area-press.eu – comunicati

Tag: privacy

  • Scadenza fiscale 31 Marzo 2010: revisione DPS

    In calendario nel mese di marzo c’è la redazione e la successiva revisione annuale del DPS, documento che rappresenta una misura di sicurezza obbligatoria prevista dal Disciplinare Tecnico in materia di misure minime di sicurezza – Allegato B al D.Lgs 196/03.

    Va sottolineato che le sanzioni previste in caso di mancata adozione delle misure di sicurezza poste a tutela dei dati e della dignità dei soggetti interessati sono comprese tra € 10.000 ed € 180.000.

    La revisione del DPS prevede la designazione degli Amministratori di Sistema ( Provvedimento a Carattere generale del 27 Novembre 2008) e una particolare attenzione ai sistemi di registrazione degli accessi logici degli AdS ai sistemi informatici aziendali.

    Nell’ottica di adeguamento alle normative disposte dall’Autorità Competente in materia di sicurezza e nella redazione della documentazione in ottemperanza al D.Lgs 193/03, CDH srl propone la propria soluzione utilizzando un sistema professionale certificato e garantito perfettamente rispondente alle disposizioni del Garante della Privacy.

    CDH Srl rammenta che la gestione dei LOG costituisce unicamente l’adeguamento finale dell’archiviazione dei dati, ma che le aziende devono adeguarsi con la redazione del DPS (Documento Programmatico di Sicurezza), con l’espletamento dell’ “Allegato B” e la nomina degli Amministratori di Sistema (provvedimento del 27/11/08), nel rispetto del trattamento dei dati personali relativo all’utilizzo di strumenti elettronici da parte dei lavoratori (Policy Aziendale – Provvedimento 13/07)

    Clicca qui per l’offerta

  • KRYPTOTEL: la fine delle intercettazioni!

    Le frequenti notizie di cronaca in cui l’uso delle intercettazioni telefoniche risvegliano in molti utenti sopite (o perlomeno finora trascurate) esigenze di privacy. Oggi infatti è impensabile comunicare liberamente al telefono per il timore di essere intercettati e di vedere le proprie conversazioni, anche le più intime, sbattute in prima pagina. Kriptotel è un’azienda nata con il preciso obiettivo di consentire ai propri utenti di comunicare in libertà, senza la paura di essere intercettati. Il servizio offerto da Kriptotel permette di effettuare telefonate su una linea dedicata assolutamente inviolabile e quindi con la certezza che solo chi è all’altro capo del telefono sentirà le vostre parole. Imprenditori, liberi professionisti, consulenti ma anche semplici cittadini possono comodamente avvalersi del servizio voce di Kriptotel, dall’ufficio o da casa. Nessuna traccia delle chiamate rimane, né in bolletta ne in alcun archivio degli operatori telefonici.

    Kryptotel, società di security solutions, vanta una solida conoscenza nel settore delle tecnologie di sicurezza delle comunicazioni ed è all’avanguardia nel proporre soluzioni di sicurezza telefonica ed informatica.

    Kryptotel, basa la propria infrastruttura tecnologica su elevati standard crittografici e su principi di ISO IEC 27001 grazie ai quali fornisce strumenti di sicurezza a 360 gradi. Nasce così Kryptoline la linea telefonica su internet che consente di comunicare in tutta sicurezza e riservatezza. Il telefono apposito fornito funziona con un numero telefonico personale sicuro che viene comunicato all’utente e ai soli destinatari da lui indicati e che si avvarranno dello stesso tipo di telefono criptato.

