Il Blog di Ius Privacy

Il Trattamento dei dati ai sensi delle norme vigenti comprende qualunque operazione relativa a dati e/o informazioni dalla raccolta alla registrazione fino alla loro distruzione. Il titolare del trattamento deve adottare misure tecniche ed organizzative idonee per garantire la protezione e gestione dei dati ai sensi delle norme vigenti privacy. E' soggetto alle norme Privacy chiunque abbia effettuato il trattamento di dati personali la violazione delle norme privacy soggetta a sanzioni esose. Il trattamento dei dati inizia con l'informativa cio il modulo/modello anche in forma digitale attraverso il quale il Titolare dichiara le finalit e modalit del trattamento e gli interessati (utenti che...

Allinterno del capitolo vengono descritti gli esempi degli step per limplementazione di un sistema privacy. INTERVISTALintervista una raccolta di informazioni sullo stato di adeguamento al D. Lgs 196/RE (strumenti interviste preliminari analisi di documenti eventuali audit) finalizzati alla predisposizione del Piano di lavoro o offerta nel caso di attivit consulenziale. Esempio Intervista: Denominazione / Ragione Sociale Azienda Attivit Svolta Dipendenti collaboratori numero Esiste una persona indicata come referente per l Privacy Esiste una persona indicata come responsabile del sistema informativo Descrizione dellarchitettura del sistema informatico. Viene effettuato una o pi procedure di backup dei dati del sistema informatico Esiste un sistema di autenticazione...

Per DATA PROTECTION Impact Assessment si intende la valutazione dimpatto Privacy. L'analisi del rischio il processo che ha l'obiettivo di identificare i rischi per la sicurezza determinando la loro ampiezza e identificando le aree che necessitano di protezione. La valutazione di impatto privacy disciplinato dal nuovo Regolamento UE unitamente ad altri adempimenti formali come la tenuta dei registri del trattamento diversamente dal Codice Privacy sostituisce l'obbligo generale di notificare le autorit di controllo il trattamento dei dati personali e si inserisce nel principio della responsabilizzazione del trattamento. La gestione del rischio si pu definire come il processo di identificazione controllo ed eliminazione o...

Art. 31 del D. Lgs 196/2003 afferma che i dati personali oggetto di trattamento sono custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico alla natura dei dati e alle specifiche caratteristiche del trattamento in modo da ridurre al minimo mediante l'adozione di idonee e preventive misure di sicurezza i rischi di distruzione o perdita anche accidentale dei dati stessi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalit della raccolta. La legge distingue art. . 31-36 tra misure c. d. idonee e minime di sicurezza. La distinzione fra misure e minime netta in quanto...

Il Codice della Privacy (D. Lgs. n. 196/2003) al Titolo V Sicurezza dei dati e dei sistemi artt. 31-36 si occupa della sicurezza delle informazioni. Il considerando 39 del Regolamento Europeo 2016/679 precisa che . . . I dati personali dovrebbero essere trattati in modo da garantire un'adeguata sicurezza e riservatezza anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento. Lart. 32 del Regolamento Europeo richiamano i doveri del titolare del trattamento e del responsabile del trattamento i quali mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio...

La sigla ISO 9000 indica una serie di normative e linee guida sviluppate dall'Organizzazione internazionale per la normazione (ISO) le quali definiscono i requisiti per la realizzazione in una organizzazione di un sistema di gestione della qualit al fine di condurre i processi aziendali migliorare l'efficacia e l'efficienza nella realizzazione del prodotto e nell'erogazione del servizio ottenere ed incrementare la soddisfazione del cliente. Il Sistema Privacy mutuato dal sistema di gestione della qualit basato sulle norme della famiglia ISO 9000 con un indirizzo orientato verso il miglioramento ed alla integrazione con altri sistemi di gestione. Di seguito vengono indicati i principi...

A tutti i processi aziendali pu essere applicato il modello conosciuto come "Plan-Do-Check-Act" (PDCA*) noto come Ciclo di Shewhart o ruota di Deming rispettivamente dal nome dellideatore Walter Shewhart (1920) e del maggior divulgatore W. Edwards Deming che pu essere brevemente descritto come segue:Plan: stabilire gli obiettivi ed i processi necessari per fornire risultati in accordo con i requisiti del cliente e con le politiche dell'organizzazione Do: dare attuazione ai processi Check: monitorare e misurare i processi ed i prodotti a fronte delle politiche degli obiettivi e dei requisiti relativi ai prodotti e riportarne i risultati Act: adottare azioni per...

Per Disaster Recovery (DR) si definiscono una serie di procedure che consentono il recupero o il mantenimento di infrastrutture tecnologiche a seguito di una calamit naturale o antropica. Poich i sistemi IT sono diventati fondamentali per il funzionamento di societ ed organizzazioni cresciuta nel tempo l'importanza di garantire la continuit del funzionamento di questi nonch il ripristino in caso di evento disastroso. Le procedure di Disaster Recovery sono paragonabili alle simulazioni antincendio: si simula un incendio per capire come reagisce lorganizzazione e le persone a seguito dellallarme antincendio. Sono molto importanti non solo le procedure di Disaster Recovery per il ripristino del sistema...

Per backup si intendono operazioni di copia dei files dati su supporti preferibilmente diversi da quelli di origine. Lobiettivo del backup non solo quello di ridurre il rischio legato alla perdita o al danneggiamento di parte di essi ma se eseguito ad intervalli regolari un valido strumento in grado di disporre le informazioni nel momento in cui sono stati salvati. Oltre le semplici procedure di backup di files che possono essere spostati facilmente su supporti digitali come device USB o supporti magnetici ed ottici gli amministratori di sistema concentrano la loro attenzione sui backup dei sistemi di gestione delle informazioni o meglio...

Il New Hackers Dictionary di Eric S. Raymond definisce un hacker come qualcuno che ama esplorare le possibilit offerte da un sistema informativo e mettere alla prova le sue capacit in contrapposizione con la maggior parte degli utenti che preferisce apprendere solo lo stretto indispensabile. Questo ovviamente il concetto di hacker espresso con un valore positivo. Vi tuttavia da segnalare che dellintento puramente ludico che spingeva i primi hacker ad agire poco rimasto. I sistemi informatici custodiscono infatti dati sempre pi preziosi e la loro violazione arreca ormai danni notevoli ad aziende ed istituzioni pubbliche e governative. Vi infine da segnalare...