|
25 ottobre 2006
Sempre più costi per violazione delle informazioni
Una ricerca del Ponemon Institute, che ha per missione la diffusione di una gestione responsabile delle informazioni e della privacy nel business come nell'e-government, evidenzia un aumento dell'impatto economico sulle imprese dovuto alla violazione della sicurezza delle informazioni.
Secondo lo studio, "il costo maggiore da sostenere è quello generato dalla drastica diminuzione di fiducia nell'azienda, che si traduce in un abbandono inaspettato di clienti influenzati negativamente dall'incidente".
Il confronto tra il costo unitario per record andato perduto rilevato nello studio del 2005 e quello dell'anno in corso è indicativo: dai 132 dollari dell'anno scorso si è passato a 182 dollari, costi che includono la scoperta del furto o della violazione, la comunicazione dell'accaduto agli utenti coinvolti e l'assistenza necessaria ad aiutare le vittime affette dell'incidente.
Sempre secondo la ricerca basata su 31 casi reali di perdita di informazioni, ogni incidente costa in media 4,7 milioni di dollari, dei quali 2,5 milioni riflettono il costo affrontato dalle aziende per la perdita di occasioni di business; sulla perdita media di 26.000 record al costo di 182 dollari ciascuno, le aziende investono soltanto 180.000 dollari nella prevenzione di futuri incidenti.
Fonte: Ponemon Institute
23 dicembre 2005
Il DPS prorogato al 31 marzo 2006!
22 dicembre 2005 - Con il decreto "milleproroghe" la scadenza slitta ancora una volta, da fine dicembre al 31 marzo.
Slitta infine al 30 giugno il termine per coloro che non possono, per certificati motivi, approntare il DPS entro la fine di marzo. Le nuove scadenze sono previste dal decreto legge "milleproroghe", approvato ieri dal Consiglio dei ministri.
Nonostante il rinvio del DPS, resta valido comunque l’art. 15 del codice, che prevede un preciso obbligo risarcitorio a carico di chi cagioni ad altri un danno per effetto del trattamento dei dati personali, compresa la mancata adozione di "idonee" misure di sicurezza (art. 31 del codice).
Fonte: Il Sole24Ore
31 luglio 2005
Pronto il programma di ispezioni dell'Autorità Garante
A partire da settembre, l'Autorità Garante per la privacy intende controllare che le norme di tutela della privacy siano effettivamente rispettate dai soggetti che gestiscono banche dati. Con due delibere il Garante ha stabilito il programma di ispezioni, con i criteri e le priorità di intervento, per il periodo che va da settembre a dicembre 2005.
Principalmente gli accertamenti intendono verificare che la normativa sia rispettata in quattro aree principali: le banche dati dei clienti nella grande distribuzione, i sistemi d'informazione sul credito al consumo, i rapporti con i clienti da parte dei fornitori di tv interattiva e gli obblighi di custodia dei dati del traffico telefonico e telematico da parte dei fornitori di servizi Internet.
Saranno ispezionati soggetti privati e pubbliche amministrazioni, in particolare accertando il rispetto degli obblighi di notifica: la comunicazione al Garante dell'avvio di una banca dati e l'informazione ai cittadini su come saranno utilizzati i loro dati.
Le ispezioni verranno effettuate presso le sedi dove si svolgono i trattamenti di dati personali, in collaborazione con il nucleo speciale funzione pubblica e privacy della Guardia di Finanza. Sembra inoltre che il Garante intenda sottoscrivere un nuovo protocollo di intesa, che prevede anche l'impiego dei reparti territoriali della Guardia di Finanza.
Fonte: Computerworldonline.
25 aprile 2005
Pubblicato uno studio dell’ ITU sulle tecnologie informatiche e telematiche in Italia
Il rapporto pubblicato in occasione del workshop internazionale dell'Unione internazionale delle telecomunicazioni sulle "Ubiquitous Network Societies" indica che la tendenza in atto verso l’integrazione delle tecnologie informatiche e della comunicazione potrà apportare vantaggi considerevoli in numerose attività, contribuendo inoltre a colmare il divario nello sviluppo fra Nord e Sud della penisola. Nondimeno, sarà necessario tener conto dei problemi che tale diffusione comporta in termini di tutela della privacy di utenti e consumatori.
