L’agenzia europea per la sicurezza informatica ha recentemente pubblicato un manuale, specialmente indirizzato alle piccole e medie aziende, che offre preziosi consigli su come migliorare la sicurezza informatica di questa categoria di aziende, esposte a rischi affatto particolari.

Linkato il testo, fortunatamente in lingua italiana, che illustra, per ognuna delle 12 azioni raccomandate, i motivi e le modalità di attuazione della raccomandazione stessa.

Le raccomandazioni risultano articolate e complete e rappresentano la traccia per organizzare l’attività:

1. sviluppare una solida cultura della cyber-sicurezza
2. fornire una formazione appropriata sviluppare un piano di risposta a possibili incidenti
3. garantire l’efficacia della gestione di soggetti terzi coinvolti nelle elaborazioni informatiche
4. sviluppare un piano di risposta ad eventuali incidenti informatici
5. rendere sicuro l’accesso ai sistemi informativi
6. rendere sicuri i singoli dispositivi, che compongono il sistema informativo
7. rendere sicura la rete
8. migliorare la sicurezza fisica
9. elevare la sicurezza del backup dei dati
10. come lavorare con il cloud
11. rendere sicure i siti on-line
12. Cercare e condividere informazioni afferenti al modus operandi della criminalità informatica.

https://www.enisa.europa.eu/publications/report-files/smes-leaflet-translations/enisa-cybersecurity-guide-for-smes_it.pdf

 

Il Garante per la privacy ha acceso un faro nei confronti di iniziative che prevedono con troppa facilità l’utilizzo dei droni. Il ricorso sempre più frequente e per le finalità più diverse a questi strumenti potrebbe risultare lesivo della riservatezza delle persone riprese. L’utilizzo di strumenti tecnologici per rilevare immagini e suoni deve essere progettato e gestito considerando attentamente il diritto alla riservatezza dei soggetti potenzialmente interessati, non è ammesso l’utilizzo indiscriminato.

 

FONTE: Garante per la Protezione dei Dati Personali

Link del Provvedimento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9696781

La Fondazione Studi dei Consulenti del Lavoro, con un approfondimento del 27 luglio 2021, analizza gli effetti del nuovo Green pass, inserito con il D.L. del 23 luglio 2021, n. 105 per fronteggiare l’emergenza epidemiologica da COVID-19.

Attualmente, con l’eccezione del settore sanitario, non sono previsti obblighi di vaccinazione diffusa per le altre categorie di lavoratori. La norma sul Green pass fa riferimento all’ “accesso” ai “servizi e attività” che poi elenca, pertanto non si può scorgere, al netto delle valutazioni di adeguatezza, alcun obbligo in tal senso.

Va sottolineato che l’obbligo di certificazione verde Covid-19 ha tra i suoi requisiti il vaccino, ma non in via esclusiva, potendo essere concessa, visti i requisiti di cui all’art. 9, co. 2, del D.L. n. 52/2021, convertito con modificazioni dalla L. n. 87/2021, anche ai guariti dall’infezione e a coloro che sono in possesso dell’esito negativo del tampone.

L’obbligo e l’imposizione diffusa sono da escludersi a norma dell’art. 5 dello Statuto dei Lavoratori: “Sono vietati accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Il controllo delle assenze per infermità può essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, i quali sono tenuti a compierlo quando il datore di lavoro lo richieda. Il datore di lavoro ha facoltà di far controllare la idoneità fisica del lavoratore da parte di enti pubblici ed istituti specializzati di diritto pubblico.”

Molte aziende hanno introdotto il test (tampone o sierologico) come parte integrante del Protocollo, e questo deve sempre essere realizzato applicando le dovute garanzie dettate dallo Statuto dei Lavoratori e nel rispetto della tutela dei dati personali. Lo screening resta per ora su base volontaria.

LINK: https://www.consulentidellavoro.it/files/PDF/2021/FS/Approfondimento_FS_270072021_GreenPass.pdf

FONTE: Fondazione Studi Consulenti del Lavoro

Cookie: dal Garante privacy le nuove Linee guida a tutela degli utenti.
No a scrolling e a “cookie wall” se non in casi particolari e limiti alla reiterazione della richiesta di consenso.

Sono state approvate le nuove linee guida per la gestione dei cookie, l’obiettivo del Garante è aumentare il potere decisionale dell’utente durante la navigazione on-line.

Gli elementi principali delle linee guida:

• L’informativa dovrà riportare i dati di eventuali destinatari terzi e i tempi di conservazione, potrà essere resa su più canali di comunicazione quali pop up, interazioni vocali, video, ecc.;
• Il Consenso rimane strumento necessario per i cookie di profilazione, si dovrà dare all’utente la possibilità di navigare senza essere profilato. Lo spostamento del cursore (scrolling) non potrà essere considerata una manifestazione del consenso idonea. Il cookie wall è illegittimo salvo che sia consentito l’accesso ai contenuti senza l’utilizzo di tracciatori. Reiterare la richiesta del consenso è illegittimo, la continua ripresentazione di banner ove già negato il consenso non è supportata basi giuridiche, risultando una misura invasiva;

Infine il Garante auspica una codifica universalmente accettata per distinguere in maniera oggettiva le varie tipologie di cookie.

FONTE: Garante per la Protezione dei Dati Personali

Link del Provvedimento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876

A seguito di accertamento ed attività ispettiva del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, inviata dal Garante per la protezione dei dati personali in una struttura ricettiva, veniva contestata la violazione degli artt. 5, par. 1, lett. a) (violazione del principio di correttezza) e 13 (mancata informativa) del Regolamento Europeo 679/2016 (GDPR).

Gli interessati devono essere informati che stanno per accedere o che si trovano in una zona videosorvegliata e dell’eventuale registrazione, l’informativa deve fornire gli elementi previsti dal Regolamento anche con formule sintetiche, ma chiare e senza ambiguità.

In altre parole non si può condurre attività di videosorveglianza, se non nei rari casi previsti dalla legge, senza fornire le corrette informazioni previste dalla normativa alle persone ritratte.

FONTE: Garante per la Protezione dei Dati Personali

Link del Provvedimento: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9533587