lunedì 26 marzo 2018

Schema di decreto privacy

Il 21 marzo, il Consiglio dei Ministri ha approvato una bozza di decreto legislativo che dovrebbe armonizzare la nostra legislazione con il GDPR e abrogare il Codice privacy:
- http://www.governo.it/articolo/comunicato-stampa-del-consiglio-dei-ministri-n-75/9132.

La notizia me l'hanno data Pierfrancesco Maistrello e gli Idraulici della privacy; l'ho anche trovata su LinkedIn e su Twitter. Vorrei non parlarne, visto che si tratta di una bozza che dovrà essere sottoposta anche al Garante.

Ho sentito qualche commento:
- sembra che abroghino la "notifica preventiva" richiesta dalla Legge di Bilancio (va anche detto che finora il Garante non ha pubblicato alcuna istruzione e quindi nessuno poteva attuarla);
- c'è un articolo che dice che titolare e responsabile (intesi come "aziende") possono distribuire deleghe al proprio interno; lo trovo comico, visto che le aziende dovrebbero già sapere che possono farlo;
- lo stesso articolo dice che le autorizzazioni (le vecchie "nomine ad incaricato") possono essere date nel modo più opportuno; trovo divertente che la Legge si assuma l'onere di educare i consulenti (ho collaborato con aziende che, senza mai aver visto un consulente privacy, avevano già al loro interno processi che bastava adattare un poco per recepire i requisiti del GDPR; quindi evidentemente sono alcuni "consulenti privacy" che vanno educati perché la smettano di appesantire inutilmente i processi delle organizzazioni con nomine e designazioni, per giunta su carta e firme e contro-firme);
- viene abrogato e non modificato il Codice privacy (D. Lgs. 196), contrariamente a quanto io immaginavo (io pensavo avrebbero fatto la stessa operazione fatta con il D. Lgs. 82 del 2005 o CAD, dopo la pubblicazione del Regolamento eIDAS; l'esperienza con il CAD è stata negativa perché non era "aggiustabile" facilmente per renderlo allineato a eIADS; giustamente, con la privacy hanno preferito ripartire da zero per non ripetere gli stessi errori).

Massimo Cottafavi del Gruppo Snam mi ha segnalato questo articolo di Agenda Digitale:
- https://www.agendadigitale.eu/sicurezza/privacy/gdpr-approvato-lo-schema-di-decreto-questi-i-punti-sul-tavolo/.

Intanto il CNIL (il Garante francese) ha annunciato che, per i primi mesi e a determinate condizioni, non sanzionerà le imprese per inadempienze rispetto al GDPR (grazie agli Idraulici della privacy per la segnalazione):
- http://www.etiprivacy.it/gdpr-francia-per-i-primi-mesi-no-a-sanzioni-alle-aziende-sui-nuovi-obblighi/.

venerdì 23 marzo 2018

Il caso Cambridge Analytica

Si è parlato tantissimo del caso Cambridge Analytica e quindi faccio una breve rassegna stampa (con commenti).

Il primo link racconta la storia:
- https://www.theregister.co.uk/2018/03/19/boom_cambridge_analytica_explodes_following_extraordinary_tv_expose/.

Il secondo racconta la storia e aggiunge un commento: non si tratta di violazione di dati personali, visto che il modello di Facebook esplitamente consentiva la raccolta ed elaborazione dei dati personali degli utenti:
- https://motherboard.vice.com/en_us/article/3kjzvk/facebook-cambridge-analytica-not-a-data-breach.

La penso esattamente come l'articolo di Motherboard. Quando mettiamo dati su Facebook sappiamo bene che Facebook li può vendere a chi e come vuole. Non dobbiamo lamentarci.

Questo articolo spiega come configurare convenientemente Facebook:
- https://www.eff.org/deeplinks/2018/03/how-change-your-facebook-settings-opt-out-platform-api-sharing.

Perché il caso Cambridge Analytica dovrebbe preoccupare anche te
- https://www.wired.it/attualita/politica/2018/03/19/cambridge-analytica-facebook-privacy/.

La penso parzialmente come l'articolo di Wired. Io penso che culturalmente molti dicono che non abbiamo niente da nascondere. Non si tratta di nascondere; si tratta di intimità e la sua perdita è un fatto culturale che mi inquieta. Fin qui è un'opinione come un'altra. Il fatto inquietante è che noi non abbiamo niente da nascondere (forse), ma altri non solo nascondono, ma usano le informazioni che noi volontariamente diamo loro. La sproporzione tra un utente di Facebook e un OTT come Facebook dovrebbe metterci in guardia. Invece... niente.