Per esempio, per quanto riguarda i dati personali è indispensabile fissare e rispettare procedure precise sulla modalità di utilizzazione, sulla base di un consenso espresso da parte delle persone interessate.
L'Italia è stata scelta fra gli Stati da analizzare nell’ambito del workshop proprio per l'altissimo tasso di diffusione della telefonia mobile e le prospettive di rapida implementazione di tecnologie quali la TV digitale.
Il rapporto è disponibile all'indirizzo www.itu.int/.../ubiquitous/.
Fonte: sito del garante.
1 marzo 2005
Prorogato ancora il DPS: 31 dicembre 2005!
Approvato definitivamente il disegno di legge n. 5521 di conversione, con modifiche, del decreto legge n. 314 del 30 dicembre 2004.
In esso è contenuto l’art. 6-bis, "Misure di sicurezza nel trattamento dei dati personali", a norma del quale all’articolo 180 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, sono apportate le seguenti ulteriori modificazioni:
a) al comma 1, le parole: «30 giugno 2005» sono sostituite dalle seguenti: «31 dicembre 2005»;
b) al comma 3, le parole: «30 settembre 2005» sono sostituite dalle seguenti: «31 marzo 2006».
La proroga del DPS 05, al pari di quelle precedenti, vale soltanto per coloro che siano tenuti per la prima volta alla redazione del DPS, sulla base della nuova configurazione degli obblighi di sicurezza previsti dal disciplinare tecnico allegato al codice; per costoro, la scadenza relativa all’aggiornamento del DPS prevista per il 31 marzo dalla reg. 19 del disciplinare tecnico, deve considerarsi per quest’anno superata e prorogata al 31.12.05. In pratica, per costoro il DPS può considerarsi rinviato.
Al contrario, la proroga non riguarda le misure di sicurezza già previste dal DPR 318/99, compresa la redazione del DPS, nella sua originaria conformazione: chi era già tenuto a redigere il DPS sulla base della disciplina precedente non godrà della proroga in oggetto; inoltre, le misure minime che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori.
Nonostante il rinvio del DPS, resta valido comunque l’art. 15 del codice, che prevede un preciso obbligo risarcitorio a carico di chi cagioni ad altri un danno per effetto del trattamento dei dati personali, compresa la mancata adozione di "idonee" misure di sicurezza (art. 31 del codice).
Fonte: InterLex.it
28 febbraio 2005
Ennesima proroga della Privacy: il disegno di legge
Il disegno di legge n. 5521 di conversione, con modifiche, del decreto legge n. 314 del 30 dicembre 2004, prorogherà ulteriormente i termini già prorogati dal decreto legge n. 314 (il cosiddetto "Decreto Mille Proroghe").
La proroga riguarderà solo le "nuove" misure di sicurezza previste dal Codice della Privacy e non contenute nella legge 675/1996 - D.P.R. 1999, n. 318. Così per le misure minime già previste dal Dpr 318 (per esempio, sull'adozione delle informative orali o scritte, sulla redazione di nomine a incaricati e responsabili e sulla regolamentazione dei diritti degli interessati) resta fermo l'obbligo della loro adozione a partire dal primo gennaio 2004.
Inoltre, chi era tenuto ad adottare il DPS (Documento Programmatico sulla Sicurezza) con la precedente normativa rimane ancora obbligato alla redazione del documento.
L'art. 180 del disegno di legge:
"Art. 180 (Misure di sicurezza)
1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 31 dicembre 2005.
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all'articolo 31, adeguando i medesimi strumenti al più tardi entro il 31 marzo 2006".
La conversione in legge dovrebbe avvenire entro il primo marzo 2005. Il testo del disegno di legge si trova attualmente presso la Commissione Affari Costituzionali del Senato per la approvazione definitiva.
Fonte: Punto Informatico
27 dicembre 2004
Nessun vuoto normativo: più tempo solo ai nuovi obblighi
A causa delle due proroghe dei termini per la redazione del DPS, è diffusa l'opinione che si sia creato un vuoto normativo. Non è così.
