Franco Vincenzo Ferrari mi ha segnalato la pubblicazione del tool "Website auditing" dell'EDPB: https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en.
Facilissimo da installare, permette di verificare i cookie attivi, se ha attivo l'https e altre semplici caratteristiche di un sito web. Onestamente: ne avevo proprio bisogno.
Avevo scritto tempo fa del D. Lgs. 24 del 2023 sul whistleblowing e delle Linee guida di Confindustria.
Ho avuto qualche esperienza in merito e ho voluto parlarne con gli Idraulici della privacy. Ho provato a mettere insieme le cose in una presentazione, aggiornata dopo il dibattito, che trovate qui: https://www.cesaregallotti.it/Pubblicazioni.html.
Nulla di nuovo, ma un'occasione per discuterne dopo le esperienze fatte.
Ci sono un paio di riflessioni sul canale di comunicazione da usare (non è detto che sia necessaria una "piattaforma" perché anche l'email può essere sufficiente) e sulla DPIA (che ho fatto senza calcoli).
Da ottobre 2023 sono disponibili due norme EN sulla privacy che potranno essere usate per le "certificazioni GDPR (art. 42 e 43)". Non avevo dato la notizia perché avevo fatto confusione con la numerazione.
La prima è la EN 17799:2023 "Personal data protection requirements for processing operations": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:72146&cs=1542894B837546009C6EA75EEF37A17FB.
Essa è, in poche e imprecise parole, l'erede della UNI/PdR 43. La EN 17799 ha un ambito più ampio della PdR 43, non riducendosi al solo ambito ICT. È più destinata alle PMI.
La seconda è l'EN 17926:2023 "Privacy Information Management System per ISO/IEC 27701 - Refinements in European context": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:73645&cs=1E27CF456A53D1D12798EDA52ADB48A97.
Questa, in pochissime e imprecisissime parole, dice: "Prendi la ISO/IEC 27701 e cambia un paio di cosine, così potrai usare questa EN 17926 per certificarti secondo articoli 42 e 43 del GDPR usando la ISO/IEC 27701". È più destinata alle organizzazioni di dimensione medio-grande.
In tutti e due i casi non sono pronte le norme con le regole di accreditamento (a mio parere non lo saranno prima del 2025) e quindi non sono ancora utilizzabili. Qualche organismo di accreditamento potrebbe lanciare in autonomia uno schema di certificazione, ma dubito che avverrà, visto che l'obiettivo è quello di usarle per uno schema di sigillo europeo e quindi essere approvate dall'EDPB.
Ringrazio gli Idraulici della privacy per avermi forzato a ripensare su queste norme.
Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della "Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati (TOM)" dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) della Confederazione Svizzera: https://www.edoeb.admin.ch/edoeb/it/home/kurzmeldungen/km2024/23012024_leitfaden_tom.html.
La versione in inglese ("Guide to Technical and Organisational Data Protection Measures (TOM)"): https://www.edoeb.admin.ch/edoeb/en/home/kurzmeldungen/km2024/23012024_leitfaden_tom.html.
Nulla di nuovo, ma una buona guida, pragmatica e sintetica al punto giusto, per la protezione dei dati personali e la sicurezza delle informazioni.
Dalla newsletter di Project:IN Avvocati, segnalo un documento dal titolo "Deepfakes, Phrenology, Surveillance, and More! A Taxonomy of AI Privacy Risks".
Si può scaricare dal link presente in un articolo di IAPP: https://iapp.org/news/a/shaping-the-future-a-dynamic-taxonomy-for-ai-privacy-risks/.
Dico che, a fronte di tanta (e forse troppa) documentazione sull'intelligenza artificiale, questo mi è sembrato particolarmente interessante perché riassume bene gli aspetti critici dell'IA.
Segnalo questo articolo dal titolo "Parla male del datore di lavoro sui social? Sì al licenziamento per giusta causa": https://www.altalex.com/documents/news/2024/01/18/parla-male-datore-di-lavoro-su-social-si-a-licenziamento-per-giusta-causa.
Questo genere di notizie mi interessa sempre perché dimostrano (anche se con pochi casi) il rapporto curioso che molti hanno con i social media, dove si sentono in diritto di poter dire qualsiasi cosa, incuranti (o forse spinti) da chi possa venirne a conoscenza. La questione non è solo sociale, è anche di sicurezza delle informazioni: se manca un autocontrollo su quello che si scrive, potrebbero anche essere scritte cose riservate.
Il NIST ha pubblicato la bozza della nuova versione della SP 800-55 "Measurement Guide for Information Security": https://csrc.nist.gov/News/2024/nist-sp-800-55-draft-available-for-comment.
Come impressione generale mi sembra molto teorica e poco pratica. Manca di esempi significativi (i pochissimi che ci sono mi sembrano più per grandi che per piccole o medie imprese).
Ho trovato interessanti alcuni richiami teorici, anche se ormai faccio fatica a capirli fino in fondo.
Avevo scritto un post dal titolo "Garante privacy, ASL, Tribunale di Udine e DPIA": http://blog.cesaregallotti.it/2023/12/garante-asl-tribunale-di-udine-e-dpia.html.
Elia Barbujani (Idraulico della privacy) mi ha mandato un paio di link per approfondire.
Il primo riguarda la motivazione della sentenza del Tribunale di Udine: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9957324.
Il secondo riguarda la sentenza del Tribunale di Pordenone, citata dall'articolo di Silvia Stefanelli che avevo segnalato nel mio post: https://www.agendadigitale.eu/sicurezza/privacy/medicina-di-iniziativa-perche-anche-il-tribunale-di-udine-ha-detto-no-al-garante-privacy/.
