” affronta il tema della verifica delle apparecchiature che contengono supporti di memorizzazione, verifica da effettuare per garantire che “…eventuali dati sensibili ed il software concesso in licenza siano stati rimossi o sovrascritti in modo sicuro prima dello smaltimento o del riutilizzo”. Tale controllo presenta quindi significativi punti in comune con il controllo 7.10, che peraltro lo richiama. Conclusione – Le implicazioni connesse alla dismissione dei supporti contenenti dati (non solo personali) presentano una serie di sfaccettature non sempre evidenti. Ovviamente, le misure da mettere in atto devono considerare i rischi connessi alla perdita dei dati (ad esempio a seguito di una migrazione parziale degli stessi), o quelli collegati ad un’inadeguata gestione dei supporti. In ogni caso, se si hanno dei dubbi, è opportuno attivare procedure che garantiscano la dismissione sicura di tutti i supporti, piuttosto che effettuare un’operazione di censimento dei soli supporti critici da avviare a dismissione sicura. Nota: per le parti della ISO/IEC 27002, libera traduzione ed integrazioni a cura dell’autrice

Il punto di vistaVenerdì, 08 Luglio 2022 08:12 Siamo agli inizi dell’epoca dominata dal metaverso (nota Odisseo: dall’Accademia della Crusca: “Insieme di ambienti virtuali tridimensionali in cui le persone possono interagire tra loro attraverso avatar personalizzati”), una realtà ibrida tra quella digitale e quella aumentata dove, entro i prossimi dieci o quindici anni secondo le previsioni, i nostri avatar si muoveranno e interagiranno. Il tema della privacy, in particolare, assume un’importanza centrale considerando l’enorme mole di dati personali che circoleranno ed il valore di cui godranno per le imprese che faranno business grazie alla loro raccolta e trattamento. Quali saranno quindi gli impatti che il metaverso apre dal punto di vista giuridico per imprese e utenti sotto il profilo della tutela e della sicurezza dei dati? Difficile ad oggi fare previsioni precise, certo è che le implicazioni generano non pochi interrogativi. Considerato il futuro di Internet, il metaverso ormai non è solo un termine entrato a far parte del linguaggio comune, ma una vera e propria realtà. Dopo la denominazione Meta della holding che controlla il Gruppo Facebook, WhatsApp, Instagram e Oculos con questa espressione si fa riferimento ad un sistema di universi virtuali e reali interconnessi attraversati da avatar. Proprio Oculos è la prima piattaforma virtuale che ospita l’ingresso in questa nuova realtà, un portale di accesso a tutti gli effetti. Essendo tutto frutto di uno sviluppo digitale, la materia/realtà è costituita dai dati e dalle informazioni. Replicando il mondo fisico così come lo conosciamo il metaverso si compone di larghezza, lunghezza, profondità e tempo. Di fatto ancora non esiste un’unica definizione di metaverso che veda tutti concordi. Si tratta di un’evoluzione del digitale che grazie alla cooperazione di dispositivi e tecnologie sempre più avanzate, oltre al cloud computing e agli ambienti creati dalla computer graphic, rende possibile svolgere attività quotidiane senza muoversi dalla propria sede: dalle riunioni di lavoro allo sport, fino ai concerti, passando per eventi, giochi e molto altro. Applicazioni pratiche del metaverso per le aziende – Ma, passando dal piano teorico a quello pratico, quali sono gli ambiti dove il metaverso trova attualmente maggiore applicazione? Tra le prime aziende che hanno colto le potenzialità della nuova realtà virtuale ricordiamo i più celebri BRANDS FASHION ( nota Odisseo: sviluppa abbigliamento da lavoro di alta qualità per note aziende in Europa e negli Stati Uniti) seguiti a ruota da quelli di Food&Beverage (nota Odisseo: Food&Beverage, nasce come rivista nel 2006 per offrire informazioni, aggiornamenti e visibilità a chi opera nel mondo dei consumi: ristoratori, chef, sommelier, albergatori, titolari di winebar e locali, aziende del foodservice, imprese del settore alimentare, del beverage e di servizio). Considerata la grande attrattiva creativa