NORMA ISO/IEC SU SICUREZZA INFORMATICA
Dopo nove anni di lavoro è stata pubblicata la nuova norma ISO/IEC 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”, al momento disponibile solo in lingua inglese al sito www.iso.org. La nuova edizione ha il pregio di aver raggruppato le aree che da 14 sono passate a 4, semplificando quindi le procedure. Restano comunque i controlli organizzativi, fisici, delle persone e tecnologici per un numero totale di 93 controlli invece dei 114 della precedente ISO/IEC 27001:2013. Alle aziende che avevano ottenuto la certificazione precedente ISO/IEC 27001 si consiglia di aggiornare all’ultima versione. A questo proposito si attendono le indicazioni di Accredia.
IL GARANTE SPAGNOLO MULTA AMAZON TRASPORTI CON 2 MILIONI DI EURO
Il Garante spagnolo che è in testa nella Ue per numero di multe ha appena sanzionato Amazon Road Transport Spain SL per aver ceduto anche a filiali extra-Ue dell’azienda dati giudiziari di propri prestatori di servizi. In sostanza alle compagnie di trasporto autonome chiedeva anche il casellario giudiziale, dato particolare ricordiamo e quindi sottoposto per il GDPR a specifica tutela. Questi dati venivano inviati e condivisi con altre sedi della multinazionale. Multa 2 milioni di euro. La società si è difesa dicendo che nel casellario giudiziale non c’era nulla, che voleva dire appunto che la persona non aveva commesso reati e avuto condanne definitive. I sindacati sono insorti e il Garante ha multato il Big Usa. Ricordiamo inoltre che il trattamento dei dati giudiziari è previsto sotto il controllo dell’autorità pubblica e con garanzie appropriate.
BOARD EUROPEO VUOLE VEDERCI CHIARO SU CLOUD DELLA PA
Il board europeo EDPB ha promosso un’indagine sui dati personali messi in cloud dalle pubbliche amministrazioni. In sostanza i Garanti dei diversi paesi sono tenuti a presentare una relazione sulla gestione dei dati in cloud della pubblica amministrazione, tra le quali si annoverano anche le aziende private che lavorano per il pubblico. Sopratutto con la pandemia Covid e il ricorso sempre maggiore al digitale, sono sorti parecchi dubbi su app che gestiscono dati personali dei cittadini in maniera spesso non del tutto ortodossa. L’indagine riguarderà oltre 80 soggetti che raccolgono dati sanitari, fiscali o relativi all’educazione e li mettono in cloud. Entro la fine del 2022 l’EDPB prevede di pubblicare un report. Inoltre le autorità privacy nazionali emetteranno dei provvedimenti correttivi in caso di rinvengano anomalie rispetto alle norme vigenti, compreso GDPR.
TUTELE PER I MINORI CHE USERANNO IDENTITA’ DIGITALE
L’Agenzia per l’Italia digitale ha pensato bene di introdurre uno Spid, identità digitale anche per i minori, con consenso dei genitori o aventi patria potestà. La materia è molto delicata e soggetta anche a normative specifiche proprio perché il minore viene individuato come soggetto “fragile” in quanto “meno consapevole dei rischi, delle conseguenze e delle misure di salvaguardia”, come si legge nel provvedimento del Garante privacy italiano. Al momento in Italia vengono usati due sistemi di identificazione, CIE e SPID anche per i maggiorenni, e i minorenni hanno già la Carta digitale CIE. In sostanza analizzata tutta la procedura, il Garante ha messo in guardia dai rischi elevati, il fatto che sono coinvolti altri soggetti (i genitori), il rischio che ci sia una profilazione degli utenti, per non parlare del fatto che per molti servizi pubblici deve essere il genitore che accede per il figlio e non il minore da solo. Alla fine il Garante chiede che si limiti l’accesso per i minori tra i 5 e i 14 anni ai servizi scolastici almeno per un periodo di sperimentazione fino a giugno 2023.
GARANTE OLANDESE MULTA AZIENDE PER AVER CHIESTO CARTA IDENTITA’
L’Autorità per la protezione dei dati olandese ha multato un’azienda per 525 mila euro accusandola di aver ostacolato l’esercizio dei propri diritti da parte degli interessati. In sostanza se un’interessato chiedeva la cancellazione o informazioni sui dati forniti, l’azienda DPG Media chiedeva la carta d’identità della persona. Se è vero che il titolare deve controllare l’effettiva identità del richiedente per non ottemperare richieste di soggetti terzi, il Garante ha fatto notare che con un controllo incrociato ad esempio sulla mail dalla quale scriveva l’interessato se già in possesso del titolare, si sarebbe potuto facilmente capire l’identità della persona. Il Garante ha quindi concluso che la procedura era”impeditiva” e “sproporzionata rispetto alla natura e alla quantità di dati personali” e quindi essendo di fronte a gravi violazioni ne discende la sanzioni salata.
ALLO STUDIO DELLA UE UN PORTAFOGLIO DI IDENTITà DIGITALE
L’EDPB, il Board europeo dei Garanti, ha iniziato un percorso di studio e approfondimenti sul Portafoglio dei dati personali, detto EU Digital Identity Wallet (DIW), inserito in una proposta legislativa della Commissione europea nel 2021. In pratica sarà un’applicazione che stocca vari dati e vi si accede con identificazione elettronica. Dentro al portafoglio a disposizione di cittadini, uomini d’affari e residenti nella Ue, ci saranno i diplomi di studio, i certificati, la documentazione sul lavoro o altro. Il portafoglio potrà avere validità legale. Ogni documento sarà autenticato da una parte terza (ad esempio il datore di lavoro oppure l’Università in cui si sono fatti gli studi). L’interessato potrà decidere quali parti del portafoglio vuole condividere con altri e quali no, visto che conterrà anche documenti relativi alla salute o altri dati particolari. Secondo alcune ipotesi il portafoglio potrebbe includere l’euro digitale. Si prevede che possa essere attivato nel giro di un paio di anni. Ovviamente ha bisogno di votazioni in Parlamento europeo e Commissione. Sono in corso studi da parte di informatici e specialisti della Privacy e del Regolamento europeo su come ottemperare alle normative esistenti e proteggere al massimo i dati delle persone.
LE REGOLE PER I SITI DI APPUNTAMENTO
Concludiamo con una notizia più leggera: il Garante italiano ha pubblicato un vademecum relativo ai siti di appuntamento e ricerca dell’anima gemella. Uno dei primi consigli è di usare un sopranome e non mostrare la propria fotografia. https://www.gpdp.it/web/guest/temi/internet-e-nuove-tecnologie/dating-online.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, 2021), acquistabile anche in digitale sul sito francoangeli.it.
