- Garante Privacy – Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali
- Blitz nei cantieri, trovato anche operaio che manovrava la gru senza abilitazione
- Grave in ospedale dopo il colpo di calore in cantiere, Spinelli: “Fondamentale la sicurezza sui luoghi di lavoro, evitare il rischio caldo”
- Sicurezza: il DVR per chi guida mezzi aziendali stradali
- Alcol e lavoro: costruzioni e trasporti tra i settori più a rischio
- Lavoro notturno e lavoro a turni: effetti sulla salute e prevenzione
- Sanità: per le ricette transfrontaliere servono maggiori garanzie
- Telemarketing, Garante: il “no” dell’utente va registrato subito
- Whistleblowing: sì del Garante privacy al recepimento della direttiva Ue
- Garante privacy: illecite le email pubblicitarie senza consenso Inserire un link per disiscriversi non rende l’invio lecito
- Lavoro: Garante Privacy ribadisce il no al controllo a distanza, sanzionata un’azienda
- Obblighi informativi per le erogazioni pubbliche
- Obblighi informativi per le erogazioni pubbliche #2
- La sicurezza di trabattelli, piccoli trabattelli e attrezzature speciali
- Le responsabilità penali dell’RSPP in relazione agli appalti
- Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
- Sicurezza sul lavoro: cambia la formazione in azienda
- Formazione: cosa succede in assenza del nuovo accordo Stato Regioni?
- Amazon ha bloccato alcuni progetti per migliorare la sicurezza sul lavoro
- Gli utenti chiedevano di esercitare il diritto all’oblio ma i loro dati venivano pubblicati online: sanzionato Google per violazione della privacy
Linee-guida per una corretta adozione del GDPR
Il CNIL (Garante Privacy Francese) ha emanato una guida pratica sulla gestione della sicurezza dei dati personali e sulla valutazione dei rischi. Ecco il risultato, in italiano, da prendere in considerazione per la propria adozione del GDPR.
Trasparenza
- E’ prevista l’informativa per ogni trattamento di dati personali?
- E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?
Autenticazione
- E’ previsto un unico ID-utente (login) per ogni utente?
- Sono previste e applicate delle regole sulla creazione delle password?
- E’ chiesto a ogni utente di cambiare la password al primo utilizzo?
- E’ limitato il numero dei tentativi di accesso agli account?
Access Management
- Sono definiti dei profili di autorizzazione per i diversi trattamenti?
- Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?
- Viene eseguito un aggiornamento annuale delle autorizzazioni?
Log System e gestione degli incidenti
- E’ presente un log system?
- I lavoratori e altri utenti sono stati informati del funzionamento del log system?
- Il sistema di log e le informazioni di log sono protette?
- E’ presente una procedura per la notifica del Data Breach?
Sicurezza della postazione di lavoro
- E’ prevista le chiusura automatica delle sessioni di lavoro?
- Il sistema antivirus è aggiornato regolarmente?
- E’ installato un sistema firewall?
- E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?
Sicurezza dei dispositivi portatili
- Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)
- Vengono effettuati regolarmente backup e sincronizzazione dei dati?
- E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?
Protezione della rete locale
- Limitare gli accessi alla rete allo stretto necessario.
- Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?
- La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?
Sicurezza del server
- Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.
- Installare aggiornamenti importanti senza ritardo
- E’ facilitata la disponibilità dei dati?
Sicurezza dei siti web
- Sono utilizzati protocolli TLS o HTTPS?
- E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)
- E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)
- E’ presente l’informativa e il banner sull’utilizzo dei cookie?
Continuità Operativa
- Viene eseguito regolarmente il back up?
- I dispositivi di back up sono conservati in un luogo sicuro?
- Sono previste delle misure di sicurezza per il trasporto dei backup?
- E’ organizzata e verificata regolarmente la Continuità Operativa?
Procedure di archiviazione
- Sono implementati specifici metodi di accesso ai dati archiviati?
- Gli archivi obsoleti sono cancellati in modo sicuro?
Aggiornamento e cancellazione dei dati personali
- Gli interventi di manutenzione sono registrati?
- Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?
- Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?
Gestione dei responsabili del trattamento dei dati personali
- Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?
- Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?
- Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)
Sicurezza delle comunicazioni
- I dati personali sono cifrati prima dell’invio?
- Viene verificato chi sia il giusto destinatario?
- Le informazioni segrete sono inviate separatamente e con differente canale?
Sicurezza fisica
- Gli accessi sono limitati tramite porte e armadi chiusi a chiave?
- E’ presente un sistema di allarme e viene verificato periodicamente?
Crittografia dei dati
- Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?
- Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?
Fonte: wps-group.it