il metaverso ben si presta anche ad ospitare esperienze di architettura, design, arte e spettacolo in generale fino al gaming – attività digitale per eccellenza. (Nella foto: l’Avv. Valentina Frediani, Founder e CEO Colin & Partners) Non è difficile immaginare che in futuro – soprattutto dopo l’evoluzione dello smart working nei mesi di pandemia – il metaverso potrebbe addirittura ritradurre digitalmente l’ufficio e, in alcuni casi, sostituirlo letteralmente. Certo è che le attuali conoscenze ci rendono arduo fare previsioni a lungo termine considerate le innumerevoli possibilità di applicazione offerte e l’inarrestabile evoluzione tecnologica dei dispositivi, ma sicuramente i prossimi anni ci riserveranno progressi sorprendenti. Quale sarà l’impatto sul piano giuridico – Sul piano giuridico il metaverso assume una vastità tale che non è semplice – ad oggi – ricomprendere in una normativa omogenea ed univoca. Il primo aspetto da considerare è quello relativo al concetto di identità. Gli avatar che popolano la realtà digitale non sono creazioni di fantasia, ma rappresentano a tutti gli effetti – sebbene in modalità virtuale – l’identità di una persona e come tale sono sottoposti alle stesse responsabilità e godono dei medesimi diritti di un essere umano nella vita reale. Si tratta di ricreare una società e come tale sarà necessario disciplinare le interazioni e le relazioni tra individui in maniera efficace. Uno scenario quello del metaverso che – rassicurano gli esperti – non sostituirà l’attuale world wide web con il quale entrerà in connessione e tantomeno la realtà che, almeno secondo gli auspici, troverà beneficio dall’universo digitale a livello sociale, economico e culturale. Il metaverso apre infatti una serie di scenari non solo connessi ai diversi campi di applicazione o sul fronte dell’esperienza dell’utente, ma anche sul piano normativo. Gli interrogativi che pone rispetto alla governance spaziano da quale sarà l’autorità designata che formulerà le leggi che disciplinano questa realtà digitale e le farà rispettare a quali saranno i diritti le responsabilità degli utenti/avatar che lo popoleranno. Il tema della privacy assume un’importanza centrale considerando l’enorme mole di dati personali che circoleranno ed il valore di cui godranno per le imprese che faranno business grazie alla loro raccolta e trattamento. Per questa ragione è fondamentale muoversi quanto prima verso la regolamentazione di questa nuova dimensione digitale. L’Unione europea si sta infatti muovendo per formulare un regolamento in grado di disciplinarne l’utilizzo e soprattutto di tutelare i dati degli utenti. Quattro al momento sono le proposte di regolamento su cui si stanno concentrando le valutazioni: proposta di Regolamento EU 112/2018 focalizzata sulla equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online; proposta Regolamento 850/2020 relativo a un mercato unico dei servizi digitali; proposta di Regolamento 842/2020 sui mercati equi e contendibili nel settore digitale e, infine, proposta di Regolamento 106/2020 relativo a regole armonizzate sull’intelligenza artificiale (AI). Proprio su quest’ultima, ovvero la Legge sull’Intelligenza Artificiale, convergono le principali aspettative per il raggiungimento del corretto equilibrio tra gli aspetti tecnologici, la sicurezza e la protezione dei dati. Metaverso: non solo una questione di privacy – Senza dubbio il metaverso rappresenta una delle più grandi sfide che dovrà affrontare il General Data Protection Regulation. Il massiccio tracciamento di dati personali degli utenti dovrà necessariamente trovare un equilibrio – anche se pare alquanto arduo – con il principio di minimizzazione dei dati, la cui raccolta nella maggior parte dei casi supera le necessità delle finalità dichiarate. Sarà fondamentale settare adeguatamente le piattaforme in modo che gli utenti possano rilasciare il proprio consenso dopo essere state preventivamente informati rispetto al trattamento dei dati effettuato e dopo essere stati posti nelle condizioni di verificarlo ed eventualmente revocarlo. Certamente non basterà un flag sul consenso per garantire la conformità delle piattaforme, restano aperte una serie di questioni che la normativa attuale e quella in divenire dovranno disciplinare e cercare di prevenire: dalla tutela dell’identità, alla libertà di espressione, all’individuazione e condanna dei reati e dei comportamenti scorretti degli utenti fino al furto di dati personali. di Valentina Frediani (Quotidiano Ipsoa)

