sabato 25 gennaio 2020

Il DPO deve essere un legale (ma forse anche no) - Puntata AGCM

Sulla questione del DPO avvocato, si è inserita anche l'Autorità garante della concorrenza. Nel bollettino 1/2020 si trova infatti la decisione AS1636:
- https://www.agcm.it/pubblicazioni/bollettino-settimanale/2020/1/Bollettino%201/2020.

In breve: "l'Autorità auspica che le amministrazioni in indirizzo valutino con attenzione i requisiti da inserire nei propri bandi per la selezione dei RPD al fine di evitare restrizioni all'accesso alle selezioni che possano risultare sproporzionate e ingiustificate". In particolare dice: "con specifico riferimento al requisito dell'iscrizione all'albo professionale degli avvocati, esso appare discriminatorio e non giustificato".

Grazie a Pierfrancesco Maistrello per averlo segnalato agli Idraulici della privacy.

giovedì 23 gennaio 2020

NIST privacy framework

Avevo visto la notizia in giro, ma l'ho guardato grazie all'insistenza di Giancarlo Caroti. Si tratta del NIST privacy framework:
- https://www.nist.gov/privacy-framework.

Ho purtroppo visto confermate le mie ipotesi iniziali.

La prima riguarda la complessità: in tempi in cui molte persone devono capire cosa fare, si trovano misure le "Risk Assessment" e "Risk Management Strategy", le cui differenze sono ovvie, ma, allo stato pratico, non utili. Questo mi intristisce di più, perché dimostra quanto sia cambiato un ente che apprezzavo tantissimo per i suoi documenti pragmatici.

Ma questo è un ulteriore effetto dell'ampliamento della platea dei "professionisti della sicurezza e della privacy": per dimostrare di essere degno di questo titolo è necessario dimostrare sempre maggiore sofisticazione, dimenticando che la semplicità è la più alta espressione di sofisticazione. Ma questo si nota anche nell'uso a sproposito del termine "ecosistema", che è sì evocativo, ma scorretto e non degno di tecnici che, soprattutto in questi casi, dovrebbero usare "sistema".

Altra causa va ricercata nel fatto che il NIST è un organismo di supporto alle organizzazioni degli Stati Uniti, solitamente più grandi di quelle europee (e infatti adesso è ENISA quella che si sta distinguendo per le cose pragmatiche).

Ad ogni modo, a parte le mie elucubrazioni, vale sempre la pena leggere questo documento. Le misure di sicurezza, per quanto complicate, possono essere di aiuto.

domenica 19 gennaio 2020

Ispezioni GDPR della GdF (un resoconto)

Alberto Bonato mi ha reso partecipe di alcune ispezioni relative al GDPR condotte dalla Guardia di finanza..

Intanto è riuscito a prendere appunti sulla check list usata, che riporto:
1) struttura ed organizzazione della società;
2) titolarità dei trattamenti;
3) distribuzione delle funzioni;
4) tipologia e natura dei dati (inclusi videosorveglianza e dati biometrici);
5) modalità di acquisizione dei consensi;
6) numero degli interessati;
7) registro dei trattamenti;
8) responsabili (esterni);
9) DPO;
10) lista dei soggetti autorizzati, istruzioni fornite e loro formazione, con messa a disposizione delle eventuali nomine ad incaricati);
11) periodo di conservazione dei dati personali (oppure i criteri);
12) procedure per i diritti degli interessati;
13) comunicazione di dati a terzi, presupposti di legittimità, categorie dei soggetti destinatari e finalità del trattamento dei destinatari;
14) modalità con cui è fornita l'informativa;
15) misure tecniche e organizzative;
16) eventuali certificazioni.

Sono un po' perplesso sul 10, ma si tratta di una check list, non di un requisito.

Il 15, a sua volta, si suddivide in:
- eventuale pseudo-anonimizzazione e cifratura;
- capacità di assicurare riservatezza, integrità e disponibilità;
- capacità di ripristino in caso di incidente fisico o tecnico;
- procedura per testare, verificare e valutare regolarmente le misure;
- principali applicazioni;
- controllo accessi (userid e password; strong authentication);
- audit interni e presso responsabili;
- eventuali alert sui sistemi;
- eventuale backup.

Si noti come siano importanti backup e controllo accessi.

