ULTIME NEWS
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
Linee-guida per una corretta adozione del GDPR
Il CNIL (Garante Privacy Francese) ha emanato una guida pratica sulla gestione della sicurezza dei dati personali e sulla valutazione dei rischi. Ecco il risultato, in italiano, da prendere in considerazione per la propria adozione del GDPR.
Trasparenza
- E’ prevista l’informativa per ogni trattamento di dati personali?
- E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?
Autenticazione
- E’ previsto un unico ID-utente (login) per ogni utente?
- Sono previste e applicate delle regole sulla creazione delle password?
- E’ chiesto a ogni utente di cambiare la password al primo utilizzo?
- E’ limitato il numero dei tentativi di accesso agli account?
Access Management
- Sono definiti dei profili di autorizzazione per i diversi trattamenti?
- Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?
- Viene eseguito un aggiornamento annuale delle autorizzazioni?
Log System e gestione degli incidenti
- E’ presente un log system?
- I lavoratori e altri utenti sono stati informati del funzionamento del log system?
- Il sistema di log e le informazioni di log sono protette?
- E’ presente una procedura per la notifica del Data Breach?
Sicurezza della postazione di lavoro
- E’ prevista le chiusura automatica delle sessioni di lavoro?
- Il sistema antivirus è aggiornato regolarmente?
- E’ installato un sistema firewall?
- E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?
Sicurezza dei dispositivi portatili
- Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)
- Vengono effettuati regolarmente backup e sincronizzazione dei dati?
- E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?
Protezione della rete locale
- Limitare gli accessi alla rete allo stretto necessario.
- Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?
- La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?
Sicurezza del server
- Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.
- Installare aggiornamenti importanti senza ritardo
- E’ facilitata la disponibilità dei dati?
Sicurezza dei siti web
- Sono utilizzati protocolli TLS o HTTPS?
- E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)
- E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)
- E’ presente l’informativa e il banner sull’utilizzo dei cookie?
Continuità Operativa
- Viene eseguito regolarmente il back up?
- I dispositivi di back up sono conservati in un luogo sicuro?
- Sono previste delle misure di sicurezza per il trasporto dei backup?
- E’ organizzata e verificata regolarmente la Continuità Operativa?
Procedure di archiviazione
- Sono implementati specifici metodi di accesso ai dati archiviati?
- Gli archivi obsoleti sono cancellati in modo sicuro?
Aggiornamento e cancellazione dei dati personali
- Gli interventi di manutenzione sono registrati?
- Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?
- Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?
Gestione dei responsabili del trattamento dei dati personali
- Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?
- Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?
- Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)
Sicurezza delle comunicazioni
- I dati personali sono cifrati prima dell’invio?
- Viene verificato chi sia il giusto destinatario?
- Le informazioni segrete sono inviate separatamente e con differente canale?
Sicurezza fisica
- Gli accessi sono limitati tramite porte e armadi chiusi a chiave?
- E’ presente un sistema di allarme e viene verificato periodicamente?
Crittografia dei dati
- Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?
- Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?
Fonte: wps-group.it
