Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. Affinché una valutazione del rischio, nel suo complesso, possa essere considerata di buona qualità, deve possedere diverse caratteristiche; tra queste la “ripetibilità”, ovvero garantire che la valutazione, effettuate da soggetti diversi e/o in tempi diversi, (purché in relazione al medesimo contesto), dia risultati simili e confrontabili.

Per leggere l'articolo integrale devi effettuare il login!

Il D.lgs 104/2022 “Decreto trasparenza” è stato pubblicato da poco più di un mese e già si sono aperti molti dibattiti, vista la complessità delle tematiche trattate e l'indeterminatezza di alcuni aspetti. Recenti Circolari, la n. 4 dell'Ispettorato Nazionale del Lavoro e la n. 20 del Ministero del Lavoro, hanno cercato di chiarire alcuni punti. In questo articolo si affronteranno alcune tematiche relative alla protezione dei dati personali; nello specifico:

Il Decreto Trasparenza (Dlgs 104/2022) recentemente introdotto coinvolge in modo significativo, come già noto e trattato, tematiche relative alla protezione dei dati. In questo articolo si desidera approfondire un aspetto peculiare ma trascurato: la tematica dell'audit che si può pianificare e condurre a fronte di tale criterio.

Minaccia, vulnerabilità, rischio, ecc.; ci sono molti termini alla base dell’analisi delle vulnerabilità sui dati, e a volte perfino gli stessi addetti ai lavori della data protection fanno un po’ di confusione. In questo articolo cerchiamo di mettere ordine.

Nel mese di giugno 2022 è uscita la prima versione della ISO/IEC 27400:2022 “Linee Guida per la sicurezza e privacy dei dispositivi IoT”. Si tratta di una linea guida, lungamente attesa, che va ad integrare l’impianto sempre più complesso degli standard della famiglia ISO/IEC 27000 sulla sicurezza delle informazioni. Questo articolo si pone l’obiettivo di illustrare la struttura del documento.

Molte organizzazioni stanno affinando la regolamentazione sullo smart working; anche il recente D.lgs 104/2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” specifica che tra le informazioni da fornire ai lavoratori vi è anche “il luogo di lavoro”.

Raramente, nelle informative agli interessati, si fa riferimento, tra i soggetti che possono accedere ai loro dati, anche agli enti preposti ad attività di controllo/ispezione/verifica/audit. In questo articolo si vuole approfondire tale casistica fornendo alcune indicazioni di massima, consapevoli che solo il contesto specifico in cui opera un’organizzazione permette di mettere correttamente a fuoco tutti gli elementi peculiari del trattamento.

Per leggere l'articolo integrale devi effettuare il login!

Il 13 agosto 2022 è entrato in vigore il D.Lgs. 104 del 27-06-2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea”. In questo articolo, per quanto si tratti di una prima analisi, si forniscono alcuni esempi, indicazioni operative e considerazioni specifiche, in merito agli aspetti trattati nel suddetto decreto in relazione alla protezione dei dati personali dei lavoratori.

Le sanzioni disciplinari sono comminate esclusivamente dal datore di lavoro di norma per tramite l’ufficio personale, sulla base del contratto di lavoro (eventualmente integrato) ed a seguito di accordi con le parti sociali. Non va però dimenticato che INAIL/INPS, e ATS rivestono il ruolo di pubblici ufficiali e nel caso di ispezione possono sanzionare anche il lavoratore per mancata ottemperanza alla normativa (ad esempio non indossa i DPI previsti) così come il datore di lavoro per mancata sorveglianza.

La normativa in materia di protezione dei dati personali e il Dlgs 231/2001 "Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell´articolo 11 della legge 29 settembre 2000, n. 300" hanno diversi elementi in comune. In questo articolo si vogliono approfondire alcuni di essi, con l’obiettivo di illustrare come favorire l’integrazione tra sistemi.