Primo PianoMercoledì, 08 Giugno 2022 19:38 Le applicazioni per smartphone, Tablet, smart watch, ecc. (c.d. “app”) sono divenute parte integrante della nostra vita al punto che trovare, oggi, qualcuno che non abbia mai avuto a che fare con un “app” è sicuramente un’impresa ardua. Questa diffusione e massivo utilizzo delle app non è però scevro da rischi privacy. Infatti, come evidenziato dall’Autorità Garante i servizi che offrono (consultazioni home banking, monitoraggio delle condizioni di salute, controllo domotico delle nostre abitazioni, gestione video e fotografie, prenotazione viaggi, ecc.) possono mettere a rischio la riservatezza dei nostri dati personali. Per queste ragioni nella gestione delle app è opportuno adottare alcuni semplici ma efficaci accorgimenti. In primis, prima di effettuare il download dallo store è bene capire quali dati personali tratterà l’app prescelta e accedere all’informativa privacy del fornitore. Proprio quest’ultimo elemento è importante perché dalla chiarezza, trasparenza e completezza dell’informativa (articoli 12 e 13 Regolamento UE 2016/679) possiamo trarre il primo e più importante feedback sulla cura dedicata dal fornitore ai dati personali. Tra le sezioni dell’informativa interessanti vi è quella della comunicazione e diffusione dei dati personali. Altro elemento fondamentale è verificare se l’app per funzionare ha la necessità di accedere alle nostre fotografie e ai dati di geolocalizzazione e tendenzialmente concederne l’accesso solo se l’app ha ad oggetto proprio servizi che richiedono queste tipologie di informazioni. Si tenga presente che molte app social condividono i dati di ubicazione (geolocalizzazione) con terze parti. Sulle app che gestiscono le fotografie si deve fare attenzione al fenomeno del deepfake (creazione di fotografie false partendo da immagini vere) utilizzando specifici algoritmi di intelligenza artificiale. In tema di fotografie è sempre bene accertarsi che le persone fotografate siano d’accordo a diffondere online la propria immagine. Un discorso particolare va fatto per le app che gestiscono dati particolari come i dati sulla salute. Anche in questo caso si deve fare attenzione alla eventuale comunicazione a terzi di dati personali particolari (es. battito cardiaco, risultati dell’ECG sulla fibrillazione atriale, ecc.). Inoltre, si segnala su questo tema l’avvio di una istruttoria a fine 2021 da parte del Garante nei confronti di una associazione che tratta, tramite una app, dati sullo stato di salute di pazienti ed esercenti le professioni sanitarie (per approfondimenti si veda il doc. web. N. 9733320). Circa un decennio fa (24.09.2013) si leggeva nella Dichiarazione di Varsavia sulla “appificazione” della società: “Le applicazioni per dispositivi mobili (app) sono ormai onnipresenti. Le troviamo negli smartphone e nei tablet, sulle auto, in casa e fuori casa: sono sempre più numerosi gli oggetti che dispongono di interfacce-utente connesse ad Internet. Ammontano ad oltre 6 milioni le app oggi disponibili nel settore pubblico e privato, ed è un numero che aumenta di oltre 30.000 unità al giorno. Le app facilitano e vivacizzano molte delle attività che svolgiamo giornalmente; allo stesso tempo, le app raccolgono anche una grande mole di informazioni personali. Tutto ciò permette un monitoraggio digitale permanente, mentre gli utenti spesso non ne hanno consapevolezza né ne conoscono i fini ultimi.” Oggi, è praticamente impossibile conoscere quante app esistano al mondo, considerato che solo lo store di Mountain View a febbraio 2021 contava 3.011.916 applicazioni (Fonte: Appbrain 07.02.2021).

