Archivio dell'autore: sicurezzapratica

Gli aspetti critici dell’attività del DPO

A più di un anno dell’applicazione del Reg. Ue 2016/679, è possibile tracciare un primo bilancio anche della nuova figura professionale introdotta, quella del Data Protection Officer.
I mille dubbi sull’operatività del DPO non si sono completamente dipanati, nel corso dei mesi. Anzi in molti casi i dubbi e le questioni irrisolte hanno continuato ad alimentare il dibattito tra gli esperti e non, in rete e nei convegni in tutta Italia.

Home.jpg
Se è pur vero che per il DPO non sono previste sanzioni esplicitamente richiamate dalla nuova normativa, è pur sempre vivo il pericolo per qualcuno di “incappare” in qualche problematica, con risvolti legali anche importanti e ,come tutte le questioni di legge, fastidiose.
Le assicurazioni professionali garantiscono e tutelano il singolo DPO in modo più o meno completo, ma la complessità della materia e della sua applicazione alle singole realtà aziendali, accompagnate anche da una non completa preparazione professionale, possono creare situazioni critiche in qualsiasi momento.
Infatti il ruolo di DPO, normato come un supervisore, si pone all’interno dell’azienda in una posizione che può apparire in alcuni contesti, scomoda, a tal punto da generare anche sottili azioni di “sabotaggio” anche culturale, se non “operativo” (nei casi peggiori), in ambito privacy.
Il suo posizionamento tra il titolare dei trattamenti dati e la più alta gerarchia aziendale, crea in alcuni contesti dinamiche di gestione dei dati personali che lo stesso DPO può faticare a individuare, a prevenire trovandosi poi a gestire improvvisi e importanti databreach e rapporti con il Garante, con gravi conseguenze per l’azienda.

In questo contesto è fondamentale che il DPO comprenda l’importanza di definire gli aspetti più sensibili della propria professione, andando a pianificare nei dettagli ogni singola dinamica, che se fuori controllo, possono esplodere con conseguenze gravi e “attriti” con l’azienda e il titolare trattamenti dati, dalle conseguenze anche risarcitorie.

Vediamo un breve elenco degli aspetti che un DPO deve con maggiore attenzione valutare nello svolgimento della propria attività:
_ autonomia operativa sia dal punto di vista di budget di spesa, sia dal punto di vista della gerarchia aziendale
_ coinvolgimento in ogni questione che riguarda i trattamenti dei dati personali in azienda
_ partecipazione alle riunioni dell’alta direzione
_ documentare sempre situazioni in cui il proprio parere non è condiviso ad esempio dal Titolare trattamenti dati
_ comunicazione della propria nomina a tutto il personale dell’azienda in modo tale che la sua presenza e le sue funzioni siano note all’interno dell’azienda
_ ricorrere quando necessario a consulenti esterni per problematiche tecniche o legali che non è in grado di risolvere.

Per aiutare il singolo DPO a valutare la presenza di possibili criticità nella propria professione, Edirama ha realizzato il software Check DPO, uno strumento veloce, completo, personalizzabile e utilizzabile per illimitati check-up della professione del DPO.
Rispondendo a 23 quesiti che abbracciano 23 aspetti operativi dell’attività professionale del DPO, il software fornisce un quadro esaustivo delle criticità professionali, indicando anche le soluzioni operative per correggerle.

In questo modo il DPO può valutare il proprio status professionale in ogni singola azienda nelle quali ricopre tale funzione, utilizzando il software Check DPO, individuando criticità che possono portare a problematiche le cui conseguenze possono essere anche gravi.
Il software è disponibile su http://www.edirama.org dove è possibile consultare la video demo

Per maggiori informazioni
Dr. Matteo Rapparini
http://www.edirama.org
Tel. 051-35.38.38
info@edirama.org

Data breach: Garante, le comunicazioni agli utenti non devono essere generiche

Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.

La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.

La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.

In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.

 

Dall’Agenzia dell’Unione europea per i diritti fondamentali un “Manuale sul diritto europeo in materia di protezione dei dati”

L’Agenzia dell’Unione europea per i diritti fondamentali (FRA) ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”, che fornisce una panoramica dei quadri giuridici applicabili dell’Unione europea e del Consiglio d’Europa, aggiornata agli ultimi sviluppi normativi (rispettivamente, il Regolamento (UE) 2016/679 e la Convenzione 108+ modernizzata).

Il volume si occupa anche della giurisprudenza, illustrando le principali sentenze sia della Corte di giustizia dell’Unione europea che della Corte europea dei diritti dell’uomo, ed affronta scenari ipotetici che servono come esempi pratici per descrivere le diverse problematiche incontrate in questo campo in continua evoluzione.

Il Manuale è disponibile in tre versioni linguistiche al seguente indirizzo web: https://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law.

Il Garante per la protezione dei dati personali ha collaborato alla realizzazione della versione italiana, qui disponibile:https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_it.pdf.

Avviso pubblico per la costituzione di un elenco di avvocati dal quale eventualmente attingere ai fini del conferimento di incarichi di patrocinio legale nell’interesse del Garante per la protezione dei dati personali

Avviso pubblico per la costituzione di un elenco di avvocati dal quale eventualmente attingere ai fini del conferimento di incarichi di patrocinio legale nell’interesse del Garante per la protezione dei dati personali
(7 maggio 2017)

 

 

Avviso pubblico elenco avvocati – formato pdf 

 

 

Modulo d’iscrizione – formato word

Dal 20 maggio sanzioni privacy a pieno regime

Il 19 maggio 2019 scade il periodo di «prima applicazione», in cui il Garante deve, per legge, mostrare la sua comprensione e, nei limiti del (giuridicamente) possibile, andarci piano con le sanzioni per violazioni del Regolamento Ue 2016/679 (Gdpr) e del nuovo Codice della privacy (figlio del dlgs 101/2018). Ora, però, alla porta ci sono 7.219 reclami e segnalazioni e 946 notificazioni di violazioni della privacy.

Fonte: Federprivacy