Dieci domande (e dieci risposte) da porsi per scegliere un cloud provider
Grazie al cloud computing nell'ultimo biennio (onde limitare la diffusione del virus covid-19) milioni di individui nel mondo hanno potuto/dovuto dare parziale continuità alle attività e alle reciproche interazioni portandole sulla 'nuvola', anche se questa 'traduzione' è stata spesso realizzata al prezzo della assunzione di molteplici rischi, sottovalutati o anche ignorati, sia sotto il profilo della protezione dei dati che della privacy in senso stretto. Il fenomeno è esploso, soluzioni sempre più sofisticate e complesse si sono affacciate sui mercati ma è come se - malgrado ciò - alcuni problemi di fondo fossero rimasti impregiudicati, sostanzialmente fermi a 10 anni fa; quando il Gruppo articolo 29, con il parere n. 05/2012 (in alcune parti evidentemente superato, in particolare per l'avvento del Regolamento UE 2016/679 (GDPR), si pensi soltanto alle novità apportate dal suo art. 28) rilevò “come la diffusione su vasta scala dei servizi di cloud computing comporti una serie di rischi per
Le misure tecniche ed organizzative per il controllo degli accessi.
Il tema del controllo fisico degli accessi riscuote sempre molto interesse, in quanto spesso trascurato come misura sia tecnica che organizzativa. Eppure anche la ISO/IEC 27001:2013 dedica una serie di controlli specifici (A11 Sicurezza fisica ed ambientale) e nello specifico A 11.1 Aree sicure) le cui linee guida sono definite nei controlli da 7.1 a 7.6 (con esclusione di 7.4)della ISO/IEC 27002:2022. In questo articolo si vogliono fornire indicazioni in merito alle misure da porre in essere mutuiate anche dalla ISO/IEC 27001:2013 supportata dalla linea guida ISO/IEC 27002:2022; mentre la ISO/IEC 27701 non richiede specifici requisiti aggiuntivi. Non sono trattate dall’articolo le misure da porre in essere per prevenire i danni causati da minacce ambientali quali incendi, terremoti, ed altri eventi naturali. Il controllo degli accessi - Le misure per il controllo degli accessi sono volte a vietare a persone non autorizzate di accedere a locali, edifici o locali in cui sono trattati dati personali. alla
Non lecito fare telefonate promozionali a delle persone solo perché il loro numero è pubblicato in rete
Il fatto che dei numeri di telefono siano pubblicati su elenchi online o facilmente recuperabili su internet non significa che siano liberamente utilizzabili per effettuare telefonate agli abbonati per promuovere i servizi della propria attività commerciale, e il fatto che gli operatori violino la privacy delle persone “in buona fede” non è una giustificazione accettabile. Uno dei tanti casi che dimostra come molte aziende non abbiano ancora ben compreso che non è lecito usare i numeri di telefono a piacimento considerandoli disponibili su “fonti pubbliche” semplicemente perché si trovano facilmente tramite un motore di ricerca o su siti web di elenchi telefonici, è quello di un’agenzia immobiliare di Roma affiliata a Tecnocasa che con le proprie telefonate periodiche aveva infastidito uno degli abbonati a tal punto da presentare un reclamo al Garante per la protezione dei dati personali. In risposta alle richieste di informazioni dell’Autorità, l’agenzia immobiliare aveva ammesso di aver contattato
Aggiornamento NextWare Pro 2.9.9.5
Rilasciato il nuovo aggiornamento del NextwarePro, il sistema di gestione sviluppato per il Non Profit e con il Non Profit. Invio telematico erogazioni E’ stata resa parametrica l’esclusione dei soggetti che hanno codice fiscale, ma che non sono persone fisiche: in questo modo è possibile mantenere il controllo su tutti i soggetti che hanno codice fiscale oppure limitarsi alle sole persone fisiche. Stampa estratto conto a partite aperte E’ ora possibile impostare la data limite per la ricerca di incassi e pagamenti: in questo modo è possibile eseguire la stampa anche per periodi pregressi. Import donazioni Per la ricerca dei soggetti già censiti, si tiene ora conto anche dell’indirizzo e-mail e del cellulare; questi dati possono essere considerati univoci di per sé oppure in combinazione a nominativo e località in funzione della configurazione dell’Ente. I soggetti non univoci vengono stampati e non importati: si dovrà agire sul foglio Excel per renderli univoci e
Aggiornamento NextWare Pro 2.9.9.4
Rilasciato il nuovo aggiornamento del NextwarePro, il sistema di gestione sviluppato per il Non Profit e con il Non Profit. Generazione scadenze predefinite Nella generazione che viene eseguita con la spunta “Anno precedente” vengono ora copiate le scadenze anche per i nuovi bambini in sostegno. Generazione ordinativi di bonifici Sono state aggiornate le causali in base alle ultime specifiche CBI. Stampa elenco ricevute donazioni Le ricevute vengono ora selezionate in base alla data di emissione della ricevuta in modo da selezionarle anche se riferite a donazione dell’anno precedente. Donazioni cointestate E’ stata modificata la ricerca per adeguarla ai casi in cui sia il donatore primario che i nominativi aggiuntivi risultano essere privi di codice fiscale. Invio telematico erogazioni E’ stata aggiunta la possibilità di stampare un report riepilogativo che espone, per ogni donatore, il totale delle donazioni riconducibili a strumenti di raccolta tracciabili e non tracciabili. Import donazioni La procedura di import da Excel è stata modificata in modo