    Per coloro che necessitano di sicurezza informatica Kryptotel ha sviluppato la soluzione KryptoComputer il servizio con il quale viene garantita la sicurezza delle email in invio e in ricezione attraverso la fornitura di un computer completamente criptato sia nel sistema operativo che nel client di posta elettronica

  • EUROPA e INDIA: il panorama politico internazionale sul tema della protezione dei dati


    Sono due tra le più grandi democrazie del mondo, ancorate al loro ricco passato e nello stesso tempo proiettate verso il futuro, unioni di stati che comprendono lingue, religioni e culture differenti. Europa ed India sono un esempio unico di storia e valori condivisi e non c’è da stupirsi che abbiano di recente trasformato la loro secolare relazione in una partnership privilegiata. Componenti essenziali della partnership euro-indiana sono i comuni obiettivi politici – combattere il terrorismo, risolvere i più gravi conflitti internazionali e regionali, cooperare contro la povertà e i disastri naturali – e un forte legame economico, che ha portato l’Unione Europea ad essere il più grande investitore straniero e il principale partner commerciale dell’India.
    Il 24 e 25 settembre 2009, il progetto europeo RISE (Rising pan-European and International Awareness on Biometrics and Security Ethics) promuove un evento di alto livello a New Delhi organizzato dal Data Security Council of India (DSCI), per affrontare temi come la sicurezza, la privacy e la protezione dei dati. Principale obiettivo dell’evento è quello di sostenere il dialogo internazionale tra i due paesi su queste delicate e tanto attuali tematiche.
    Negli ultimi anni l’India ha giocato un ruolo chiave nell’economia internazionale. L’outsourcing (letteralmente, esternalizzazione di alcune fasi del processo produttivo) è uno dei settori che hanno maggiormente contribuito alla grande crescita economica indiana. L’India rimane una delle destinazioni preferite delle società europee e statunitensi che fanno outsourcing, soprattutto nel settore dell’informatica. In linea con la crescita di questo mercato, sono tuttavia cresciute anche le preoccupazioni sulla sicurezza dell’enorme flusso internazionale di dati. La necessità di un accordo con il governo indiano sugli standard per la protezione dei dati e il rispetto della privacy sembra dunque essere di cruciale importanza al fine di sostenere lo sviluppo di uno dei principali settori dell’economia indiana.
    Ma la protezione dei dati non riguarda soltanto l’outsourcing. E’ di pochi giorni infatti la notizia che il governo indiano ha deciso di avviare il progetto UID (Unique Identification) che avrò lo scopo di assegnare ad ogni cittadino una Carta d’Identità Nazionale che, tra le altre informazioni personali, conterrà anche i suoi dati biometrici. Il progetto UID è uno dei maggiori programmi di identificazione collettiva mai organizzati, e vedrà coinvolti 1.2 miliardi di cittadini. “Per la prima volta avremo la possibilità di dare un’unica identità ai nostri cittadini. Avremo la possibilità di trasformare il nostro Paese”, sottolinea Nandan Nilekani, nominato dal governo a capo del progetto. Le carte di identificazione biometriche serviranno a dare un’identità sicura anche a chi oggi non esiste per lo Stato, e si spera possa essere uno strumento in più nelle mani del governo per la lotta contro la criminalità e il terrorismo. Tuttavia, molti mettono in guardia sulla grave minaccia che questo progetto potrebbe portare alla privacy e sicurezza di milioni di persone, visto la grande quantità di dati personali presenti in un unico e immenso database.
    L’evento organizzato dal Consorzio RISE si svolgerà presso l’HOTEL TAJ PALACE, New Delhi il 24 & 25 settembre 2009. Tra gli speakers, parteciperanno autorità europee, statunitensi e indiane e importanti esponenti del mondo accademico e dell’industria operanti nel settore delle tecnologie di identificazione e della protezione dei dati.

    Per maggiori informazioni, si prega di contattare:
    Silvia Venier [email protected]
    Segreteria del progetto RISE
    Centro per lo studio della Scienza, Società e Cittadinanza (CSSC) – Roma
    Nikhil Chachra [email protected]
    Organizzatore del Meeting di New Delhi
    Data Security Council of India (DSCI) – New Delhi

