In relazione all’approfondimento dell’analisi dei rischi sui dati, in questo articolo si desidera analizzare il concetto di “agente di minaccia - threat actor”. Partiamo da una fonte ufficiale: il rapporto ENISA Threat Landscape (ETL) è il rapporto, pubblicato annualmente dalla Agenzia dell'Unione europea per la cibersicurezza, relativo alla sicurezza informatica; la nona edizione, del mese di ottobre 2021, rendiconta il periodo aprile 2020 – luglio 2021. La finalità del rapporto è quella di evidenziare le principali minacce e le loro tendenze rispetto al periodo precedente, gli agenti di minaccia e le misure di mitigazione da porre in atto.
Forte di un’esperienza decennale sui sistemi di gestione della protezione dei dati con oltre 3.000 partecipanti al Master Privacy Officer, Federprivacy ha realizzato adesso un nuovo percorso formativo destinato a diventare una tappa irrinunciabile per tutti i Dpo ed i professionisti esperti della materia che devono gestire i temi della data protection in modo dinamico ed efficiente. La prima edizione del Corso di alta formazione “Il sistema di gestione della privacy e le attività di audit” si svolgerà dal 30 marzo al 9 aprile 2022.
Quando si tratta il tema dei fornitori che devono essere inquadrati come “Responsabili del trattamento” si analizzano le problematiche relative alla documentazione contrattuale; più raramente si affrontano i criteri di prequalifica (valutazione inziale prima dell’avvio del rapporto contrattuale) e di qualifica nel tempo (valutazione dinamica). Il presente articolo tratta i criteri necessari per valutare un potenziale Responsabile, prima di affidargli uno o più trattamenti, ponendo l’accento sugli aspetti afferenti alla protezione dei dati personali.
L’indagine sui rischi che le organizzazioni si trovano ad affrontare nel mutevole e turbolento contesto planetario, periodicamente condotta sotto l’egida dell’ECIIA (European Confederation of Institutes of Internal Auditing) registra il permanere, in prima posizione, di quello “Cybersecurity and data security”, anche nelle previsioni a tre anni. Continua, fra quelli censiti, a restare nelle posizioni più basse quello attinente a “Health, safety and security” (SSL), presumibilmente per la maggiore strutturazione normativa, governabilità e assetto dei controlli che lo connota.
Il GDPR introduce per il Titolare del trattamento l’obbligo di notificare all’Autorità di controllo la violazione dei dati personali (Data Breach) che comporti rischi non trascurabili per i diritti e le libertà dell’individuo. Quando la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all'interessato.
La differenza tra dato ed informazione è nota, o, meglio, “dovrebbe” essere nota e condivisa. In questo articolo, dopo avere approfondito il concetto, si vorrà comprendere come i dati e le informazioni si collochino nel contesto del sistema di gestione dei dati personali, ovvero nel modello dinamico per la gestione dei dati, in ottica di accountability.
Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability.
Il Global Risks Report 2020, emesso dal World Economic Forum nell’ambito dell’iniziativa “Global Risks”, segnala, per il 2020, un incremento atteso di Cyberattack. Si teme che non siano state prese sufficienti misure per contrastare il rischio cyber e che la comunità globale è generalmente mal posizionata per affrontare le vulnerabilità che hanno affiancato gli avanzamenti del XX secolo.
Il tema degli accessi fisici alle aree ed ai locali di un’organizzazione merita un approfondimento particolare sul tema in quanto un’attenta valutazione dei rischi potrebbe far emergere delle vulnerabilità, in tutto o in parte non considerate precedentemente. Quest’articolo propone una Check List, che può essere utilizzata sia in fase di assesment che in fase di audit (avendo come criterio il sistema di gestione della protezione dei dati o la conformità legislativa).
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.
