Attività ispettiva Garante gen-giu 2019

L’Autorità di Controllo italiana – Garante Privacy informa, tramite una apposita deliberazione, delle programmate attività ispettive per il periodo in corso (gennaio-giugno 2019).

In riferimento a profili di interesse generale per categorie di interessati, sono stati previsti alcuni accertamenti in ambiti particolari:

  • trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici;
  • trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
  • trattamenti di dati personali effettuati da Istituti Bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
  • trattamenti di dati personali effettuati da società per attività di marketing;
  • trattamenti di dati personali effettuati da Enti Pubblici, con riferimento a banche dati di notevoli dimensioni;
  • trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.

Sono inoltre previsti controlli nei confronti di soggetti – pubblici e privati – appartenenti a categorie omogenee, relativamente a:

  • presupposti di liceità del trattamento;
  • condizioni per il consenso, qualora il trattamento sia basato su tale presupposto;
  • rispetto dell’obbligo dell’informativa;
  • durata della conservazione dei dati.

Facebook, passwords in chiaro

Giunge notizia che Facebook abbia mantenuto, per anni, milioni di password dei suoi utenti in chiaro, alla portata dei suoi dipendenti.

Nel post ci illustrano come sia importante, per Facebook, la sicurezza dei propri utenti, come essi debbano cambiare spesso la propria password, e bla bla bla.

Purtroppo la memorizzazione delle password in chiaro è una pratica difficile a morire; da essa scaturiscono enormi problemi di sicurezza a danno degli utenti, specialmente quando le stesse credenziali consentono (come avviene con Facebook) di autenticarsi ad innumerevoli servizi esterni.

Per non parlare di coloro che utilizzano sempre la stessa password.

GDPR e sanità, le regole del Garante per studi medici, farmacie ed aziende sanitarie

L’Autorità di Controllo italiana (Garante Privacy), in apposito provvedimento, ha specificato le regole da adottare da parte di medici, farmacie ed ASL.

Come sapevamo, il medico non deve più chiedere il consenso per tutti i trattamenti che riguardano finalità di cura.

Si presti però estrema attenzione al fatto che trattamenti diversi da questa specifica finalità necessitano di altra base giuridica (o del relativo consenso).

Da evidenziare la precisazione della Autority che in ambito sanitario è sussistente, in linea generale, l’obbligo di tenuta del registro dei trattamenti; pertanto sia singoli professionisti, pediatri, studi medici associati, ospedali privati, case di cura, RSA, aziende sanitarie, farmacie debbono avere il registro dei trattamenti.

Per quanto riguarda il DPO, il singolo medico, le farmacie, parafarmacie ed ortopediche non sono tenute alla nomina; essa è invece richiesta a studi medici associati, case di cura, ospedali privati, centri diagnostici, RSA, centri chirurgici e tutti coloro che effettuano trattamenti sanitari in larga scala.

Per approfondimenti segnalo i miei post precedenti: studi medici e DPOsoggetti privati obbligati alla nomina del DPO.

Contattateci per avere supporto alla compilazione del registro dei trattamenti o per il approfondimenti in merito al ruolo di DPO in ambiti sanitari

Perchè aggiornare il sistema operativo?

Domanda ricorrente: ma perchè debbo aggiornare i miei rodati PC Windows XP, che funzionano benissimo, con l’ultima versione di Windows? Windows 10 non ci gira, quindi debbo anche riacquistare l’hardware!

Risposta: perchè spesso vengono alla luce gravissime falle nel sistema operativo, come questa a danno di Windows 7 32 bit – peraltro ancora aggiornato sino a gennaio 2020.

Ovviamente tutti gli OS Microsoft – ma anche tutti gli altri OS – che non siano più mantenuti ed aggiornati, non sono adeguati a mantenere in sicurezza gli eventuali dati personali contenuti nel sistema informativo.

A meno che non siate una banca e Microsoft vi offra ancora supporto – a caro prezzo – per Windows XP “Bancomat OS”.

Data Centers PA, da 11.000 a 7

Il team per la trasformazione digitale propone di consolidare in 7 datacenters strategicamente dislocati nel territorio nazionale tutti gli 11.000 “datacenters” attualmente frammentati presso tutte le circa 22.000 P.A. italiane.

Ottima proposta, che probabilmente qualsiasi esperto di IT avrebbe saputo dare (gratis) al Governo.

Il problema rimane di ordine attuativo; dapprima non tutti i servizi possono essere “delocalizzati”, per vari motivi, e penso, per esempio, alla disponibilità di banda presso i tantissimi Comuni remoti italiani.

Inoltre occorrerà convincere gli 11.000 responsabili IT degli 11.000 datacenters attuali.

La proposta riguarda – per adesso – solamente la co-location delle macchine fisiche; in pratica si tratta di trasferire il server dallo scantinato della P.A. nel datacenter più vicino previsto.

Proporrei di andare oltre, e di razionalizzare non solo la co-location ma anche i relativi servizi; i 5.497 Comuni italiani con meno di 5.000 abitanti debbono avere 5.497 web servers oppure ne possono bastare un centinaio?

E questo famoso riuso del software per le PA, lo attuiamo in concreto?