    ===================================================
    Il progetto RISE
    RISE (Rising pan-European and International Awareness on Biometrics and Security Ethics) è un progetto finanziato dall’Unione Europea con l’obiettivo di svolgere un’azione di supporto alle politiche europee esplicitamente dedicata alla biometria e alle tecnologie per la sicurezza. Il progetto, lanciato il 1 marzo 2009 e di durata triennale, segue le due precedenti iniziative (i due progetti BITE – www.biteproject.org – e HIDE – www.hideproject.eu ) che hanno dato il via al dialogo internazionale tra Europa e Stati Uniti su etica e biometria, culminato nelle due conferenze internazionali di Bruxelles nel 2005 e Washington nel 2006. RISE vuole continuare questo dialogo ed ampliarlo all’emergente continente asiatico, portando all’organizzazione della terza Conferenza Internazionale di Hong Kong nel gennaio 2010.
    Il progetto RISE vede coinvolti nove partner, tra università e centri di ricerca europei, statunitensi ed asiatici, coordinati dal Centro per lo studio della Scienza, Società e Cittadinanza (CSSC) di Roma.
    Per ulteriori informazioni, visitare il sito internet del progetto: www.riseproject.eu.

  • PUBBLICITA’ SPIONA: LA FRANCIA NON CI STA!


    A volte l’abbiamo definita ingannevole, invasiva, ma che la pubblicità fosse diventata anche una spia, questo proprio non l’avevamo messo in conto. Eppure, una tecnologia sofisticata ha permesso ad una azienda francese di trasporti pubblici – www.ratp.info – di installare i primi pannelli promozionali armati di sensori che captano i comportamenti dei passanti, riprendendo le loro azioni. Si tratta di quattro schermi – che a breve potrebbero diventare 400 – di 1,5 mq, innocui all’apparenza, che registrano il numero di persone che si ferma a leggere il messaggio pubblicitario e il loro tempo di permanenza: misurano cioè l’audience degli spot.
    Il popolo transalpino non sembra aver accolto con troppo entusiasmo la nuova iniziativa, ritenendola lesiva della privacy. Tanto più che questi pannelli sono anche in grado di inviare messaggini ai passanti tramite la tecnologia bluetooth. Nella capitale francese varie associazioni hanno sollevato i loro dubbi riguardo l’adozione di questi strumenti e hanno deciso di trascinare la Ratp in tribunale. Altro che Grande Fratello: se solo Orwelll avesse saputo cosa avrebbe scatenato il suo “1984”…

    Antonella Corvino
    www.oltrelinea.eu

  • Privacy: Test genetici, necessario il consenso


    Il caso si riferisce all’indagine condotta da un detective nell’ambito di una causa di paternità dubbia. Il mozzicone incriminato, secondo la tesi difensiva dell’investigatore, era stato abbandonato per strada e dunque la relativa raccolta si poteva considerare ammissibile in quanto lasciato incustodito.
    L’Authority, indifferente alla metodologia di raccolta, ha sanzionato l’operato del detective in quanto irrispettoso dell’obbligo di informativa e pedissequo ottenimento di consenso stabilito già dall’Autorizzazione Generale del Garante 2/2002 poi ribadita dall’Autorizzazione 22 febbraio 2007.
    L’uso dei dati genetici per finalità probatorie in sede giudiziaria riguarda unicamente i dati genetici già legittimamente trattati( ovvero con preventiva informativa e pedissequo ottenimento del consenso) per fini di prevenzione, diagnosi, terapia o per ricerca scientifica.
    Ai fini del perfezionamento di un corretto trattamento occorre che informativa e consenso siano per iscritto nel caso di test e screening genetici.

    “Per i trattamenti effettuati mediante test e screening genetici per finalità di tutela della salute, di ricerca o di ricongiungimento familiare, l’informativa è resa all’interessato prima del prelievo, ovvero dell’utilizzo del suo campione biologico qualora lo stesso sia stato già prelevato, anche in forma scritta, in modo specifico e comprensibile, anche quando il trattamento è effettuato da esercenti la professione sanitaria o da organismi sanitari pubblici e privati che abbiano informato in precedenza il medesimo interessato utilizzando le modalità semplificate previste dagli artt. 77, 78 e 79 del Codice.I trattamenti per lo svolgimento delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria possono essere effettuati mediante l’esecuzione di test genetici soltanto previa informativa all’interessato da rendersi con le modalità sopra indicate.In conformità a quanto previsto dagli artt. 23 e 26 del Codice, i dati genetici possono essere trattati e i campioni biologici utilizzati soltanto per gli scopi indicati nella presente autorizzazione e rispetto ai quali la persona abbia manifestato previamente e per iscritto il proprio consenso informato”
    ( Garante Privacy, Autorizzazione del 22 febbraio 2007)

    Si può derogare solo se i dati genetici risultano indispensabili per far valere o difendere un diritto in sede giudiziaria che sia di rango almeno pari a quello dell’interessato.

