Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti

corso_agg_dpo

E’ operativo da oggi il nuovo servizio del Garante (https://servizi.gpdp.it/databreach/s/) per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Da qui gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.

modlelo_rel_ann_DPO

App IO: approfondimento sulla privacy e conservazione dei dati personali

corso_agg_dpo

PagoPA S.p.A. opera nella ferma convinzione che la privacy dei cittadini sia un valore irrinunciabile e un elemento essenziale della digitalizzazione della Pubblica Amministrazione. Proprio per questo, tutti i nostri progetti sono attentamente verificati dal nostro team di esperti privacy. Tra questi, anche l’App IO è stata analizzata nei minimi dettagli per assicurare il pieno rispetto del Regolamento Generale sulla protezione dei dati (GDPR) ai propri utenti.

modlelo_rel_ann_DPO

Per quanto riguarda il programma Cashback, il decreto del Ministero dell’economia e delle finanze (DM n.156/2020), su cui il Garante per la protezione dei dati personali ha espresso il proprio parere positivo, ha disciplinato nel dettaglio le modalità di trattamento dei dati raccolti tramite il programma. Inoltre, il Garante ha approvato la valutazione di impatto (DPIA) che è stata predisposta dal Ministero dell’Economia e delle Finanze, in quanto titolare del programma, con la collaborazione di PagoPA S.p.A., e che descrive tutti i flussi e trattamenti che quest’ultima svolge per conto del Ministero stesso.

Il sistema alla base dell’App IO non comporta alcuna profilazione o geolocalizzazione degli utenti. Nel caso specifico del Cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente, ma memorizza unicamente: un codice crittografato in modo irreversibile (tecnicamente detto “hash PAN”) che corrisponde allo strumento di pagamento registrato ai fini del programma; data, ora e importo dell’acquisto effettuato tramite quello strumento di pagamento, unicamente per rendere visibili all’utente le transazioni che permettono il calcolo del rimborso ai fini del Cashback.

Il sistema alla base dell’App IO non memorizza i dati delle carte di credito/debito aggiunte dall’utente nella sezione “Portafoglio”: questi, infatti, vengono memorizzati dal fornitore SIA S.p.A. in un ambiente protetto secondo gli standard PCI DSS (Payment Card Industry Data Security Standard) e conservati in server situati in Italia.

Il sistema alla base dell’App IO, quindi, non trasferisce all’estero i dati relativi agli strumenti di pagamento aggiunti nella sezione “Portafoglio” (es. i dati delle carte di credito/debito). Allo stesso modo, i server dove vengono memorizzati i dati personali degli utenti (quali, ad esempio, il codice fiscale, l’email, le informazioni contenute nella sezione “Messaggi”) sono situati all’interno dell’Unione Europea dove è applicato il Regolamento generale sulla protezione dei dati personali (GDPR) e, quindi, le stesse tutele applicabili in Italia.

Utilizziamo alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana. In particolare, utilizziamo fornitori esteri solo per un servizio che ci aiuta a gestire le segnalazioni degli utenti e per uno strumento che raccoglie i dati sull’utilizzo dell’app e che usiamo per scopi di debug (individuazione e correzione di problemi tecnici), incident response (gestione degli incidenti informatici), assistenza tecnica e miglioramento dell’App. Inoltre, in alcuni casi residuali, potremmo utilizzare uno strumento di comunicazione interna aziendale che di norma, ovviamente, non tratta dati riferiti agli utenti dell’App IO ma che opera in supporto della divisione di PagoPA S.p.A. responsabile del customer care per accelerare eventuali interventi. Infine, utilizziamo i sistemi di Google per inviare notifiche push ai cittadini che, accedendo all’app IO da dispositivi Android, non sarebbero diversamente raggiungibili. Google riceve dati personali di tali utenti esclusivamente nel caso di notifiche non generiche, ma contenenti informazioni relative agli stessi: nello specifico del programma Cashback, non sono previste notifiche push che contengano dati personali.

Con tutti i predetti fornitori, abbiamo stipulato una nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR, con cui tali fornitori hanno accettato di trattare i dati esclusivamente al fine di svolgere il servizio che ci rendono precludendo agli stessi, pertanto, un qualsivoglia utilizzo per altre finalità o per fini loro propri.

A seguito della sentenza della Corte di Giustizia dell’Unione Europea che ha invalidato il c.d. Privacy Shield ci siamo adoperati per garantire che tutti i trasferimenti verso società stabilite negli Stati Uniti siano coperti dalle Clausole contrattuali tipo della Commissione Europea (SCC), che costituiscono uno degli strumenti ammessi dal GDPR, (v. art. 46). Con alcuni di essi, inoltre, abbiamo rinforzato le SCC con specifiche ed ulteriori previsioni, in attesa di poter adottare il nuovo testo delle SCC, attualmente in fase di consultazione pubblica.

Nell’ottica di una piena trasparenza, in linea con tutte le attività che contraddistinguono il lavoro del team responsabile dell’App IO e grazie al feedback degli utenti, abbiamo deciso di rendere ancora più dettagliata l’informativa dell’App IO includendo la lista aggiornata dei nostri fornitori (disponibile a questo link) con le informazioni di base rispetto ai dati trattati dai loro servizi e di cui l’App IO si serve per la sua operatività. Come si evince da questa lista, quando possibile prediligiamo società situate in Italia e in UE e, laddove disponibili, selezioniamo opzioni che consentono di mantenere i dati in UE.