E' vero che il Codice della Privacy entrato in vigore dal primo gennaio 2004 vincola i titolari del trattamento all'adozione entro il 30 giugno 2005 di un "pacchetto" di misure minime di sicurezza puntualmente identificate, e in particolare vincola alla stesura del DPS, considerato come una "nuova" misura minima, estendendone l'obbligo di adozione a tutti i titolari di trattamenti con strumenti elettronici, indipendentemente dalla loro accessibilità al pubblico.
E' vero anche, però, che per le misure minime già previste dal Dpr 318 (per esempio, sull'adozione delle informative orali o scritte, sulla redazione di nomine a incaricati e responsabili e sulla regolamentazione dei diritti degli interessati) resta fermo l'obbligo della loro adozione a partire dal primo gennaio 2004. Pertanto, c'è più tempo solo per i nuovi obblighi.
Fonte: Il Sole 24Ore
11 novembre 2004
Nuova proroga del DPS: 30 giugno 2005!
Con il decreto-legge 226 del 9 novembre 2004 ‘Proroga o differimento di termini previsti da disposizioni legislative’, il termine ultimo per la redazione del Documento Programmatico sulla Sicurezza viene prorogato al 30 giugno 2005 (articolo 6 del decreto-legge, 'Trattamento di dati personali'). Le misure di sicurezza descritte nel DPS potranno inoltre essere adottate, qualora per certificate ragioni non sia possibile farlo entro il 30 giugno 2005, entro il 30 settembre 2005.
Ma attenzione: dal primo gennaio, insieme con il Codice in materia di protezione dei dati personali, sono già in vigore le norme sull'adozione delle informative orali o scritte, sulla redazione di nomine ad incaricati e responsabili e sulla regolamentazione dei diritti degli interessati.
Il decreto-legge è stato emanato il 9 novembre dal Presidente della Repubblica su proposta del Presidente del Consiglio, del Ministro per i rapporti con il Parlamento e del Ministro dell'economia e delle finanze, ed entra in vigore da oggi. Il provvedimento è ritenuto necessario data "la straordinaria necessità ed urgenza di provvedere alla proroga o al differimento di termini previsti da disposizioni legislative, concernenti adempimenti di soggetti ed organismi pubblici, al fine di consentire una più concreta e puntuale attuazione dei medesimi adempimenti, nonché per corrispondere a pressanti esigenze sociali ed organizzative".
La gazzetta ufficiale (GU n. 264 del 10-11-2004)
22 giugno 2004
Il DPS slitta al 31 dicembre 2004!
Il DPS è prorogato per decreto legge fino al 31 dicembre 2004. Inoltre chi, per certificate ragioni, non potrà adottare le misure di sicurezza sulla privacy entro quella data avrà tempo fino al 31 marzo 2005. Il decreto legge è stato presentato dal ministro della Giustizia, Roberto Castelli, e approvato ieri dal Consiglio dei ministri. Il provvedimento interviene anche su altre scadenze in materia di Ordini professionali e di affidamento dei minori. Per quanto riguarda la riservatezza dei dati personali, il decreto interviene sull'articolo 180 del Codice della privacy.
Perché la proroga?
Le novità introdotte dal nuovo Codice sulla privacy, come dichiarato nella nella relazione di accompagnamento al decreto legge, hanno determinato in materia di sicurezza "un mutamento del quadro normativo di notevole portata", poiché si tratta di "incombenze di elevata complessità e delicatezza", che rendono necessario più tempo, soprattutto per "gli enti di ampie dimensioni".
Il comunicato stampa del Consiglio dei ministri
11 giugno 2004
Nuovo documento del Garante su Privacy e giornalismo: alcuni chiarimenti in risposta a quesiti dell’Ordine dei giornalisti
Il documento pubblicato è una guida pratica che cerca di fornire indirizzi e risposte ad alcuni problemi spinosi che le redazioni si trovano spesso ad affrontare: autonomia e responsabilità del giornalista; interesse pubblico ed essenzialità dell’informazione; accesso alle informazioni detenute dalle pubbliche amministrazioni; diffusione di fotografie; nomi delle persone nelle cronache giudiziarie; dati sulla salute e sulla vita sessuale.