    “La presente autorizzazione è rilasciata, altresì, quando il trattamento dei dati genetici sia indispensabile:per lo svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti, di consulenti tecnici e investigatori privati autorizzati, o, comunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, anche senza il consenso dell’interessato eccetto il caso in cui il trattamento presupponga lo svolgimento di test genetici. Ciò, sempre che il diritto da far valere o difendere sia di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
    Il trattamento deve essere comunque effettuato nel rispetto delle autorizzazioni generali del Garante al trattamento dei dati sensibili da parte dei liberi professionisti e da parte degli investigatori privati (allo stato, autorizzazioni nn. 4 e 6/2005).
    Il trattamento può comprendere anche le informazioni relative a stati di salute pregressi o relative ai familiari dell’interessato”
    ( Garante Privacy, Autorizzazione del 22 febbraio 2007)

    Articolo a cura dell’Avvocato Deborah Bianchi
    [email protected]

  • “Il Garante Ombra””?”


    Mentre prosegue il cammino di costante crescita, molti ci domandano quale sarà l’esatto ruolo di Federprivacy nel prossimo futuro. Quando è stata costituita, i fondatori avevano chiaro in mente che Federprivacy avrebbe dovuto essere un principale punto di riferimento sul territorio nazionale per consulenti della privacy, e soprattutto per quel gran numero di soggetti, anche privati cittadini, che per la natura delle loro professioni sono quotidianamente coinvolti in trattamenti di dati personali, essendo di fatto esposti ai rischi derivanti dallo svolgimento di “attività pericolose”, cosi come le descrive l’articolo 2050 del Codice Civile. Poiché le funzioni che Federprivacy si attribuisce per statuto sono numerose , gli interrogativi in merito al preciso ruolo che il nostro ente aspira ad assumere si devono considerare legittimi. Federazione di consulenti, associazione di categoria specifica per gli addetti ai lavori in materia di privacy, portavoce d’innanzi alle autorità, osservatorio, promotore di eventi formativi e informativi, ed altro ancora. Tuttavia, dovendo individuare una unica definizione che vorremo associare a Federprivacy e fare nostra nel prossimo futuro, ritenendo che possa sintetizzarne il ruolo, questa è, il “Garante Ombra”. Come molti sanno, Il governo ombra (in inglese shadow government) è un’istituzione politica sorta in Gran Bretagna, e presente in alcuni sistemi parlamentari di altri stati del Commonwealth , costituita dal capo della minoranza, che la dirige, e da parlamentari della minoranza (i ministri ombra) incaricati di seguire da vicino, proprio come un’ombra (da cui il nome), l’attività dei corrispondenti ministri del governo in carica. Originario compito del governo ombra, è quello svolgere un’azione critica ma costruttiva verso le decisioni del governo in carica, proponendo all’occorrenza alternative che rispecchino i bisogni dei cittadini, ma sostenendo le decisioni prese dal governo in carica, se queste sono ritenute idonee, adoperandosi perché queste vengano rispettate. Allo stesso modo, Federprivacy, intende svolgere le proprie attività come un’ombra del Garante, il quale è l’Autorità per eccellenza istituita dallo Stato Italiano, adoperandosi affinchè la normativa vigente sulla privacy venga rispettata in modo diligente, e fornendo all’occorrenza supporto e strumenti ai propri associati per poterlo fare al meglio, ma d’altra parte mostrandosi pronta a raccogliere e recepire segnalazioni e necessità dei propri associati, che sperimentano sul campo le criticità operative e le problematiche che si presentano quotidianamente mentre si sforzano di applicare le prescrizioni della legge, all’occorrenza segnalando allo stesso Garante i disagi che tipicamente vengono riscontrati da chi la legge la deve applicare, e proponendo eventuali alternative che possano rivelarsi idonee ed eque. Lavoreremo quindi nei prossimi mesi in tale direzione, per far sì che Federprivacy sia maggiormente conosciuta per questo tipo di attività, e che si possa pensare ad essa anche come al “Garante Ombra”.

