Hedya
  • HOME
  • INGEGNERIA
  • SISTEMI IOT
  • FORMAZIONE
  • CONTATTI
  • CHI SIAMO
  • NEWS AND INSIGHTS
  • Cerca

Articoli

News

Sperimentazione Immuni, per il Garante è essenziale garantire la trasparenza e la correttezza del trattamento

App Immuni al vaglio del Garante: quali requisiti?

 

Con il parere del 1 giugno 2020, il Garante per la protezione dei dati personali ha emanato un provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni, sulla scorta della valutazione d’impatto trasmessa dal Ministero della salute con la nota del 28 maggio 2020.

Il Ministero della salute, infatti, aveva effettuato la valutazione d’impatto prevista dall’articolo 35 GDPR, trasmettendola al Garante, ai sensi dell’art. 36, paragrafo 5, del GDPR e dell’art. 2-quinquiesdecies del Codice privacy, per essere autorizzato ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19”, istituito dall’art. 6 del decreto legge 30 aprile 2020, n. 28. Nella valutazione d’impatto il Ministero della salute ha rappresentato l’esigenza, condivisa con le Regioni, di una preliminare fase di sperimentazione del processo di contact tracing digitale in un numero limitato di Regioni o Province autonome.

Il parere del Garante, come esaminato nei precedenti post, costituisce l’ultimo tassello del più ampio iter di implementazione del software di contact tracing, inaugurato con l’ordinanza n. 10/2020 del 16 aprile 2020: a seguito di stipula di un appalto di servizio gratuito con la società Bending Spoons S.p.a., infatti, si è gradualmente proceduto alla realizzazione dell’App “Immuni”, finalizzata alla tracciatura dei contatti per la prevenzione e contenimento della diffusione del contagio da Covid-19.

In seguito, la Presidenza del Consiglio dei Ministri ha richiesto un primo parere del Garante per la protezione dei dati personali sulla proposta normativa per il tracciamento dei contatti fra soggetti, attuata mediante apposita applicazione su dispositivi di telefonia mobile.

Sin dal primo parere, il Garante ha ribadito che l’impiego dell’App da parte di un’autorità pubblica non elide il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.

Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, devono essere garantiti:

  • La sussistenza di una base giuridica legittimante le operazioni di trattamento;
  • La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
  • La predisposizione di misure che garantiscano la sicurezza del trattamento;
  • L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.

 

Da ultimo, con il parere del 1 giugno il Garante ha tenuto conto della complessità del sistema di allerta e del numero dei soggetti potenzialmente coinvolti. Tali circostanze richiedono, secondo l’Autorità, l’adozione di una serie di misure volte a rafforzare la sicurezza dei dati delle persone che scaricheranno la app, che potranno essere adottate sin dalle prime sperimentazioni regionali.

In particolare, l’Autorità ha chiesto che gli utenti:

  • Siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio;
  • Siano portati a conoscenza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio.
  • Abbiano sempre la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale.

 

I dati raccolti attraverso il sistema di allerta, infine, non potranno essere trattati per finalità non previste dalla norma che istituisce l’app.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
  • Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
  • Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

5 Giugno 2020/da Hedya
News

Estate 2019, in “ferie” anche la sicurezza informatica: violazione di dati per almeno 2 milioni di utenti e sanzioni oltre 600 milioni

Quali sono le attuali minacce informatiche?

L’ultimo rapporto Rapporto SonicWall, relativo alle minacce informatiche rilevate in 200 Paesi di tutto il mondo nel primo semestre 2019, ha evidenziato un elevato aumento di diversi strumenti cyber crime. Tra i molti, i più rilevanti sono:

  • il nuovo ransomware as a service;
  • il malware open source;
  • il tradizionale cryptojacking.

 

Anche il numero di attacchi informatici è in aumento: nei primi sei mesi del 2019, gli attacchi malware rilevati sono stati 4,8 miliardi; ammontano a più di 8,3 milioni gli attacchi phishing, e decine di migliaia di nuovi virus, finora mai conosciuti, sono stati riscontrati.

 

Aumentano gli attacchi, ma aumentano anche le sanzioni …

L’invasione degli attuali attacchi informatici ha svelato, nella maggior parte dei casi, tutta l’inadeguatezza nella scelta, ovvero nella predisposizione, delle misure tecniche ed organizzative più opportune in base al tipo di attività svolta e al contesto di riferimento.

Le conseguenze sanzionatorie sono apparse immediate e severe: sulla scorta dei poteri previsti dall’articolo 83 del GDPR, le autorità di controllo dei singoli Stati membri, hanno comminato ingenti sanzioni amministrative pecuniarie:

  • Il Garante per la privacy polacco (UODO) ha inflitto una multa per un importo corrispondente a circa 660mila euro alla società Morele.net, a causa della mancata adozione delle misure organizzative e tecniche adeguate al rischio connesso al trattamento dei dati personali di oltre due milioni di utenti;
  • Il Garante italiano, con provvedimento n. 83 del 4 aprile 2019, ha comminato all’Associazione Rousseau il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli  32e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679 oltre ad ingiungere alla stessa associazione i necessari adeguamenti indicati nel Provvedimento.

 

Quali prevenzioni adottare? L’amministratore di sistema…

Per essere efficienti, le imprese devono prima di tutto essere formate ed aggiornate sulle misure più efficaci, in modo da poter prevenire le strategie di attacco che mutano costantemente nel tempo. Per tali ragioni, risulta utile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

L’amministratore di sistema ricopre infatti un ruolo importante: egli è il responsabile dei dati aziendali e riveste un ruolo importante sul piano operativo dentro l’azienda. Fra i suoi compiti:

  • si occupa di ogni tipo di rete informatica
  • implementa i sistemi di sicurezza del networking
  • definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte gli utenti
  • cura interventi di conservazione dei dati attraverso l’impiego sistematico di “backup” e progettando le attività di supporto al “disaster recovery”.

 

 

 

30 Settembre 2019/da Hedya

Iscriviti alla newsletter

Febbraio 2023
L M M G V S D
 12345
6789101112
13141516171819
20212223242526
2728  
« Lug    

Hedya® S.r.l. – Via R. Koch 15, 09121 Cagliari
Phone: +39 3206307243
Email: info@hedya.it, formazione@hedya.it
Pec: hedya@legalmail.it
P.Iva: 03452520921

Privacy Contatti |Cookie Policy
Febbraio 2023
L M M G V S D
 12345
6789101112
13141516171819
20212223242526
2728  
« Lug    
Scorrere verso l’alto