Il punto di vistaVenerdì, 06 Maggio 2022 14:23 Il fenomeno della trasformazione digitale è un processo che coinvolge aspetti materiali ed organizzativi del mondo delle aziende: Machine Learning, Cloud Technology, Internet of Things, Artificial Intelligence, Big Data diventano i termini protagonisti di un nuovo vocabolario, di un nuovo modello di business, di un nuovo approccio al lavoro. La trasformazione all’interno delle aziende riflette il profondo mutamento del sistema di interazione e connessione tra le persone fisiche, c.d. smart system, un sistema fluido in cui, nelle abitudini di vita e di consumo, sfumano sempre più i confini tra fisico e virtuale. In tale contesto, la corretta applicazione della normativa di Privacy/Data Protection e Cybersecurity costituisce un pilastro centrale per la corretta impostazione e protezione del sistema di Digital Transformation nel suo complesso. È noto a tutti che il mancato rispetto del Regolamento 679/2016 (“GDPR”) da parte delle aziende comporta elevati rischi non soltanto in termini di sanzioni da parte dell’Autorità Garante della Privacy (fino a 20milioni di euro o al 4% del fatturato), ma anche in termini di inutilizzabilità del database, di danno reputazionale, di calo dei profitti e di perdita di quote di mercato. Non solo: la normativa in materia di cybersicurezza internazionale e nazionale ha avuto importanti sviluppi soprattutto nell’ultimo biennio, definendo precisi requisiti per determinate categorie di fornitori e di sistemi tecnologici, nell’ottica di offrire alle aziende concrete garanzie di riservatezza, integrità e disponibilità dei dati aziendali; sussiste peraltro un accordo di collaborazione tra dell’Autorità Garante della Privacy e l’Agenzia per la Cybersicurezza Nazionale. Oggi l’adozione un corretto modello di Privacy/Data Protection e Cybersecurity è indispensabile non soltanto per la conformità normativa ma per la concreta efficacia del processo di trasformazione digitale: quali, dunque, i focus? Nella foto: l’Avv. Giovanna Boschetti, Counsel presso lo Studio CBA 1) Valutazione dei processi nella fase di progettazione lato privacy by design e privacy by default – Gli aspetti di trattamento di dati personali devono essere incorporati nel processo di trasformazione tecnologica sin dall’inizio secondo i principi di privacy by design (definizione dell’architettura informatica, verifica dell’interazione dei flussi in considerazione della tipologia dei dati trattai) e privacy by default (attivazione dei processi per impostazione predefinita). In difetto, taluni aspetti del processo possono risultare in corso d’opera superflui o dannosi. 2) Valutazione della sicurezza dell’infrastruttura tecnica e dei flussi di lavoro – La sicurezza è un aspetto fondamentale dei sistemi su cui si regge la trasformazione tecnologica e costituisce sinonimo di business continuity: la normativa interna ed internazionale è in costante evoluzione e ogni sistema deve essere verificato secondo più aggiornati requisiti normativi di sicurezza dei sistemi tecnologici e dei provider. Una valutazione non attenta sul punto espone a gravi responsabilità e conseguenze anche dirette sotto il profilo del risarcitorio. 3) Acquisizione delle necessarie garanzie/certificazioni da parte dei fornitori – La verifica dei contratti con i fornitori di servizi permette di ottenere tutte le opportune attestazioni di conformità che sono richieste dalle normative vigenti e di avere, in concreto, le necessarie garanzie in riferimento alle prestazioni della tecnologia implementata. In assenza di questa valutazione, effettuare correttivi in un secondo momento determina ingenti costi per le aziende. 4) Mappatura dei flussi dei dati – La mappatura dei flussi di dati garantisce il controllo delle attività di processo svolte in azienda e permette la corretta redazione del registro delle attività di trattamento, che costituisce il cardine del sistema di rendicontazione per l’Autorità Garante della Privacy. In difetto di tale mappatura i processi di business non possono dirsi validati. 5) Valutazione del rischio e valutazione d’impatto del trattamento nei confronti degli interessati – La valutazione del rischio determina la misura di responsabilità del titolare; la valutazione d’impatto si estende alla misurazione del rischio del trattamento per i diritti e le libertà sulle persone fisiche interessate dal trattamento. Omettere tale valutazione significa, in concreto, non effettuare una corretta programmazione e quantificazione dei vantaggi del processo 6) Implementazione di tutti gli opportuni meccanismi di garanzia nei confronti dei consumatori/utenti/social users – La “Carta dei Diritti” dei consumatori e degli utenti, e di tutti gli stakeholders, che costituisce un requisito fondamentale delle informative, non è lettera morta: occorre avere implementato gli opportuni meccanismi atti a garantire l’esercizio dei diritti ed il tempestivo riscontro agli interessati in azienda. La mancata implementazione di tali meccanismi espone a concreti rischi nell’incapacità dell’azienda di far fronte a istanze o segnalazione di interessati, che costituiscono la prima fonte di innesco delle attività ispettive dell’Autorità Garante della Privacy. 