  • Alla luce delle semplificazioni introdotte dal Governo, redigere o meno il DPS?


    A seguito dell’emanazione del Decreto Legge 25.06.2008 n.112, il percorso di semplificazione avviato dal Governo riguardante nella fattispecie gli adempimenti in materia di privacy, in molti casi ha suscitato negli addetti ai lavori sensazioni di smarrimento e non poche perplessità sulla posizione da assumere alla luce delle novità rivolte ad alcune categorie. Sul fronte opposto, tra i diretti interessati che fino a poco tempo prima si sentivano schiacciati dalla macchina burocratica, molti imprenditori interessati dalle semplificazioni hanno esultato per la tanto agognata liberazione dall’obbligo di redigere annualmente il documento programmatico sulla sicurezza dei dati personali, visto come uno dei tanti fardelli di cui l’impresa italiana deve, suo malgrado, farsi carico.
    A beneficio di tutti, ma soprattutto dei propri associati, Federprivacy ritiene opportuno esprimere, in modo più oggettivo possibile, il proprio punto di vista in merito alla questione:
    Senza fare in questa sede una disamina tecnico-giuridica analitica sui contenuti del predetto decreto legge, occorre premettere che, ogniqualvolta venga introdotta una reale semplificazione per la vita dell’impesa italiana, a condizione che non faccia venir meno i diritti fondamentali del cittadino, questa deve essere accolta con soddisfazione e sollievo.
    Pertanto, l’esenzione dall’obbligo di redigere annualmente il documento programmatico sulla sicurezza dei dati personali a favore di quelle aziende e di quei soggetti che non trattano dati di natura sensibile eccetto quelli riferiti allo “stato di salute dei propri dipendenti senza indicazione della relativa diagnosi”(art. 29 DL 112/08), e soprattutto l’esenzione per queste categorie di soggetti titolari del trattamento dalle pesante sanzioni civili e penali che comporta il mancato adempimento a questo obbligo di legge, può rappresentare un criterio di selezione ragionevole ed equilibrato introdotto dal Governo.
    Tuttavia, è doveroso rilevare che, poichè il requisito affinchè un titolare del trattamento non sia più obbligato dalla legge a redigere il DPS è limitato ad una condizione meramente circostanziale, di fatto i soggetti, enti e imprese, che realmente ne possono beneficiare, non sono che una parte.
    Infatti, ipotizziamo ad esempio il caso di un’azienda con dipendenti che, non trattando dati sensibili nella sua attività tipica, per rientrare nella categoria dei soggetti che non devono fare il DPS , predisponga diligentemente di accettare esclusivamente certificati di malattia privi di diagnosi, ovvero con la sola prognosi relativa alla durata dell’assenza del lavoratore, a queste condizioni questa sarebbe in effetti legittimata ad astenersi dal redigere il documento programmatico; ma che dire se uno dei dipendenti presentasse una richiesta di adesione ad un sindacato? Oppure, nel caso in cui un lavoratore fosse vittima di un infortunio, sarebbe possibile gestire la pratica senza trattare alcun dato sensibile relativo alla diagnosi? E se l’ufficiale giudiziario notificasse un provvedimento del tribunale per il pignoramento del quinto dello stipendio di un dipendente? O ancora, nel comune caso in cui la lavoratrice comunichi il suo stato di gravidanza alla quale sussegua i periodo di maternità obbligatoria, facoltativa e permessi per allattamento? E’ evidente che in molti casi evitare lo sconfinamento che riporterebbe tale datore di lavoro nell’obbligo di redigere il DPS potrebbe essere alquanto difficile. Decidere quindi di redigere o meno il DPS in base ad un esame generico della propria struttura organizzativa eseguito in un dato momento, potrebbe essere fuorviante e condurre ad errori di valutazione importanti.

