misure di sicurezza Archivi

Articoli

Conservazione documenti digitali, parere Garante all’AgID: aumentare la protezione dei dati personali contenuti nei documenti informatici

Documento informatico: il Garante richiede maggiore protezione dei dati personali contenuti nei documenti informatici

Con il Parere del 21 maggio 2020, il Garante per la protezione dei dati personali si è nuovamente pronunciato in materia di Conservazione dei documenti informatici: in linea con quanto già rilevato in un precedente Provvedimento, lo schema di “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” deve assicurare la centralità del GDPR. Come già descritto nel precedente post, infatti, la protezione dei dati personali contenuti nei documenti informatici deve essere costantemente garantita.

Nel recente parere, pertanto, il Garante ha ribadito la necessità:

Di apprestare più elevati standard di sicurezza;
Di favorire maggiore coordinamento tra Responsabile della Conservazione, Responsabile per la Transizione al Digitale (RTD) e Responsabile per la Protezione dati (DPO).

In particolare, secondo il Garante il Conservatore riveste il ruolo di responsabile del trattamento: pertanto, le Linee guida dovranno rimarcare gli obblighi del conservatore in materia di restituzione dei dati al produttore (titolare del trattamento). Proprio per tali ragioni, inoltre, è importante che nel processo di cessazione venga coinvolto anche il Responsabile per la protezione dei dati (Dpo).

Nel complesso, dunque, le indicazioni fornite dal Garante consentiranno di aumentare la protezione dei dati personali contenuti nei documenti informatici, garantendo la sicurezza del trattamento, anche attraverso una più chiara attribuzione dei compiti e una corretta ripartizione delle responsabilità.

Il Garante, pertanto, ha evidenziato la necessità di alcuni ulteriori perfezionamenti, volti a renderlo pienamente conforme ai principi e alle garanzie in materia di protezione dei dati personali.

Al contempo, per attuare il piano della sicurezza del sistema di gestione informatica dei documenti, nell’ambito del piano generale della sicurezza ed in coerenza con quanto previsto dal Piano Triennale per l’Informatica nella Pubblica Amministrazione vigente, il Garante ha richiesto di apprestare una forte coordinazione e collaborazione tra:

Responsabile della gestione documentale;
Responsabile della sicurezza;
Responsabile della conservazione;
Responsabile dell’ufficio per la Transizione al Digitale (RTD);
Responsabile per la Protezione dati (DPO).

In particolare, il responsabile della conservazione, di concerto con il responsabile della sicurezza e con il responsabile della transizione digitale, acquisito il parere del responsabile della protezione dei dati personali, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, mettendo in atto opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del GDPR.

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

Le posizioni del Garante evidenziano la necessità di percorsi formativi integrati, che coinvolgano le varie figure professionali.

Per tali ragioni, Hedya propone il percorso formativo innovativo “Le Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema. Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

Per garantire adeguata formazione specialistica, Hedya propone un percorso formativo per tutti coloro che vogliano intraprendere un percorso professionale di elevata specializzazione, finalizzato all’acquisizione delle conoscenze preliminari di natura giuridica, organizzativa e tecnologica tipiche del ruolo di Responsabile della Conservazione dei documenti informatici. Il Responsabile della Conservazione rappresenta dunque una figura con formazione specialistica che ha il compito di definire e attuare, in piena autonomia decisionale, le politiche in merito alla progettazione e alla gestione dei sistemi informatici di conservazione e archiviazione documentale.

I contenuti del corso mirano, pertanto, ad illustrare le vigenti disposizioni in materia di:

Dematerializzazione;
Digitalizzazione;
Conservazione e Archiviazione di documenti informatici;

Ulteriori informazioni sono disponibili qui.

9 Giugno 2020/da Hedya

News

Il settore aereo non è “Immune” al rischio cyber: Easyjet, a rischio più di 9 milioni di passeggeri

Settore aereo a rischio Data breach: quali criticità?

A seguito del recente attacco hacker subito dalla compagnia aerea Easyjet, il settore aereo si conferma non esente dagli attacchi cyber. Sin dal 2018, infatti, l’aviazione londinese è stata oggetto di attacchi informatici attraverso la diffusione del cryptolocker WannaCry, che aveva paralizzato l’aviazione e il corretto servizio della British Airways.

L’episodio risultò particolarmente eclatante, in quanto rappresentava un incidente di sicurezza causato da un’errata percezione umana della soglia del rischio cyber, che si è tradotta nella mancata predisposizione di misure tecniche ed organizzative idonee ad assicurare adeguati standard di sicurezza.

Il caso British Airways ha dimostrato che il sistema IT costituisce un tassello fondamentale nella strategia organizzativa aziendale, che non può pertanto essere marginalizzato. Adeguare i propri sistemi IT implica dotarsi di architetture applicative aggiornate ed efficaci, al fine di evitare compromissioni della sicurezza.

