Archivio mensile:gennaio 2021

Come trattare i dati in piena pandemia Covid-19

L’ICO ha definito i passaggi chiave che le organizzazioni devono considerare, riguardo all’uso delle informazioni personali, in regime di COVID 19. Ecco l’elenco completo.
Raccogli e utilizza solo ciò che è necessario

Per aiutarti a decidere se la raccolta e l’utilizzo dei dati sulla salute delle persone sono necessari per proteggere il tuo personale, dovresti porti alcune domande:

In che modo la raccolta di informazioni personali riferite a COVID 19 aiuterà a mantenere sicuro il posto di lavoro?
Hai davvero bisogno di tali informazioni?
Il test sanitario che stai prendendo in considerazione ti aiuterà effettivamente a rendere l’ambiente più sicuro?
Potresti ottenere lo stesso risultato senza raccogliere informazioni personali?
Se puoi dimostrare che il tuo approccio è ragionevole, equo e proporzionato alle circostanze, è improbabile che sollevi preoccupazioni sulla protezione dei dati.

Quando raccolgono informazioni personali, inclusi i sintomi COVID-19 delle persone o qualsiasi risultato di test correlato, le organizzazioni dovrebbero raccogliere solo le informazioni necessarie per implementare le loro misure in modo appropriato ed efficace.

Non raccogliere dati personali di cui non hai bisogno.

Alcune informazioni devono essere conservate solo momentaneamente e non è necessario creare una registrazione ed archiviazione permanente.

Sii chiaro, aperto e onesto con il personale, circa le modalità di trattamento dei suoi dati

Alcune persone potrebbero essere interessate da alcune delle misure che intendi attuare. Ad esempio, il personale potrebbe non essere in grado di lavorare. Devi essere consapevole di questo e assicurarti di dire alle persone come e perché desideri utilizzare le loro informazioni personali, comprese quali saranno le implicazioni per loro.

Dovresti anche far sapere ai dipendenti con chi condividerai le loro informazioni e per quanto tempo intendi conservarle. Puoi farlo tramite un’informativa sulla privacy chiara e accessibile.

Questa immagine ha l'attributo alt vuoto; il nome del file è prev_cons_quad.png — https://preventivo.info/avvisi-pubblici-ricerca-consulenti/

Tratta le persone in modo equo

Se stai prendendo decisioni sul tuo personale, in base alle informazioni sulla salute che raccogli, devi assicurarti che il tuo approccio sia equo.

Pensa attentamente agli eventuali danni che i dipendenti potrebbero subire a causa della tua politica e assicurati il tuo approccio non causi alcun tipo di discriminazione.

Proteggi le informazioni personali

Tutti i dati personali in tuo possesso devono essere conservati in modo sicuro e conservati solo per il tempo necessario.

È inoltre buona norma disporre di una politica di conservazione, che stabilisca quando e come le informazioni personali devono essere riviste, eliminate o rese anonime.

Se hai deciso di implementare il controllo o il test dei sintomi, ci sono requisiti aggiuntivi che devi seguire. Questi includono l’identificazione di una base legale per l’utilizzo delle informazioni raccolte e, se si elaborano dati sanitari su larga scala, lo sviluppo di una valutazione dell’impatto sulla protezione dei dati (art. 35 GDPR). Questi passaggi garantiscono il rispetto della legge sulla protezione dei dati.

Supporta il diritto di accesso

Come per qualsiasi raccolta di dati, le organizzazioni devono informare le persone sui loro diritti, in relazione ai loro dati personali, come il diritto di accesso o rettifica.

Il personale deve avere la possibilità di esercitare tali diritti, se lo desidera, e di discutere eventuali problemi con le organizzazioni.

Un approccio equo alla gestione dei dati delle persone, trasparente nel suo scopo e conforme alla legge sulla protezione dei dati, guadagnerà la fiducia di colleghi e comunità in questo momento eccezionale

Fonte: Puntosicuro.it – Autore: A. Biasotti

Bandi/Avvisi per incarichi DPO/consulenza privacy in scadenza

Rispondi

Scadenza – 5/2/2021
Importo incarico: 1.650 euro
Regione: Toscana

Scadenza – 4/2/2021
Importo incarico: 9.000 euro
Regione: Marche

Accedi all’avviso completo abbonandoti a www.preventivo.info

Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati

Rispondi

Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.

Le “Guidelines 01/2021 on Examples regarding Data Breach Notification“, approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere.

Sul documento l’Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021).

Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Tra le mancanze più frequenti ricordati dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data

Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti

Rispondi

E’ operativo da oggi il nuovo servizio del Garante (https://servizi.gpdp.it/databreach/s/) per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Da qui gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.