martedì 30 gennaio 2024

Strumento di analisi privacy dei siti web di EDPB

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione del tool "Website auditing" dell'EDPB: https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en.

Facilissimo da installare, permette di verificare i cookie attivi, se ha attivo l'https e altre semplici caratteristiche di un sito web. Onestamente: ne avevo proprio bisogno.

Esperienze sul whistleblowing

Avevo scritto tempo fa del D. Lgs. 24 del 2023 sul whistleblowing e delle Linee guida di Confindustria.

Ho avuto qualche esperienza in merito e ho voluto parlarne con gli Idraulici della privacy. Ho provato a mettere insieme le cose in una presentazione, aggiornata dopo il dibattito, che trovate qui: https://www.cesaregallotti.it/Pubblicazioni.html.

Nulla di nuovo, ma un'occasione per discuterne dopo le esperienze fatte.

Ci sono un paio di riflessioni sul canale di comunicazione da usare (non è detto che sia necessaria una "piattaforma" perché anche l'email può essere sufficiente) e sulla DPIA (che ho fatto senza calcoli).

Norme EN sulla privacy (e la certificazione GDPR)

Da ottobre 2023 sono disponibili due norme EN sulla privacy che potranno essere usate per le "certificazioni GDPR (art. 42 e 43)". Non avevo dato la notizia perché avevo fatto confusione con la numerazione.

La prima è la EN 17799:2023 "Personal data protection requirements for processing operations": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:72146&cs=1542894B837546009C6EA75EEF37A17FB.

Essa è, in poche e imprecise parole, l'erede della UNI/PdR 43. La EN 17799 ha un ambito più ampio della PdR 43, non riducendosi al solo ambito ICT. È più destinata alle PMI.

La seconda è l'EN 17926:2023 "Privacy Information Management System per ISO/IEC 27701 - Refinements in European context": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:73645&cs=1E27CF456A53D1D12798EDA52ADB48A97.

Questa, in pochissime e imprecisissime parole, dice: "Prendi la ISO/IEC 27701 e cambia un paio di cosine, così potrai usare questa EN 17926 per certificarti secondo articoli 42 e 43 del GDPR usando la ISO/IEC 27701". È più destinata alle organizzazioni di dimensione medio-grande.

In tutti e due i casi non sono pronte le norme con le regole di accreditamento (a mio parere non lo saranno prima del 2025) e quindi non sono ancora utilizzabili. Qualche organismo di accreditamento potrebbe lanciare in autonomia uno schema di certificazione, ma dubito che avverrà, visto che l'obiettivo è quello di usarle per uno schema di sigillo europeo e quindi essere approvate dall'EDPB.

Ringrazio gli Idraulici della privacy per avermi forzato a ripensare su queste norme.

Guida per gli adempimenti privacy in Svizzera

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della "Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati (TOM)" dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) della Confederazione Svizzera: https://www.edoeb.admin.ch/edoeb/it/home/kurzmeldungen/km2024/23012024_leitfaden_tom.html.

La versione in inglese ("Guide to Technical and Organisational Data Protection Measures (TOM)"): https://www.edoeb.admin.ch/edoeb/en/home/kurzmeldungen/km2024/23012024_leitfaden_tom.html.

Nulla di nuovo, ma una buona guida, pragmatica e sintetica al punto giusto, per la protezione dei dati personali e la sicurezza delle informazioni.

mercoledì 24 gennaio 2024

Tassonomia dei rischi privacy dovuti all'IA

Dalla newsletter di Project:IN Avvocati, segnalo un documento dal titolo "Deepfakes, Phrenology, Surveillance, and More! A Taxonomy of AI Privacy Risks".

Si può scaricare dal link presente in un articolo di IAPP: https://iapp.org/news/a/shaping-the-future-a-dynamic-taxonomy-for-ai-privacy-risks/.

Dico che, a fronte di tanta (e forse troppa) documentazione sull'intelligenza artificiale, questo mi è sembrato particolarmente interessante perché riassume bene gli aspetti critici dell'IA.

Licenziamento per aver parlato male del datore di lavoro sui social

Segnalo questo articolo dal titolo "Parla male del datore di lavoro sui social? Sì al licenziamento per giusta causa": https://www.altalex.com/documents/news/2024/01/18/parla-male-datore-di-lavoro-su-social-si-a-licenziamento-per-giusta-causa.

Questo genere di notizie mi interessa sempre perché dimostrano (anche se con pochi casi) il rapporto curioso che molti hanno con i social media, dove si sentono in diritto di poter dire qualsiasi cosa, incuranti (o forse spinti) da chi possa venirne a conoscenza. La questione non è solo sociale, è anche di sicurezza delle informazioni: se manca un autocontrollo su quello che si scrive, potrebbero anche essere scritte cose riservate.

Misurazioni della sicurezza. Bozza della NIST SP 800-55

Il NIST ha pubblicato la bozza della nuova versione della SP 800-55 "Measurement Guide for Information Security": https://csrc.nist.gov/News/2024/nist-sp-800-55-draft-available-for-comment.

Come impressione generale mi sembra molto teorica e poco pratica. Manca di esempi significativi (i pochissimi che ci sono mi sembrano più per grandi che per piccole o medie imprese).

Ho trovato interessanti alcuni richiami teorici, anche se ormai faccio fatica a capirli fino in fondo.

lunedì 1 gennaio 2024

Garante privacy, ASL, Tribunale di Udine e DPIA (link alle sentenze)

Avevo scritto un post dal titolo "Garante privacy, ASL, Tribunale di Udine e DPIA": http://blog.cesaregallotti.it/2023/12/garante-asl-tribunale-di-udine-e-dpia.html.

Elia Barbujani (Idraulico della privacy) mi ha mandato un paio di link per approfondire.

Il primo riguarda la motivazione della sentenza del Tribunale di Udine: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9957324.

Il secondo riguarda la sentenza del Tribunale di Pordenone, citata dall'articolo di Silvia Stefanelli che avevo segnalato nel mio post: https://www.agendadigitale.eu/sicurezza/privacy/medicina-di-iniziativa-perche-anche-il-tribunale-di-udine-ha-detto-no-al-garante-privacy/.