7) Adozione di un modello di organizzazione e gestione dei dati personali – Il modello di organizzazione e gestione dei dati personali [MOP] permette di analizzare, pianificare e strutturare in azienda un sistema efficace che preveda la corretta attribuzione dei ruoli e l’allocazione delle responsabilità interne. In assenza di tale modello, il titolare del trattamento non è in grado di controllare il processo e di valutare gli eventuali gap. 8) Implementazione dei controlli e delle procedure a presidio del sistema – Nessun sistema è utilmente concepito senza un sistema di controlli e di procedure che possa costituire presidio del sistema. L’assenza di un sistema di controllo e presidio espone l’azienda a danni derivanti dall’inosservanza delle regole tecniche e operative di sistema. 9) Formazione delle nuove competenze in azienda – La formazione del personale in azienda, con particolare riguardo anche alla formazione privacy, data protection e cybersecurity integra una misura di sicurezza ai sensi del GDPR. Un’azienda priva delle necessarie competenze perde una fondamentale leva di sviluppo e competitività. Il processo di trasformazione digitale costituisce una priorità strategica per qualsiasi azienda: questo processo non può limitarsi a toccare gli strumenti operativi aziendali ma deve necessariamente includere un corretto modello organizzativo di Privacy [MOP], Data Protection e Cybersecurity. di Giovanna Boschetti (Fonte: Il Sole 24 Ore)

Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Se il Registro è ben strutturato, gli autorizzati hanno quindi accesso a varie informazioni: durata del trattamento, modalità di cancellazione/distruzione dei dati, ragioni sociali dei Responsabili designati, ecc. Possono quindi anche segnalare eventuali errori o modifiche (ad esempio la variazione di un Responsabile), in modo da far sì che il documento sia costantemente aggiornato.Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato, di norma sotto la Responsabilità del Privacy Officer. Quest’ultimo dovrà informare gli Autorizzati dell’emissione di una nuova versione del documento rendendola disponibile, ad esempio sulla intranet aziendale. In ogni caso i contenuti del Registro non devono essere comunicati all’esterno dell’Organizzazione. La Valutazione dei rischi – La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Un esempio po’ aiutare a comprendere: Per il trattamento X effettuato tramite un software è documentata, come misura di mitigazione, l’accesso regolamentato da password in possesso solo degli autorizzati che ricoprono il ruolo ALFA e BETA. Sulla base di tale informazione, un malintenzionato potrebbe: – dedurre che i dati presenti nel software non sono criptati e questo evidenzia una debolezza– contattare gli autorizzati che ricoprono il ruolo ALFA e BETA attivando tecniche di social engineering per carpire la password o per ricattarli al fine di poter accedere ai dati Inoltre, il malintenzionato, analizzando le minacce descritte dalla Valutazione dei rischi, potrebbe dedurre che alcune non sono state “considerate” o meglio “documentate”. Ciò peraltro non implica necessariamente che non siano state approntate delle misure in relazione a tali minacce. Alla luce di quanto sopra, la Valutazione di rischi dovrebbe essere un documento con un accesso molto limitato, e dovrebbero essere poste in atto ulteriori misure per rendere difficoltosa la consultazione, come ad esempio: – archiviazione del documento in un’area non accessibile dall’esterno– criptazione del documento– suddivisione del documento in più parti, in modo che l’accesso ad una sola di esse non ne permetta la comprensione La problematica assume ancora più rilevanza nel caso in cui l’Organizzazione agisca come Responsabile del trattamento e quindi le misure che pone in capo debbano essere poste a tutela del Titolare. Quest’ultimo potrebbe indicare, nell’ambito dell’atto di designazione, anche il livello di accesso e di protezione della Valutazione dei rischi per la parte dei dati che deve trattare il Responsabile. Considerazioni simili a quelle effettuate per la Valutazione dei rischi possono essere