DPO - Responsabile della Protezione dei Dati - Firenze

L'attuale pandemia provocata da Sars Cov 2 ha accentuato le vulnerabilità insite nel fattore umano: siamo più fragili e ansiosi, isolati nelle nostre attività in smart working. Mai come in questo anno siamo stati oggetto di manipolazione attraverso praticamente tutti i mezzi di comunicazione: email, telefono, social media, fake news, teorie del complotto. I criminali informatici lo sanno e per questo sfruttano le tecniche della persuasione per condurci a commettere errori abbassando il nostro livello di consapevolezza del rischio informatico allo scopo di carpire i nostri account, le nostre informazioni, dati personali, informazioni sensibili. Esistono due tipi di criminale informatico. Il primo agisce col metodo della pesca a strascico inviando e-mail di phishing in modo automatizzato, lavorando sulle nostre ansie derivanti dalla pandemia: commercio di dpi, farmaci, cure, test fai da te, prodotti per la sanificazione. Il secondo segue un altro schema e agisce come un pescatore a m

Anche se lo schema di DPCM che riguarda il perimetro di sicurezza nazionale cibernetica potrebbe essere ancora soggetto a variazioni, il suo iter dovrebbe concludersi entro il mese di luglio, possiamo fare una prima estrema sintesi di quanto già introdotto nel testo. Il perimetro individua soggetti che appartengono a due macro-categorie: quelli che assolvono a una  funzione essenziale dello Stato  e quelli che prestano un  servizio essenziale per gli interessi dello Stato .  Alla prima categoria appartengono quei soggetti a cui l'ordinamento attribuisce compiti rivolti ad assicurare: La continuità dell'azione del Governo e degli Organi costituzionali La sicurezza interna ed esterna e la difesa dello Stato Le relazioni internazionali La sicurezza e l'ordine pubblico L'amministrazione della giustizia La funzionalità dei sistemi economico e finanziario, e dei trasporti Alla seconda categoria appartengono quei soggetti anche pri

Negli ultimi anni la tendenza nel settore delle forniture ICT è sempre più quella di esternalizzare questa tipologia di servizi. Tra le cause di questa tendenza ci sono vari fattori: la difficoltà del reperimento sul mercato del lavoro delle competenze richieste, l'oggettiva diminuzione dei costi in un mercato sempre più competitivo col conseguente abbattimento dei costi fissi per le aziende, la velocità di dispiegamento di tali risorse nell'ambito delle infrastrutture IT nel cloud, la possibilità di concentrarsi sul proprio core business mantenendo un alto profilo di governance, la scalabilità delle risorse dove si paga solo per ciò che effettivamente si usa. Il risultato è che i data center in house si svuotano di hardware fisico per andare sul cloud nelle sue varie declinazioni:  infrastrutture IaaS e PaaS, piattaforme SaaS, servizi SOCaaS. Chiaro che questa impostazione presenta delle criticità dal punto di vista della sicurezza in quanto generalmente si tende a sottovaluta

Venerdì scorso FamilyTreeDNA, una delle maggiori aziende specializzate nella commercializzazione di test genetici per clienti privati, ha reso accessibile all'FBI la sua banca dati genetica, in questo modo i dati personali nella disponibilità dell'autorità giudiziaria federale americana sono raddoppiati. Già nell'aprile dello scorso anno il Golden State Killer, un cold case di una decina d'anni è stato risolto dall'FBI mediante l'accesso alla banca dati pubblica GEDmatch, una piattaforma open source, attraverso la consulenza di un genealogista genetico. Questo però è il primo caso in cui un'azienda privata volontariamente mette a disposizione dell'ente investigativo della polizia federale USA i dati dei propri clienti. Il dato personale genetico è diverso dagli altri dati personali in quanto la condivisione o la pubblicazione del dato genetico non riguarda solamente quella persona ma anche tutti coloro che gli sono geneticamente collegati attravers

Tra le policy più importanti da mettere a punto riguardo alla gestione della data protection in ambito privacy vi è sicuramente quella che riguarda il riscontro che il titolare del trattamento, o il suo rappresentante se nominato, deve dare all'interessato. Questa policy rientra tra quelle obbligatorie e si dovrà basare sugli artt. da 15 a 22 del regolamento europeo UE 2016/679 e in particolare: Articolo 15 - Diritto di accesso dell'interessato Articolo 16 - Diritto di rettifica Articolo 17 - Diritto di cancellazione (diritto all'oblio) Articolo 18 - Diritto di limitazione di trattamento Articolo 19 - Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento Articolo 20 - Diritto alla portabilità dei dati Articolo 21 - Diritto di opposizione Articolo 22 - Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione Inoltre occorre tenere conto anche dei considerando 59, 64 e 73:

Con l'acronimo BYOD "Bring Your Own Device" (porta il dispositivo tuo) si intende la gestione dei dispositivi elettronici personali quali smartphone, tablet, laptop, notebook e dispositivi simili in ambito lavorativo. Negli ultimi anni abbiamo assistito ad un uso sempre più diffuso di dispositivi mobili personali, in particolare smartphone, in ambito lavorativo per memorizzare, accedere remotamente, trasmettere o ricevere dati, utilizzare dati ed informazioni aziendali su base occasionale o regolare. Se da un lato le aziende generalmente favoriscono se non addirittura promuovono l'utilizzo di tali dispositivi anche all'interno della propria rete perché questo porta a vantaggi in termini di efficienza e produttività: maggiore familiarità con le funzioni del dispositivo da parte del personale, dall'altro occorre inserire la gestione di tali dispositivi elettronici nelle policy di sicurezza in essere in un bilanciamento talvolta difficile tra le esigenze di