Infine, ricordiamo che IO si basa sul concetto di sviluppo collaborativo che deve coinvolgere tutti i soggetti direttamente o indirettamente attivi nel processo di digitalizzazione. Per questo rinnoviamo ed estendiamo anche ai lettori di questo comunicato l’invito a contribuire e a segnalarci qualunque proposta migliorativa per rendere IO sempre più sicura e rispettosa della privacy dei cittadini.

Trattamenti basati sul consenso: sentenza della Corte europea

La Corte di giustizia europea ha consigliato, per i trattamenti basati sul consenso, di fare in modo che le informazioni da fornire all’interessato siano tali da consentirgli di individuare in modo semplice le conseguenze del consenso prestato.

corso_agg_dpo
modlelo_rel_ann_DPO

Sentenza N° 11 C-61/19 Orange Romania SA/ANSPDCP dell’11/11/2020

Preventivo.info – nuova versione del marketplace per i consulenti che cercano clienti

E’ on line la nuova versione del sito www.preventivo.info dove i consulenti sicurezza del lavoro, sistemi di gestione, privacy, modelli 231 possono acquisire nuovi incarichi di consulenza.

#modelli231 #sicurezzadelavoro #privacy #gdpr #dpo #consulenti #consulente

Brexit e protezione dei dati personali: ultimi aggiornamenti

Tra i molti problemi che l’Unione Europea deve affrontare, nelle relazioni con il Regno Unito, sono quelli afferenti al trattamento il trasferimento di dati personali. Ecco la situazione.

corso_agg_dpo

modlelo_rel_ann_DPO

Quando, il 31 dicembre 2020, il Regno Unito uscirà dall’unione europea, tutti gli accordi precedentemente in essere, afferenti al trattamento di dati personali, dovranno essere rivisti e aggiornati, perché, a tutti gli effetti, il Regno Unito diventerà paese terzo. Come i lettori ricordano, il trasferimento di dati dall’unione europea ad un paese terzo può avvenire se vengono soddisfatte una o più di queste condizioni:

  • il paese terzo può essere inserito in una lista di paesi, per i quali vale una decisione di adeguatezza. Ciò significa che la commissione dell’unione europea ritiene che, a tutti gli effetti, le regole afferenti alla protezione dei dati personali, in vigore nel paese terzo, sono di livello sufficientemente elevato e paragonabile a quelle esistenti nell’Unione Europea. I lettori possono consultare sul sito della commissione europea l’elenco dei paesi inseriti in questo elenco: uno degli ultimi paesi recentemente inserito è il Giappone;
  • il trasferimento nel paese terzo può essere consentito solamente se avviene tra un titolare residente unione europea ed un titolare residente nel paese terzo, solo a condizione che siano state stipulate delle garanzie adeguate, illustrate nell’articolo 46 del regolamento europeo, che possono garantire agli interessati al trattamento una efficiente e tempestiva cautela, in caso di anomalie;
  • infine, il trasferimento in paese terzo può essere consentito dopo la stipula di regole vincolanti di impresa, ma solo fra due titolari che facciano riferimento allo stesso gruppo economico multinazionale.

Caso affatto particolare è quello del trasferimento di dati con gli Stati Uniti, per i quali vale lo specifico accordo chiamato Privacy shield.

Orbene, appare chiaro che fra tra le tre ipotesi illustrate la prima è quella che permetterebbe una più morbida separazione tra titolari con sede nella unione europea e titolari con sede nel Regno Unito.

Per la verità, gli esperti ritengono che il Regno Unito abbia addirittura delle regole ancora più vincolanti, rispetto a quelle in vigore dell’unione europea; in particolare, è bene ricordare che la prima legge sulla protezione dei dati personali, che venne pubblicata nel Regno Unito, aveva anni di anticipo, rispetto alla legge 679 / 96, che istituì la protezione dati personali in Italia.

Chi scrive ricorda benissimo come l’allora Garante studiò attentamente le regole già in vigore nel Regno Unito e si “appropriò” di alcune tecniche assai efficienti ed efficaci, come ad esempio la possibilità di presentare una notifica di trattamento con uno strumento informatico. Questa possibilità era già in vigore nel Regno Unito, compilando un modulo informatico e gestendolo attraverso il servizio postale.

Stante i numerosissimi vincoli operativi ed economici, che continueranno esistere anche dopo il 31 dicembre 2020, è importante che i lettori, che sono potenzialmente coinvolti in questa problematica, tengano sotto stretto controllo la situazione, per evitare che alla mattina del 1 gennaio 2021, nessun dato possa essere trasferito tra la unione europea ed il Regno Unito!

Adalberto Biasiotti

 Questo articolo è pubblicato sotto una Licenza Creative Commons.

Tratto da: https://www.puntosicuro.it/security-C-124/privacy-C-89/brexit-protezione-dei-dati-personali-ultimi-aggiornamenti-AR-20582/ – Copyright © All Rights reserved 1999-2019 – All Rights Reserved.