I chiarimenti riguardano, fra l’altro, la tutela assoluta dei minori, la trasparenza delle fonti pubbliche, ilcorretto uso di fotografie e foto segnaletiche, i divieti e i rischi della diffusione dei dati sulla salute, i rapporti tra cronaca e giustizia, la privacy "attenuata" per i personaggi pubblici.
Fonte: sito del garante.
3 giugno 2004
Imprese italiane ed export di dati personali
Il garante ha effettuato un'indagine su 50 multinazionali che operano in Italia per verificare quali sono i dati personali oggetto di trasferimento all'estero e in che modo questi vengono trattati allo scopo. I dati dei dipendenti sono risultati i più trasferiti, seguiti da quelli dei clienti, delle società concorrenti e dei fornitori.
Normalmente i dati personali sono stati trasferiti soltanto dopo avere acquisito il consenso degli interessati, ma solo il 5% delle società interpellate hanno utilizzato le clausole contrattuali standard indicate dalla Commissione europea.
Il trasferimento all'estero dei dati personali è consentito, dalla normativa comunitaria ed italiana, solo se il livello di protezione garantito dal Paese di destinazione è adeguato. Si possono, invece, trasferire i dati verso Paesi che non garantiscano tale livello di protezione solo con il consenso degli interessati o sulla base di altri presupposti di liceità (esecuzione obblighi derivanti da un contratto, salvaguardia della vita e dell'incolumità di un terzo, investigazioni difensive etc.) oppure con l'autorizzazione dell'Autorità per la privacy del Paese di partenza dei dati. Al di fuori di questi casi il trasferimento è vietato.
Fonte: sito del garante.
24 maggio 2004
Nuova bozza di regolamento per Comuni ed Enti locali
Le associazioni dei Comuni e degli Enti locali, in collaborazione con il Garante, hanno elaborato uno schema tipo di Regolamento per il trattamento dei dati sensibili e giudiziari che, dopo il parere positivo dell’Autorità, costituirà lo schema tipo al quale Comuni e Comunità montane dovranno far riferimento.
Entro il 30 settembre i Comuni e gli altri Enti locali devono infatti approvare un Regolamento che individui i tipi di dati trattati e le operazioni con essi eseguibili (art.20, art. 181 del D.lg. 196/2003). La normativa sulla protezione dei dati personali stabilisce che tale Regolamento debba essere sottoposto al parere del Garante o essere conforme agli schemi tipo approvati dallo stesso.
Gli Enti locali potranno esprimere le proprie osservazioni e formulare suggerimenti sulla bozza dello schema tipo entro il 15 giugno collegandosi al sito Internet dell’Anci. Una volta approvato dal Garante, gli enti potranno utilizzare lo schema tipo, come ricordato, entro il 30 settembre.
Fonte: sito del garante.
13 maggio 2004
Riflessioni del Garante sui criteri di redazione
Il Garante pubblica le prime riflessioni sui criteri di redazione del DPS, in vista del 30 giugno, termine ultimo per la redazione del Documento Programmatico sulla Sicurezza per il 2004. Il documento è disponibile nel sito del garante.
25 aprile 2004
Nuovi chiarimenti del Garante sui trattamenti da notificare
Dopo il provvedimento che ha escluso la notificazione per alcuni trattamenti di dati personali (Provv. n. 1/2004 del 31 marzo 2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81), l'Ufficio del Garante pubblica alcuni chiarimenti per il settore privato (imprese, banche, assicurazioni, professionisti, enti no-profit) su ulteriori trattamenti che non devono essere notificati in base alla giusta interpretazione del Codice sulla privacy. Il documento è disponibile nel sito del garante.
25 marzo 2004
La consegna del DPS è stata prorogata fino al 30 giugno 2004
Con una nota ufficiale, il Garante della Privacy ha reso noto che la scadenza per la stesura del Documento Programmatico sulla Sicurezza del 2004 cadrà il 30 giugno, in linea con le tempistiche per l'adeguamento tecnico.
Per i prossimi anni la scadenza per l'aggiornamento del documento rimane il 31 marzo.
|