    Non ultimo aspetto da considerare, è che, essere non obbligati per legge a redigere il documento programmatico, non equivale a non essere obbligati ad adottare le misure di sicurezza minime ed ulteriori sui dati personali trattati in azienda. Rimanendo obbligatorio e sanzionabile provvedere a tutti gli adempimenti che rimangono inalterati, ovvero ad esempio , la nomina degli incaricati al trattamento di dati personali, e la distribuzione delle responsabilità, la rete informatica adeguata con un sistema di autenticazione, un sistema antivirus efficace ed aggiornato, il cambio periodico delle password, la pianificazione della formazione del personale,etc.
    Pur considerando specificamente caso per caso, la linea suggerita attualmente da Federprivacy è quella di continuare a tenere comunque un aggiornato documento programmatico per la sicurezza dei dati personali, il quale, oltre che scongiurare situazioni di inimmaginata sanzionabilità, rappresenta una valida guida programmatica interna con ogni criterio di verifica per il controllo e la gestione degli adempimenti comunque obbligatori, in special modo quelli rientranti tra le misure minime, sanzionabili penalmente.
    Se poi, in conclusione, ricordiamo che, in sostituzione del DPS, si sarebbe comunque obbligati a redigere annualmente una autocertiifcazione resa ai sensi dell’art. 47 del D.P.R. n. 445 del 28 dicembre 2000, nella quale si dichiari di aver attuato tutte le misure di sicurezza, (che devono essere effettivamente adottate, altrimenti a nulla servirebbe tale documento sostitutivo), allora è dissolto ogni dubbio, che in fin dei conti, è opportuno pensarci bene prima di accantonare il DPS, con l’auspicio di vedere presto ulteriori interventi in materia di privacy da parte delle istituzioni.

  • Accordo Nazionale Confapi – WPS Group


    WPS Group, società che opera prevalentemente nell’area dei servizi per le aziende in ambito Privacy, garantendo soluzioni pratiche ed efficienti ha stipulato un’importante accordo con Confapi “Istituzione che da oltre sessant’anni tutela e promuove a tutti i livelli i reali interessi della piccola e media industria” al fine di poter agevolare i propri Associati nell’adeguamento previsto dal D.Lgs 196/03 Codice in materia di Privacy.

    La Normativa impone a tutte le società l’adozione di misure minime di sicurezza, fra le quali la redazione del D.P.S.S. (Documento Programmatico Sulla Sicurezza) e la formazione di tutto il personale incaricato.

    L’adozione delle misure previste del Codice Privacy è molto più semplice ed economico di quello che si pensi ma il mancato adeguamento comporta sanzioni amministrative e penali.

    www.confapi.org www.wps-group.it

  • Finalmente il nuovo Portale di Federprivacy è online


    Dopo mesi di strenuo lavoro, il primo obiettivo in programma che aveva annunciato Federprivacy è stato completato: il nuovo portale è adesso in rete, semplice e interattivo per i suoi visitatori, ma soprattutto per gli associati, i quali possono adesso beneficiare di molteplici sezioni e molte funzioni utili per gli operatori della privacy.

    Infatti, il sito è adesso dotato di forum, sondaggi, calendario eventi, sezione faq , news sulla privacy aggiornate, accesso diretto alla propria mail @federprivacy.it, l’area riservata implementata e resa adesso pienamente operativa, attraverso la quale, specialmente i soci sosteniori possono interagire contribuendo al contenuto del sito, proponendo articoli, inserendo filmati ed immagini, e inserendo eventi nel calendario programmatico.

    Ringraziamo quindi coloro che hanno condiviso il progetto della federazione fin dall’inizio aderendo all’iniziativa, e auspichiamo che questo importante step possa significare un ulteriore estensione di Federprivacy in Italia come organo associativo di riferimento nel campo della privacy.