In merito al punto 12 sui diritti degli interessati, la GdF ha approfondito le procedure per dare modo all’interessato di esercitare i propri diritti, chiedendo anche se fossero stati predisposti moduli automatizzati o cartacei che l'interessato potesse compilare. Ma, come dice Alberto, "si è trattato di un confronto tutto verbalizzato e che poi seguirà risposta dal Garante".

Da osservare che hanno chiesto una relazione sul sistema informatico e hanno anche chiesto di accedere ai database per verificare la corrispondenza con il registro ai trattamenti.


In merito ad aziende con trattamento di dati sanitari, si sono soffermati sulla figura del DPO, chiedendo come il titolare fosse in grado di provare la effettiva attività del DPO. Hanno anche chiesto se esistesse una procedura "per tenere traccia dei problemi inerenti il trattamento di dati personali", ossia sulla gestione del registro delle violazioni.

I controlli hanno avuto durata tra i 3 e 4 giorni, con inizio verso le 9 del mattino e chiusura verbali intorno alle 22/23 di notte.

Ho chiesto ad Alberto come si fossero comportati gli ispettori e mi ha detto che si sono dimostrati gentili, corretti e professionali. Ho pensato che invece alcuni auditor ISO si comportano in modo ben diverso e sono contento di sapere che le nostre forze dell'ordine si siano dimostrate inappuntabili.

venerdì 17 gennaio 2020

Guidelines on ICT and security risk management

Enrico Toso di Deutsche Bank mi ha segnalato la pubblicazione delle EBA Guidelines on ICT and security risk management:
- https://eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-ict-and-security-risk-management.

Riporto quanto mi scrive Enrico e lo ringrazio.

<<
Anche se dal titolo non è esplicito, questa Guideline di EBA (Autorità di Vigilanza Europea) si applica al settore finanziario e in particolare alle istituzioni (istituti di credito e di investimento) oltre che alle relative Autorità Competenti Nazionali, per garantire la sicurezza delle operazioni di pagamento. In quest'ottica sostituirà anche la precedente "Guidelines on security measures for operational and security risks of payment services" (EBA/GL/2017/17) e si propone di regolamentare il settore dei pagamenti anche per quello che riguarda l'accesso delle Fintech e delle cosiddette Terze Parti (o TPP) al mondo dell'Open Banking.

E' frutto di un paio di anni di gestazione e contiene (in fondo) anche gli esiti della consultazione pubblica rispetto a cui esprime delle valutazioni ragionate (per recepirle o rifiutarle).
>>

giovedì 16 gennaio 2020

Attacco "Loss of supplier"

Ad un mio cliente è successo: un fornitore di assistenza specialistica
informatica ha chiuso i battenti da un giorno all'altro. Così il cliente, al
primo incidente, ha impiegato molto più tempo del previsto a risolverlo e
adesso teme che l'incidente si possa ripetere, visto che la correzione non è
stata approvata dal fornitore.

L'errore del software ha mandato in errore altri apparati e anche questo
incidente è stato risolto dopo molto più tempo del previsto perché il
contratto prevedeva assistenza (di un altro specialista rispetto al software
di cui sopra) in orario lavorativo e non 24/7/365.

Lo segnalo per ricordarci che le "cose che non succedono mai" succedono.

Ho ovviamente anonimizzato il più possibile.

giovedì 9 gennaio 2020

Articolo sullo stato delle certificazioni ISO/IEC 27701

Con Andrea Caccia e Fabio Guasconi ho scritto un articolo dal titolo "Stato delle certificazioni ISO/IEC 27701":
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tutto-sulla-norma-iso-iec-27701/.

Ora ha titolo "GDPR e certificazioni, tutto sulla norma ISO/IEC 27701" ma, insomma, l'articolo è quello.

martedì 7 gennaio 2020

Due articoli sul GDPR (violazioni e sistema di gestione)

Daniele Santucci mi ha segnalato due suoi articoli sulla privacy.

Il primo ha titolo "Data breach e modelli preventivi di gestione delle non conformità: strategie di compliance":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-e-modelli-preventivi-di-gestione-delle-non-conformita-strategie-di-compliance/.

Il secondo ha titolo "Sistema di gestione privacy come modello per il controllo dei dati personali: una proposta operativa":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/sistema-di-gestione-privacy-come-modello-per-il-controllo-dei-dati-personali-una-proposta-operativa/.

Si tratta di articoli abbastanza "di base", ma interessanti.