Il D.lgs 104/2022 “Decreto trasparenza” è stato pubblicato da poco più di un mese e già si sono aperti molti dibattiti, vista la complessità delle tematiche trattate e l'indeterminatezza di alcuni aspetti. Recenti Circolari, la n. 4 dell'Ispettorato Nazionale del Lavoro e la n. 20 del Ministero del Lavoro, hanno cercato di chiarire alcuni punti. In questo articolo si affronteranno alcune tematiche relative alla protezione dei dati personali; nello specifico:

Il Decreto Trasparenza (Dlgs 104/2022) recentemente introdotto coinvolge in modo significativo, come già noto e trattato, tematiche relative alla protezione dei dati. In questo articolo si desidera approfondire un aspetto peculiare ma trascurato: la tematica dell'audit che si può pianificare e condurre a fronte di tale criterio.

Minaccia, vulnerabilità, rischio, ecc.; ci sono molti termini alla base dell’analisi delle vulnerabilità sui dati, e a volte perfino gli stessi addetti ai lavori della data protection fanno un po’ di confusione. In questo articolo cerchiamo di mettere ordine.

Nel mese di giugno 2022 è uscita la prima versione della ISO/IEC 27400:2022 “Linee Guida per la sicurezza e privacy dei dispositivi IoT”. Si tratta di una linea guida, lungamente attesa, che va ad integrare l’impianto sempre più complesso degli standard della famiglia ISO/IEC 27000 sulla sicurezza delle informazioni. Questo articolo si pone l’obiettivo di illustrare la struttura del documento.

Molte organizzazioni stanno affinando la regolamentazione sullo smart working; anche il recente D.lgs 104/2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” specifica che tra le informazioni da fornire ai lavoratori vi è anche “il luogo di lavoro”.

Raramente, nelle informative agli interessati, si fa riferimento, tra i soggetti che possono accedere ai loro dati, anche agli enti preposti ad attività di controllo/ispezione/verifica/audit. In questo articolo si vuole approfondire tale casistica fornendo alcune indicazioni di massima, consapevoli che solo il contesto specifico in cui opera un’organizzazione permette di mettere correttamente a fuoco tutti gli elementi peculiari del trattamento.

Il 13 agosto 2022 è entrato in vigore il D.Lgs. 104 del 27-06-2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea”. In questo articolo, per quanto si tratti di una prima analisi, si forniscono alcuni esempi, indicazioni operative e considerazioni specifiche, in merito agli aspetti trattati nel suddetto decreto in relazione alla protezione dei dati personali dei lavoratori.

Le sanzioni disciplinari sono comminate esclusivamente dal datore di lavoro di norma per tramite l’ufficio personale, sulla base del contratto di lavoro (eventualmente integrato) ed a seguito di accordi con le parti sociali. Non va però dimenticato che INAIL/INPS, e ATS rivestono il ruolo di pubblici ufficiali e nel caso di ispezione possono sanzionare anche il lavoratore per mancata ottemperanza alla normativa (ad esempio non indossa i DPI previsti) così come il datore di lavoro per mancata sorveglianza.

La normativa in materia di protezione dei dati personali e il Dlgs 231/2001 "Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell´articolo 11 della legge 29 settembre 2000, n. 300" hanno diversi elementi in comune. In questo articolo si vogliono approfondire alcuni di essi, con l’obiettivo di illustrare come favorire l’integrazione tra sistemi.

La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell'informazione - Requisiti”, tratta anche del tema dello smaltimento dei supporti che contengono dati, nello specifico il controllo A.8.3.2 - dismissione dei supporti (nella ISO/IEC 27002:2022 controllo 7.10) , ove si specifica che la dismissione deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali. Ovviamente, la dismissione dei supporti si riferisce non solo a quelli elettronici, ma anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. L’articolo si concentra sulla dismissione dei supporti elettronici e cartacei dove di norma sono conservati dati personali, a riprova del fatto che la ISO/IEC 27001:2013 è da considerare come una validissima misura di accountability in relazione alla protezione dei dati personali.