L’importanza della sicurezza IT è confermata dal recente attacco che ha interessato la compagnia aerea Easyjet: lo scorso gennaio, in particolare, sono stati sottratti i contatti mail e altre informazioni di viaggio di 9 milioni di passeggeri; oltre a questi dati, l’indagine ha anche rilevato che sono stati consultati i dati della carta di credito di 2.208 clienti.

Come specificato in un Comunicato pubblicato sul sito web della compagnia, la società ha informato il Centro Nazionale della Sicurezza Informatica del Regno Unito, nonché l’Ufficio del Commissario per l’informazione (ICO) del Regno Unito.

La compagnia ha infine assicurato pubblicamente di aver già preso i provvedimenti adeguate per contattare tutti questi clienti ed è stata offerta assistenza. Non vi sarebbero prove che le informazioni personali di qualsiasi natura, compresi i dati della carta di credito siano state utilizzate in modo improprio.

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

Corsi di formazione per Data Protection Officer

Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

6 Giugno 2020/da Hedya

News

La Didattica a distanza nell’era del Covid-19: la privacy non va in “quarantena”

Didattica a distanza e GDPR: quali regole?

L’emergenza sanitaria che l’Italia sta attraversando ha reso necessari, nell’arco di pochi giorni, provvedimenti che hanno richiesto l’attivazione, da parte di tutte le Università (ma anche di tutti gli Istituti scolastici, come precisato dal Miur con apposita nota) di apposite modalità di didattica a distanza.

Di conseguenza, attraverso l’impiego di molteplici piattaforme di e –learning a disposizione, i docenti procederanno all’erogazione dei propri corsi in forma asincrona o in streaming in tempo reale.

In tali casi, tuttavia, l’esigenza di somministrare percorsi formativi generalmente erogati offline non deve tradursi in una compromissione della protezione dati non solo degli studenti, ma anche dei docenti. Come osservato dal Comitato europeo per la protezione dati personali in una Dichiarazione resa lo scorso 19 marzo, il GDPR è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.

In tale contesto, le modalità di erogazione delle lezioni in tempo reale, attraverso aule virtuali, costituiscono l’ipotesi più critica quanto alle molteplici tutele che devono essere costantemente garantite sia per gli studenti, che per i docenti impegnati nelle attività didattiche. L’emergenza sanitaria, infatti, pone questioni di ampio respiro connesse al GDPR, come ad esempio l’obbligo di effettuare valutazioni di impatto, o anche l’obbligo di fornire garanzie di sicurezza adeguate, che si collegano alle questioni più generali in materia di smart working.

Per quanto concerne la tutela degli studenti, bisogna rammentare che il GDPR prevede precisi oneri informativi agli articoli 13 e 14 sulle condizioni di liceità e le modalità di trattamento corretto, come ad esempio l’indicazione – in tali casi – del responsabile del trattamento ai sensi dell’art. 28 GDPR, che tratta i dati personali per le finalità connesse alla didattica.

Inoltre, occorre prestare attenzione alle modalità di utilizzo della piattaforma, come ad esempio alla gestione degli accessi, ma soprattutto all’utilizzo delle webcam e dell’audio, per evitare trasmissioni non consentite e riproduzioni illecite.

Per quanto concerne la posizione dei docenti, il discorso risulta più ampio. In tali casi, infatti, il rispetto del GDPR si interseca con ulteriori fonti normative, come ad esempio:
- La disciplina sul controllo a distanza dei lavoratori;
- La disciplina a tutela del diritto d’autore (nella duplice dimensione del diritto morale e patrimoniale d’autore).

Dal confronto con le diverse discipline citate, si pongono molteplici dubbi in merito alla possibilità di registrazione delle lezioni erogate in tempo reale, alle tutele che devono essere apprestate anche nei confronti del docente (si pensi, ad esempio, ai casi di condivisione dello schermo del pc personale del docente).

Inoltre, si pongono questioni in merito alle misure di sicurezza, che dovrebbero essere predisposte.

In conclusione, l’emergenza sanitaria ha spinto il settore pubblico e privato ad una fase di “smart working” forzato, in cui permangono ancora molteplici criticità, connessi all’impiego di un dispositivo personale per l’erogazione delle lezioni, ivi inclusi le connessioni personali (Wifi, Adsl, etc.). In questi casi, si pongono questioni:

sulle misure relative allasicurezza dei sistemi utilizzati da remoto;
sull’adozione o sull’adeguatezza di sistemi antivirus o antimalaware.

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

Corsi di formazione per Data Protection Officer

Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

23 Marzo 2020/da Hedya