Il Modello Organizzativo Privacy e l’integrazione tra normative cogenti e sistemi di gestione
Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability. In questo articolo si esamineranno l’interconnessione e l’integrazione del MOP e delle normative cogenti con i sistemi di gestione di un’organizzazione, con particolare riguardo all’apparato documentale (di seguito denominato come “procedure”). L’integrazione tra sistemi di gestione - L’integrazione tra norme e sistemi è un tema di grande attualità, a cui sono dedicati standard specifici come la recente ISO 37301:2021 “Sistemi di gestione per la compliance - Requisiti con guida per l'utilizzo” che fornisce le “Linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all'interno di un'organizzazione”. Il MOP per sua natura tende a favorire l’integrazione, a beneficio di tutte le parti interessate, per gestire
Usa la posta elettronica di lavoro per spedirsi i dati di 256.000 consumatori
Un dipendente del Consumer Financial Protection Bureau ha violato la privacy di circa 256.000 consumatori inviando i loro dati riservati al proprio account di posta elettronica privato. Le informazioni personali che il membro dello staff si è spedito tramite 65 email, riguardavano i clienti di sette istituti finanziari, ed erano contenute in due fogli di calcolo comprendenti informazioni di identificazione personale, i loro nominativi ed i numeri di conto specifici delle transazioni. Secondo quanto riportato dal Wall Street Journal, i funzionari dell'agenzia governativa che negli Stati Uniti si occupa della protezione dei consumatori nel settore finanziario con funzioni simili a quelle che da noi svolge la Banca d’Italia, erano venuti a conoscenza dell'uso potenzialmente inappropriato di un account di posta elettronica personale già dallo scorso 14 febbraio, ma avevano poi notificato il data breach solo il 21 marzo. Un portavoce del Consumer Financial Protection Bureau ha affermato che l’autore della sottrazione illecita dei dati adesso
Governance dei dati sostenibile e strategie di marketing
Quando si parla di sostenibilità, probabilmente la prima cosa che viene in mente è l’Agenda 2030 per lo Sviluppo Sostenibile sottoscritta il 25 settembre 2015 dai governi dei 193 Paesi membri delle Nazioni Unite. E forse si pensa alle sfide che l’Umanità deve fronteggiare nel nostro tempo riguardo all’esaurimento delle risorse naturali e gli impatti negativi del cambiamento climatico, il degrado ambientale, la desertificazione, le siccità, e la perdita della biodiversità: sfide che si ritiene possano essere affrontate in modo efficace solo grazie a uno sviluppo sostenibile. Anche se nei 17 principali obiettivi definiti nella risoluzione dell’ONU non è espressamente menzionata né la privacy né la governance dei dati, in realtà il punto 19 dell’Agenda 2030 afferma che “tutti gli stati hanno le responsabilità, di rispettare, proteggere e promuovere i diritti umani e le libertà fondamentali di tutti, senza nessuna distinzione di razza, colore, sesso, lingua, religione, opinioni politiche o di
Il perimetro di sicurezza informatica: l’importanza di comprenderlo
I perimetri di sicurezza informatica sono elementi critici dell'infrastruttura di sicurezza informatica di un'organizzazione, e rappresentano la prima linea di difesa contro le minacce esterne e aiutano a proteggere le informazioni e le risorse sensibili da accessi non autorizzati, uso o furto, ma anche fanno comprendere quanto della nostra privacy forniamo a possibili criminali. In questo articolo discuteremo di cosa sono i perimetri di sicurezza informatica, della loro importanza e di alcune best practice per implementarli. Cosa sono i perimetri di sicurezza informatica? Un perimetro di sicurezza informatica è un insieme di confini e protocolli che definiscono e proteggono le risorse digitali di un'organizzazione dall'accesso non autorizzato. Questi perimetri possono essere fisici, come un firewall o un sistema di prevenzione delle intrusioni, o logici, come i controlli di accesso o la crittografia. Possono anche includere criteri e procedure, come i requisiti delle password e la formazione degli utenti, che aiutano a
Privacy online tra profilazione, cookie, ed altri strumenti di tracciamento
L’utilizzo dei cookie, così fondamentale e pervasivo nella nostra società ormai dominata dal web, solleva questioni di vario tipo legate alla tutela dei dati personali, tanto che è stato oggetto di varie e celebri pronunce e Linee Guida da parte di Corti e Autorità in tutta l’Unione Europea. Innanzitutto, chiariamo che i cookie possono avere varie finalità, e proprio sulla base di queste vengono categorizzati in cookie tecnici, analitici e di profilazione. Questi ultimi sono quelli che normalmente generano più problemi da un punto di vista di tutela della persona, in quanto consentono il tracciamento delle abitudini, delle preferenze, dei gusti della stessa ricavabili dalla sua attività online, contribuendo a creare un vero e proprio profilo del singolo individuo. Conosciamo ormai bene i rischi della profilazione, con cui molti di noi si confrontano tutti i giorni anche in contesti -almeno apparentemente- innocui in cui viene loro proposta pubblicità personalizzata. Il GDPR pone dei
Attacco hacker alla Ferrari, nel mirino i dati sensibili di migliaia di clienti Vip