svolte per quanto riguarda il MOP – Modello Organizzativo Privacy che, per quanto non contenga, di norma, elementi vulnerabili come nel caso della Valutazione dei rischi, è opportuno resti riservato. Il caso della Pubblica amministrazione – Per le Pubbliche amministrazioni vi è anche l’esigenza di bilanciare le informazioni contenute nel Registro dei trattamenti e nella Valutazione dei rischi, a fronte delle seguenti normative: – Decreto legislativo 14 marzo 2013, n. 33 – amministrazione trasparente– Legge n. 241/1990 – accesso agli atti La disponibilità/accesso a tali documenti, dovrebbe essere attentamente valutata in quanto sono molte le vulnerabilità a cui l’Amministrazione si espone permettendo la consultazione in rete o l’accesso a seguito di una richiesta (vari esperti hanno peraltro posizioni diverse a riguardo). Riguardo alla normativa sull’amministrazione trasparente, è stata effettuata una ricerca nel sito dell’Anac per verificare quali documenti riguardanti la protezione dei dati sono presenti; risulta presente solo l’elenco: “Banche dati Anac Autorità Nazionale Anticorruzione”. Per quanto riguarda invece il diritto di accesso si rimanda alla definizione di “documento amministrativo”, vedi legge n. 241/1990. L’art. 22, lettera d) e successivamente modificato dalla legge n. 15/2015. Si definisce documento amministrativo “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Il Titolare quindi determinerà, secondo il principio di autotutela, se la Valutazione dei rischi collide con il principio di trasparenza, dato il rischio di utilizzo delle informazioni in modo lesivo degli interessi della Pubblica Amministrazione. Analoga considerazione può essere effettuata per quanto riguarda l’esercizio del diritto di accesso. Conclusioni – Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente

FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”

Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che fanno venir meno uno dei tre sostegni, così anche il DPO che non possiede ulteriori qualità caratteriali necessarie per affrontare e gestire situazioni di stress potrebbe naufragare alla prima tempesta, anche con gravi ripercussioni per il titolare del trattamento che lo ha nominato. A conferma di come, specialmente nelle organizzazioni strutturate, il DPO debba essere una persona assertiva ( nota di OdisseoPrivacy.com: di persona capace di farsi valere pur nel rispetto del diritto degli altri) e resiliente ( nota di OdisseoPrivacy.com: adattarsi in maniera positiva ad una condizione negativa e traumatica) sotto il profilo psicologico, basti pensare al fatto che l’art.38 del Regolamento europeo richiede che “il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”, ma che d’altra parte “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti”. Ciò significa, che il DPO deve quindi sapersi relazionare tanto con dirigenti del top management quanto con il pensionato o la casalinga di turno che intende reclamare il rispetto della propria privacy. Solo un Data Protection Officer che ha la capacità di rimanere lucido e mantenere i nervi saldi davanti a situazioni emotivamente provanti, può affrontare in modo efficace una inattesa ispezione da parte dell’Autorità per la protezione dei dati personali o da parte dei finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, e solo un DPO che ha certe caratteristiche può essere un vero supporto per il titolare del trattamento al verificarsi di scenari tanto imprevisti quanto imprevedibili come quello che si è delineato durante l’emergenza sanitaria da Covid-19, quando tutte quelle che erano state fino ad allora le normali prassi quotidiane della protezione dei dati sono state improvvisamente rimesse in discussione (se non stravolte) con la necessità di fornire risposte immediate a richieste di pareri riguardanti la misurazione della temperatura corporea ai lavoratori, l’utilizzo di termoscanner negli esercizi commerciali, la rilevazione dello stato di positività dei dipendenti, poi successivamente la gestione delle campagne vaccinali in azienda, e tutta una serie di continue questioni da dirimere urgentemente che hanno puntualmente messo sotto pressione il DPO. Tutto questo contesto potenzialmente frenetico, pone pertanto la necessità di verificare attentamente certe caratteristiche caratteriali e professionali, che di fatto costituiscono una quarta gamba del tavolo contribuendo a renderlo più stabile e più robusto, prima di effettuare una nomina del Data Protection Officer, anche relativamente alla sua elasticità mentale e fattiva disponibilità, in quanto né il Garante concorda il giorno e l’ora per effettuare un’ispezione, né il temuto data breach prende