Privacy : il Garante pubblica un parere in merito alle istanze di accesso civico.

Il Garante ha pubblicato un parere su una istanza di accesso civico.

Il Garante precisa:


La disciplina di settore in materia di accesso civico contenuta nel d. lgs. n. 33/2013 prevede che l’accesso civico è istituto preordinato a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» e che, in tale contesto, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2). 

La medesima normativa sancisce che l’accesso civico è “rifiutato”, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a)).

Si ricorda, in proposito, che per «dato personale» deve intendersi «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del Regolamento).

La predetta disciplina di fonte europea prevede, inoltre, che il trattamento dei dati personali debba avvenire nel rispetto dei principi indicati dall’art. 5, fra cui quello di «minimizzazione dei dati», secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (par. 1, lett. c). 

In tale quadro, sotto il profilo procedurale, occorre evidenziare che l’amministrazione cui è indirizzata la richiesta di accesso civico è tenuta a coinvolgere i controinteressati, individuati ai sensi dell’art. 5-bis, comma 2 (art. 5, comma 5, del d. lgs. n. 33/2013).

Il Garante deve essere sentito dal Responsabile della prevenzione della corruzione e della trasparenza nel caso di riesame a esso presentato, laddove l’accesso sia stato negato o differito per motivi attinenti alla tutela della «protezione dei dati personali, in conformità con la disciplina legislativa in materia» (artt. 5, comma 7; 5-bis, comma 2, lett. a)).

Si fa presente, in primo luogo, che nelle Linee guida dell’Anac in materia di accesso civico è indicato che nella risposta alle istanze di accesso civico «l’amministrazione è tenuta a una congrua e completa, motivazione, tanto più necessaria in una fase sicuramente sperimentale quale quella che si apre con le prime richieste di accesso. La motivazione serve all’amministrazione per definire progressivamente proprie linee di condotta ragionevoli e legittime, al cittadino per comprendere ampiezza e limiti dell’accesso generalizzato, al giudice per sindacare adeguatamente le decisioni dell’amministrazione» (parr. 4.2, 5.3; nonché «Allegato. Guida operativa all’accesso generalizzato», n. 13).

Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali del soggetto controinteressato, in base al quale decidere se rifiutare o meno l’accesso ai documenti richiesti. 

Va, infatti, considerata la tipologia e la natura dei dati e delle informazioni personali contenuti nei documenti richiesti e la possibilità di determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà del soggetto controinteressato, con possibili ripercussioni negative sul piano professionale, personale e sociale; tenendo anche conto delle ragionevoli aspettative di confidenzialità in relazione al trattamento dei dati personali al momento in cui questi sono stati raccolti dall’Istituto, nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti dalla eventuale conoscibilità da parte di chiunque dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

L’articolo completo dal sito del Garante

Fonte
Garante per la Protezione dei Dati Personali

10 Dic 2018

Privacy : lavoro, vanno protetti i dati degli iscritti ai sindacati .

Lavoro, vanno protetti i dati degli iscritti ai sindacati

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili  – ha osservato  l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro  può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo  o inibitorio.

L’Autorità  si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

Fonte
Garante per la Protezione dei Dati Personali

7 Dic 2018

Nuova release 5.1 di Endian UTM

Da Plug&Connect all’ambiente Docker, la release fa evolvere il concetto di UTM, all’insegna di potenza e facilità di utilizzo.

Da oggi è disponibile la release 5.1 di Endian UTM, appliance di sicurezza integrata caratterizzata dalla completezza delle sue caratteristiche tecniche e dalla facilità di utilizzo.

Come spiega Diego Gagliardo, COO di Endian, “la release 5.1 racchiude miglioramenti e novità importanti dal punto di vista dell’evoluzione anche concettuale di questo tipo di prodotti – ormai ‘tradizionali’ all’interno dello scenario della sicurezza – con nuove caratteristiche poco convenzionali rispetto al settore, e ispirate dai rapidi cambiamenti di scenario che stiamo vivendo. L’innovazione passa anche dal valore aggiunto portato dalla ricerca di Endian in settori specifici e confinanti (come quello dell’industria), con l’acquisizione di soluzioni che ora convergono  anche sull’UTM – a partire dalla semplicità di utilizzo – con un percorso dove il meglio delle scelte tecnologiche diventa trasversale alle linee di prodotto. Parliamo per esempio della tecnologia Plug&Connect”.

Il processo di aggiornamento è automatizzato ed estremamente soft, senza bisogno di switch channel, e la nuova release conta ben 72 nuovi pacchetti fra i quali l’estensione di supporto e compatibilità con i modem 3G/4G di nuova generazione; potenziamento dei moduli IPS e IDS, e un generale miglioramento della gestione dei certificati. Ma le tre novità principali riguardano il nuovo nDPI (Application Firewall), la EasyVPN, e l’introduzione dell’ambiente Docker.