L'articolo di Wired spiega anche che il caso di Cambridge Analytica non è emerso a causa del coinvolgimento di Trump (forse inconsapevolmente, tra l'altro), ma perché ci spiega come funziona oggi la manipolazione delle persone. E inquieta esattamente come tanti anni fa inquietavano alcune tecniche di pubblicità occulta: ci rendiamo conto di essere manipolabili. In troppi, però, continuano a pensare di essere immuni e continueranno a diffondere tutto ciò che li riguarda, senza voler nascondere niente. Alcuni, come me, si inquietano. Altri non se ne preoccupano minimamente. Me ne farò una ragione.

Infine... pochi giorni prima del caso di Cambridge Analytica il Corriere della Sera aveva pubblicato un articolo dal titolo "Chi spia i nostri conti" di Ferruccio De Bortoli. Non mi è piaciuto come è scritto, ma credo ci dica qualcosa di importante. Questo link riporta fedelmente l'articolo, ma temo non lo faccia legalmente; potrebbe quindi essere cancellato:
- http://prontoagente.it/component/cobalt/item/674-chi-spia-i-nostri-conti.

PS: Pierfrancesco Maistrello mi ha segnalato questa "Opinion" dell'European data protection supervisor (EDPS), dal titolo "online manipulationand personal data", pubblicata proprio il giorno dopo il mio post qui sopra:
- https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

giovedì 22 marzo 2018

I controlli di sicurezza del CIS

Giancarlo Caroti mi ha segnalato la pubblicazione dei CIS Controls V7:
- https://learn.cisecurity.org/20-controls-download.

Si tratta di un elenco di 20 categorie di controlli, poi meglio espressi in circa 170 controlli di dettaglio per la sicurezza informatica. I controlli sono espressi in forma sintetica.

Si tratta ovviamente di una lettura faticosa, ma utile.

martedì 20 marzo 2018

Fog e mist computing

L'informatica nebbiosa sembrerebbe materia da milanesi. Invece si tratta di un modello di supporto all'IoT, alternativo al cloud computing.

Personalmente non ne so nulla, ma, se il NIST dedica una Special Publication a questo argomento, ritengo sia opportuno cominciare a sapere che esiste.

Quindi fornisco il link del NIST sulla NIST Special Publication 500-325 "Fog Computing Conceptual Model":
- https://csrc.nist.gov/News/2018/Fog-Computing-for-Internet-of-Things-Devices.

lunedì 19 marzo 2018

Linea guida per la PIA degli Osservatori.net

Enrico Luigi Toso mi ha segnalato questa "Linea guida per la Data protection impact assessment" a firma Politecnico e Osservatori.net:
- https://www.osservatori.net/it_it/pubblicazioni/linea-guida-per-la-data-protection-impact-assessment.

Non è facilissimo scaricarla perché bisogna registrarsi e poi bisogna fare parecchi clic. La lettura è piuttosto interessante. Nulla di particolarmente originale, ma una bella rassegna su questo requisito del GDPR.

Viene presentato un metodo semplice per calcolare il rischio per la PIA e penso che questo sia molto positivo.

Visto che il CNIL ha proposto un metodo (recepito anche nella ISO/IEC 29134) troppo macchinoso e di difficile applicazione, mi fa piacere quando voci autorevoli promuovono approcci più pragmatici.

giovedì 15 marzo 2018

Linee guida sulla notifica di violazione dei dati personali

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione delle "Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)" del WP Art. 29:
- http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.

Sono molto importanti, perché stabiliscono un punto di riferimento autorevole per capire quali eventi vanno notificati al Garante e agli interessati.

Franco Ferrari mi ha anche segnalato un articolo di Adalberto Biasotti che riassume la linea guida:
- https://www.puntosicuro.it/security-C-124/privacy-C-89/pubblicata-la-linea-guida-sulla-notificazione-in-caso-di-violazione-dei-dati-AR-17875/.

martedì 13 marzo 2018

Due lezioni dai seggi

No. Non parlerò della campagna elettorale, né dei risultati. Ho solo due foto sui seggi che costituiscono due interessanti lezioni.

Lezione 1: Sviluppo e progettazione. La busta 7(R) in alto va infilata nella busta in basso:
- https://www.linkedin.com/feed/update/urn:li:activity:6379233027293265920.