appuntamento; anzi gli addetti ai lavori sanno bene come purtroppo certi eventi dannosi accadono inaspettatamente spesso proprio nel week end o nelle ore notturne, se non durante i periodi di ferie, che potrebbero quindi essere infelicemente guastate a chi ricopre questo ruolo chiave previsto dal Gdpr. E se l’art.37 del Regolamento ammette che un gruppo imprenditoriale possa nominare un unico responsabile della protezione dei dati, non allevia certo l’ansia a chi assume tale incarico sapere, come precisa lo stesso articolo, che ciò è possibile solo “a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Per evitare quindi di trovarsi la persona sbagliata nel momento sbagliato nelle varie casistiche che sono state esemplificate in modo non esaustivo, è pertanto fondamentale non basarsi esclusivamente sulle primarie competenze professionali e su quello che viene dichiarato nel curriculum dal candidato, che potrebbe peraltro essere del tutto autoreferenziale, ma approfondire anche con valutazioni ulteriori attraverso test attitudinali, documentazione di referenze pregresse, ripetuti colloqui conoscitivi, ed ogni altro metodo lecito che possa essere utile a determinare se il professionista che si intende nominare come DPO sia davvero quello giusto.

Il privacy officer (in inglese, “agente della privacy”) è una figura professionale con competenze giuridiche, informatiche e gestionali, la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’organizzazione, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti. Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla di chief privacy officer (CPO), figura strategia di gestione “C-level” che si è diffusa negli USA e nei paesi anglosassoni a partire dagli anni ’90, istituita dalle grandi società per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. (Per approfondimenti, vedasi “Il Privacy Officer storia ed evoluzioni della figura professionale) A motivo dei compiti che deve svolgere, il privacy officer deve possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel paese in cui opera. Deve dunque poter offrire ai propri vertici aziendali la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza. In Europa invece il Regolamento UE 2016/679 ha introdotto il Responsabile della Protezione dei Dati (Data Protection Officer), con competenze analoghe, ma che si distingue dal privacy officer dei paesi anglosassoni come figura non operativa e autonoma, che espleta le proprie funzioni di controllo in piena indipendenza senza ricevere alcuna istruzione o impartizione gerarchica, e che deve riferire sul suo operato direttamente ai vertici aziendali, i quali, per l’ esecuzione dei suoi compiti devono fornirgli personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti. L’art.38 del Regolamento europeo sulla protezione dei dati personali, descrive la posizione del “responsabile della protezione dei dati”: Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del titolare del trattamento o del responsabile del trattamento. Il titolare del trattamento o il responsabile del trattamento sostiene il responsabile della protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 39 del regolamento. L’art.39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Il regolamento unico sulla protezione dei dati personali (c.d. GDPR, acronimo di “General Data Protection Regulation”) ha abrograto la direttiva 95/46/CE ed è direttamente applicabile dal 25 maggio 2018 in tutti gli Stati membri UE, obbligando tutti gli enti pubblici e tutte le aziende che rientrano nelle previsioni dell’art. 37 a nominare un data protection officer. Sempre l’art. 37 prescrive che la designazione del DPO debba essere fatta in base alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 39, assicurandosi che la posizione della persona nominata non dia adito a conflitto di interessi. Il nominativo e le coordinate del Responsabile della Protezione dei Dati designato devono essere comunicati all’autorità di controllo e al pubblico, in Italia il Garante per la protezione dei dati personali. Già diversi anni prima dell’introduzione del Regolamento UE, Federprivacy ha promosso la certificazione con Tϋv Italia la figura professionale del Privacy Officer e Consulente della Privacy, dando così un riconoscimento ai professionisti che si occupano di privacy, ma che prima non avevano una connotazione definita. Secondo le Statistiche, dell’Osservatorio di Federprivacy, nel 2018 i professionisti che avevano intrapreso il percorso di certificazione come Privacy Officer erano più di 2.000, di cui più di 400 lo avevano già concluso sostenendo l’esame con Tϋv. (Vedasi anche il video “Come si svolge l’esame di certificazione“)