L’application firewall è stato completamente riscritto per ottenere una architettura più efficiente e stabile – agevolata anche dal passaggio dal Kernel Space allo User Space.

Oltre a consumare molte meno risorse, l’applicazione ha oggi una capacità di rilevamento potenziata rispetto al suo predecessore. Basti pensare al caso di Skype, che passa da una detection rate del 62% al 94%, oppure i miglioramenti su altre app molto popolari come YouTube e Netflix.

Plug&Connect, già presente in altre soluzioni Endian, sbarca anche sull’UTM. Come dice il nome stesso, questa tecnologia permette di ridurre drasticamente passaggi, complessità e tempo necessario alla configurazione della VPN gateway to gateway, allineando così anche questo prodotto alla facilità di utilizzo distintiva di altre linee Endian.

Infine, arriva per la prima volta in un prodotto UTM l’ambiente Docker: che si traduce nella possibilità di ospitare all’interno dell’UTM stessa applicativi e microservizi di terze parti. In questa direzione, Endian è già in ascolto di tutti i produttori che vogliono partecipare al programma di integrazione all’interno del progetto.

Difatti, oltre alla ovvia comodità di avere più applicativi nello stesso ecosistema, la soluzione consente di portare questi stessi applicativi all’interno dell’”ombrello” di sicurezza dell’UTM, unendo dunque – ancora una volta – efficienza e facilità di utilizzo. Le opportunità di valorizzazione  diventano molte, a seconda della prerogativa della propria organizzazione: per le strutture articolate, l’ambiente Docker consentirebbe per esempio di distribuire in maniera centralizzata micro-servizi e applicativi, facendoli girare sul gateway.

5 Dic 2018

Privacy, I chiarimenti del Garante : valutazione d’impatto sulla protezione dei dati

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

 

Il Garante ha pubblicato l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto.

Vedi l’elenco dal sito del Garante

Fonte
Garante per la Protezione dei Dati Personali

3 Dic 2018

SolarWinds : Backup e Recovery in cloud

 

SolarWinds Backup e Recovery : una soluzione di backup in cloud semplice da installare, con un uso estremamente contenuto della banda grazie alla tecnologia usata e alla elevata compressione dei dati , con una retemption illimitata e usufruibile in modalità “pay per use“.

Ideale non solo per tutti i pc mobile che lavorano all’esterno della rete aziendale o su reti non direttamente connesse con la rete aziendale, ma anche valida alternativa alle classiche soluzioni di backup principale o come backup secondario effettuato in un luogo remoto (diversificazione e delocalizzazione dei backup).

Potete effettuare il backup e il ripristino a livello di file, applicazione o macchina e proteggere sia le macchine fisiche, sia quelle virtuali.

Caratteristiche

  • True Delta: teniamo traccia delle modifiche a livello di blocco consentendo backup leggeri e rapidi. In questo modo è più semplice effettuare backup più frequenti e migliorare gli obiettivi del punto di ripristino, minimizzando quindi la perdita di dati in caso di disastro.
  • Acceleratore di Backup: velocizzate i backup di file di grandi dimensioni, applicazioni e database tenendo traccia in modo automatico delle modifiche apportate ai file tra un backup e l’altro. Ciò mantiene la finestra di backup breve e migliora le prestazioni globali.
  • Utilizzo di risorse minimo: tutti i backup e i ripristini sono leggeri, riducendo al minimo l’utilizzo di risorse.
  • Supporto sistema virtuale: il sistema supporta in modo nativo sia le piattaforme VMware ESX sia Hyper-V.
  • Ripristino rapido: l’architettura della caratteristica di backup e disaster recovery consente di ripristinare sia server fisici, sia virtuali. Il sistema sceglie automaticamente la fonte di ripristino più rapida.
  • Archiviazione dati: andate oltre il modello standard di conservazione e garanzia di conformità con i criteri di archiviazione di dati multipli.
  • Gestione utilizzo della banda: limitazione della larghezza della banda di caricamento e download entro una finestra di backup definita dall’utente

Sicurezza eccezionale

  • Crittografia a chiave privata: solo il proprietario della chiave privata puo’ ripristinare e accedere ai dati. Ciò evita eventuali accessi non autorizzati e protegge i dati dell’azienda.
  • Crittografia end-to-end: tutti i backup vengono crittografati in loco, quindi trasferiti nel cloud con connessioni sicure. I dati vengono decifrati solo durante un ripristino presso l’azienda.
  • Standard di crittografia avanzata (AES): tutti i dati, a riposo o in movimento, sono crittografati con crittografia AES a 128 bit.
  • Data center in Italia , conformi con SSAE o certificati ISO.
  • Protezione password: sfruttamento della protezione con password lato client che può limitare le modifiche o le funzioni ai soli ripristini

Possibilità di provarlo in trial.

29 Nov 2018