Marketing e legittimo interesse: valida base giuridica solo nel caso del soft spam
Tre recenti provvedimenti del Garante per la privacy (Provv. 25 novembre 2021 [9737185], [9736961], [9738356]) ci consentono di tornare sul tema delle liste consensate nel marketing e richiamare il principio per cui chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Sul punto va ricordato che in ossequio al considerando n.47 del Reg. UE 679/2016 la base giuridica del legittimo interesse può essere invocata nel solo caso del soft spam (invio di offerte commerciali riguardanti un bene o un servizio già acquistato), mentre la regola generale è che i trattamenti per finalità di marketing sono leciti unicamente dopo aver acquisito un valido consenso. La vicenda, è nata su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi (sms) indesiderati. Entrambi avevano provato a contattare la società che inviava
Il controllo dei propri dati personali: appunti in materia di diritto di accesso
Il diritto di accesso ai propri dati conservati da aziende e pubbliche amministrazioni costituisce il nucleo essenziale dei diritti riconosciuti dalla normativa europea ai cittadini. Si pensi ad esempio all’accesso ai referti medici, alle cartelle sanitarie oppure ai dati del traffico telefonico. Ad ogni diritto corrisponde un obbligo. Ed in tali casi il mancato riscontro alla richiesta di accesso può comportare maxi sanzioni per le aziende. Il Garante Privacy ha infatti inflitto una sanzione pari a 200 mila euro a Tim per non aver fornito ad un medico le informazioni sul traffico telefonico necessarie per difendersi in una causa penale. E più recentemente, sempre il Garante privacy, ha sanzionato per 4 mila euro una società privata, che si occupa di erogare la sorveglianza sanitaria, per aver dato un riscontro inidoneo all’interessato. Sulla base di tali importanti provvedimenti dell’Autorità e delle recenti linee guida dell’EDPB, è possibile delineare i contorni ed i tratti tipici di tale diritto. In
Il certificato del casellario giudiziale contiene dati personali anche se non vi è scritto nulla.
Per l’assunzione di vettori autonomi come prestatori di servizi, in Spagna Amazon chiedeva ai candidati vari documenti, tra cui anche un certificato di assenza di precedenti penali. E se tale prassi poteva già sembrare invasiva, il certificato di casellario giudiziale veniva pure inviato ad altre filiali della multinazionale con sede al di fuori dell'Unione Europea. Dal procedimento N. PS/00267/2020 condotto dall’autorità di controllo per la protezione dei dati iberica (AEPD) ne è infine scaturita una sanzione da 2 milioni di euro per la filiale del colosso dell’e-commerce americano. Quando il caso era stato sollevato dai sindacati, all’epoca dei fatti Amazon aveva motivato che la verifica sulla fedina penale dei candidati era necessaria per assicurare un livello adeguato dei propri standard qualitativi e "per garantire la sicurezza e la fiducia dei clienti", e si era difesa sostenendo che il certificato acquisito veniva conservato per soli due mesi e non forniva espressamente dettagli sui possibili
Sanzionata dal Garante una campagna di sms marketing
Chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Questa la decisione del Garante per la privacy nel sanzionare due società per l’invio di milioni di sms pubblicitari. L’Autorità era intervenuta su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi indesiderati. Sms marketing: il committente risponde anche per le società di cui si avvale Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali. Nel corso dell’istruttoria, il Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri
Perdita dati aziendali e personali, cosa si rischia se non si interviene subito
Cosa significa Disaster Recovery? Di cosa si parla quando sentiamo l'espressione Data Breach? La violazione e la perdita dei dati, tanto quelli personali salvati su un hard disk, quanto quelli aziendali presenti su uno o più server, è un fenomeno sempre più frequente e particolarmente grave, come riportano gli esperti di recupero dati di Recovery Data, i quali spiegano cosa si può fare per limitare i danni e in quali casi è possibile ripristinare i dati. Cos'è il Disaster Recovery Plan e a cosa serve - Con Disaster Recovery si intende un ripristino di emergenza che viene effettuato dopo che si è verificata una grave perdita di dati, ovvero il tempo e il lavoro necessari per ritornare attivi e operativi dopo una catastrofe di questo genere (che si tratti di un evento naturale o di un attacco con scopi criminali). Per le aziende, quindi, il Disaster Recovery Plan è indispensabile per definire i