La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale.

La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”, pubblicata recentemente, ha completamento rivisto l’impianto dei controlli dello standard.  Una parte rilevante dei controlli sono quelli afferenti alla sezione 6, relativa ai controlli sulle persone – “People controls”. Tali controlli riguardano la tutela del patrimonio di dati aziendali, e ben si applicano anche alla tutela di quelli personali.

La recente pubblicazione, a ottobre 2022, della Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements, ha completamente rivisto l’impianto dei controlli dello standard.  Molti, se non la maggior parte, dei controlli, impattano sulla protezione dei dati personali in modo indiretto; alcuni sono invece direttamente mirati a tale aspetto. Con la nuova versione sono stati anche definiti due nuovi controlli specifici per la protezione dei dati, nella sezione 8 “Controlli tecnici”:

Il Dlgs 104/2022 “Decreto Trasparenza” è stato pubblicato da alcuni mesi, ma i dubbi sono ancora molti; anzi, più si approfondisce il testo e maggiori sono le domande che non trovano risposte esaurienti. In questo articolo si approfondiranno i seguenti elementi, in attesa di ulteriori indicazioni da parte dei Ministeri e degli enti interessati:

Una delle opzioni per il trattamento del rischio è quella del suo trasferimento in tutto o in parte ad un altro soggetto, come ad esempio le assicurazioni o i responsabili del trattamento. In questo articolo sono riportate alcune considerazioni generali in merito al trasferimento del rischio, per poi approfondire l’aspetto relativo al coinvolgimento delle assicurazioni, dei fornitori – responsabili del trattamento e dei contitolari. Da ultimo si accenna al ruolo del Data Protection Officer (DPO).

Il principio di “comply or explain” (in italiano “soddisfa o spiega”) è un elemento centrale della maggior parte dei regolamenti aziendali, in particolare di matrice anglosassone. È una soluzione estremamente valida per evitare un approccio rigido e fine a se stesso alle regole aziendali, promuovendo al contempo la responsabilizzazione dei collaboratori aziendali a tutti i livelli.

Come ampiamente atteso, il 25 ottobre 2022 è uscita la terza edizione della ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni che prevede requisiti e controlli per garantire il rispetto dello standard. In questo articolo si desidera illustrare la struttura della nuova edizione della norma e fornire alcune indicazioni specifiche.

Paige Bartley, analista senior sull’intelligenza artificiale, sostiene che “le organizzazioni devono concentrarsi sui punti in comune e sui principi fondamentali prima di concentrarsi sui requisiti specifici del regolamento [sulla protezione dei dati] in stile checklist”. La teoria della legittimità e quella degli stakeholder aiutano le organizzazioni a focalizzare l’attenzione su alcuni punti cruciali.

Il D.lgs 104/2022 cd. “Decreto Trasparenza” non smette di stupire; l’articolo 16 “Disposizioni transitorie” non riguarda necessariamente solo un limitato periodo di tempo ma potrebbe estendere lo stato “transitorio” ad un lungo arco di tempo, creando una possibile disparità tra i lavoratori. In questo articolo si vuole approfondire questo aspetto. L’art. 3 del c.d. “decreto trasparenza” o più correttamente D.lgs. 27.06.2022 n. 104, entrato in vigore il 13 agosto scorso, sottolinea come il suo scopo sia quello di comunicare a ciascun lavoratore in modo chiaro e trasparente le informazioni ivi previste, sul presupposto che la loro conoscenza consenta al lavoratore di tutelare con più efficacia i propri diritti.

Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. Affinché una valutazione del rischio, nel suo complesso, possa essere considerata di buona qualità, deve possedere diverse caratteristiche; tra queste la “ripetibilità”, ovvero garantire che la valutazione, effettuate da soggetti diversi e/o in tempi diversi, (purché in relazione al medesimo contesto), dia risultati simili e confrontabili.