Lezione 2: Capacity management. Le schede inutilizzate (in basso; sono quelle del mio seggio) vanno inserite nella busta 4(R) in alto:
- https://www.linkedin.com/feed/update/urn:li:activity:6379234134224617473.

sabato 10 marzo 2018

GDPR e legittimo interesse

Pierfrancesco Maistrello (che ringrazio) mi ha segnalato la seguente pubblicazione dal sito di IAPP e dal titolo "Guidance on the use of Legitimate Interests under the EU General Data Protection Regulation":
- https://iapp.org/media/pdf/resource_center/DPN-Guidance-A4-Publication.pdf.

Mi pare molto interessante ed ecco i miei appunti:
- il considerando 47 prevede che il marketing diretto possa essere considerato (in certe circostanze) come trattamento di legittimo interesse per il titolare (sembrerebbero inclusi i casi in cui il "commerciale di fiducia" chiama ogni tanto il cliente; rimane sempre attivo il diritto di opposizione dell'interessato);
- trattamenti svolti nel legittimo interesse del titolare possono avere le seguenti finalità: prevenzioni di frodi, trasmissione di dati dei dipendenti all'interno di un Gruppo aziendale, sicurezza informatica, audit interni o ad altre organizzazioni, mantenere il nome delle persone che hanno chiesto la cancellazione dei propri dati personali (anche se qui si ha un riferimento circolare), registrazione delle attività (p.e. in un gestionale o per il check-in in un hotel, web analytics;
- altri esempi del documento non mi convincono per niente.

giovedì 8 marzo 2018

Nuova edizione della ISO 22300 (definizioni per la continuità)

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della nuova versione della ISO 22300, dal titolo "ISO 22300: 2018 - Societal security - Terminology":
- https://www.iso.org/standard/68436.html.

Ne ho parlato con Gennaro Bacile. Anche lui ha trovato ridicola la definizione di activity (un insieme di processi) e di process (un insieme di attività), in ovvio riferimento circolare. C'erano anche nella ISO 22301:2012 e purtroppo la definizione di activity non è stata modificata (la definizione di process non dovrebbe esserlo, visto che stabile da numerosi anni, condivisa da tantissime norme ISO e tra le definizioni base del HLS).

Nuova ISO 31000

Franco Ferrari (di DNV GL) e Gennaro Bacile (di Studio QSA) mi hanno segnalato la pubblicazione della nuova versione della ISO 31000, dal titolo "ISO 31000:2018 - Risk management — Guidelines":
- https://www.iso.org/standard/65694.html.

Gennaro, gentilmente, mi ha inviato un suo commento, che io riporto qui di seguito.

La ISO 31000:2018 non ha novità sconvolgenti rispetto alla precedente versione del 2009. L'intento della nuova versione era quello di trovare un adeguato compromesso tra esigenze di chiarezza, bisogno di approfondimento e necessità di sintesi.

In effetti, il nuovo testo si presenta non solo più conciso, ma comprende anche alcuni cambiamenti sostanziali come ad esempio l'importanza data ai fattori umani e culturali nel raggiungimento degli obiettivi di un'organizzazione e una maggiore enfasi su una più solida integrazione del "risk management" con il processo decisionale e, più in generale, all'interno di un sistema di gestione strategico e operativo.

Come Italia avevamo insistito per un approfondimento su due aspetti, relativi alla necessità di:
- considerare l'etica tra i criteri di riferimento per la valutazione dei rischi;
- chiarire meglio significato e correlazione tra i concetti di opportunità, minacce/pericoli e rischio, sui quali i punti di vista sono molto "variegati".

Dell'etica comunque non se ne parla se non sottintesa tra le righe e sui concetti di minacce e opportunità in relazione al rischio è stata fatta confusione (una nota alla definizione di rischio è stata modificata all'ultimo momento, rendendo quindi la relazione tra minacce e opportunità e rischi molto confusa e non condivisible).

Molto più interessante per numerose novità, oltre che per i due punti di cui sopra, è la revisione della IEC/ISO 31010, il cui DIS è stato approvato a metà febbraio. Nella nuova versione è previsto un diagramma di Ishikawa modificato (con indicate le classiche famiglie di cause-effetti: ambiente, materiali, fornitori, personale, processi, infrastrutture). È forse una banalità, ma comunque è un nuovo modo di pensare fuori dagli schemi (una sorta di pensiero laterale) che è frutto di un nostro contributo. La sua applicazione è risultata piuttosto interessante ed apprezzata da chi ci ha provato.