Ferrari nel mirino degli hacker che puntano a ottenere i dati sensibili di decine di migliaia di clienti vip: solo nel 2022 la casa di Maranello ha venduto 13mila vetture e si è occupata della manutenzione di altre migliaia di supercar. La Ferrari ha ricevuto nei giorni scorsi una richiesta di riscatto relativa ad alcuni dati di contatto dei propri clienti: è stata la stessa azienda a renderlo noto da Modena nella tarda serata di lunedì 20 marzo dopo avere informato le forze dell'ordine a cominciare dalla polizia postale. «In linea con la propria policy aziendale, Ferrari non accoglierà nessuna richiesta di riscatto in quanto acconsentire a simili richieste finanzierebbe attività criminali e permetterebbe agli autori delle minacce di perpetuare i loro attacchi» chiarisce la società che già in passato ha subito attacchi informatici, anche se assolutamente non paragonabili a questo. La casa di Maranello è un obiettivo molto attrattivo per i
L’Italia recepisce in via definitiva la direttiva sul whistleblowing: dlgs in vigore a partire dal 15 luglio 2023
Il 9 marzo 2023 il Consiglio dei Ministri ha approvato in via definitiva il decreto legislativo che recepisce la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, la cd. direttiva whistleblowing. Il nuovo decreto legislativo, che aveva ricevuto parere favorevole del Garante privacy lo scorso gennaio, disciplina la protezione dei whistleblowers, ovvero le persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato. "Finalmente l'Italia recepisce in via definitiva la direttiva europea sul whistleblowing da Anac fortemente voluta e richiesta. La tutela del whistleblower è un diritto fondamentale, riconosciuto a livello internazionale, e rappresenta un`estensione del diritto di libertà di espressione". Lo afferma sul sito si Anac il presidente dell'Autorità, Giuseppe Busia, commentando l'approvazione definitiva da parte del consiglio dei ministri." Per quanto riguarda i soggetti del settore privato,
Il Garante della Privacy approva il codice di condotta sul telemarketing
Il Garante per la protezione dei dati personali ha approvato il Codice di condotta per le attività di telemarketing e teleselling promosso da associazioni di committenti, call center, teleseller, list provider e associazioni di consumatori. Il Codice acquisterà efficacia una volta conclusa la fase di accreditamento dell’Organismo di monitoraggio (Odm) e la successiva pubblicazione in Gazzetta Ufficiale. L’Odm è un organismo indipendente chiamato a verificare l’osservanza del Codice di condotta da parte degli aderenti e a gestire la risoluzione dei reclami. Per assicurare il rispetto della normativa privacy “dal contatto al contratto” le società che aderiranno al Codice, si impegneranno ad adottare misure specifiche per garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing. Dovranno raccogliere consensi specifici per le singole finalità (marketing, profilazione, ecc.), informare in maniera precisa le persone contattate sulle finalità per le quali vengono usati i loro dati, assicurando il pieno esercizio
I suggerimenti del Garante della Privacy per proteggersi dal Vishing
Il vishing è una forma di truffa sempre più diffusa con cui i criminali utilizzano il telefono come strumento per appropriarsi di dati personali, specialmente informazioni bancarie o legati alle carte di credito, e poi sottrarre somme di denaro più o meno ingenti. Di solito le vittime vengono contattate telefonicamente da finti operatori (di banche o di società che gestiscono bancomat o carte di credito) che usano la scusa di presunte “anomalie” chiedendo alle persone di collaborare per adottare “procedure di sicurezza”, che in realtà nascondono delle trappole. Per questo il Garante della Privacy ha pubblicato una guida per difendersi dal vishing. Spesso i truffatori approfittano degli utenti più anziani o sprovveduti chiedendo loro di fornire i dati del conto corrente o della carta di credito (come il PIN del bancomat o quello utilizzato per l’Internet banking, il numero della carta, il codice di sicurezza sul retro della carta, i dati dell’OTP per eseguire
L’organigramma e il funzionigramma nel Modello Organizzativo Privacy
Ogni impresa o Pubblica Amministrazione che riveste il ruolo privacy di titolare del trattamento, nel predisporre un modello organizzativo privacy e, comunque, prima di definire un percorso di conformità al GDPR deve necessariamente innestare, sull’architettura generale della propria organizzazione, una specifica struttura organizzativa privacy, attribuendo ad ogni entità, nell'ambito del proprio assetto organizzativo, ruoli e responsabilità funzionali a presidiare i dati personali. Facendo ricorso ad una metonimia, si può dire che il titolare deve predisporre un organigramma ed un funzionigramma privacy. Gli organigrammi sono un buon modo per visualizzare le relazioni di reporting, i meccanismi operativi nonché i ruoli e le responsabilità delle entità all’interno di aziende e pubbliche amministrazioni. L’organigramma privacy secondo il GDPR - Combinando le indicazioni stabilite nell’art. 4 paragrafo 1, n. (10) e nel Considerando 74 del GDPR è possibile predisporre l’archetipo di un organigramma privacy secondo il GDPR che prevede il titolare come centro decisionale e gli autorizzati, i