Le principali notizie dal mondo della privacy – novembre 2024
Caso Morata e sindaco di Corbetta
Il mese scorso i principali quotidiani italiani e i vari telegiornali hanno dato notizia delle querelle tra Alvaro Morata, giocatore del Milan ed il sindaco di Corbetta comune dell’hinterland milanese, in particolare il sindaco ha annunciato sui social che il giocatore si sarebbe trasferito nel comune.
Il giocatore ha lamentato una violazione della propria privacy.
Come sappiamo la diffusione di un dato personale viola la normativa sulla privacy, il comune di residenza è un dato personale nella comunicazione sui social del trasferimento del giocatore del Milan Alvaro Morata è ravvisabile tale violazione.
Il tutto pare essersi concluso senza ulteriori strascichi legali, il giocatore ha trovato casa in un altro comune ed il sindaco di Corbetta, per niente dispiaciuto, ha salutato evidenziando la sua fede interista.
Adozione Direttiva UE NIS2
È stato pubblicato nella Gazzetta Ufficiale n. 230 del 1 ottobre 2024 il D.lgs. 138/2024 che recepisce la direttiva Ue NIS2 n. 2022/2555, entrata in vigore il 16 ottobre 2024 ed efficacia dal 18 ottobre 2024.
La Direttiva, nella sua ultima versione, mira a garantire un livello elevato di sicurezza informatica in ambito nazionale proteggendo le reti e i sistemi informativi utilizzati per fornire servizi essenziali in diversi settori chiave.
I soggetti pubblici e privati che operano in determinati settori considerati critici per il funzionamento del sistema economico e sociale saranno obbligati ad adottare precise misure di sicurezza volte a prevenire, resistere a rimediare agli incidenti informatici.
Sono considerati settori ad alta criticità:
- energia;
- trasporti;
- settore bancario;
- infrastrutture dei mercati finanziari;
- settore sanitario;
- acqua potabile;
- acque reflue;
- infrastrutture digitali;
- gestione dei servizi TIC;
- spazio.
Sono considerati (altri) settori critici:
- servizi postali e di corriere;
- gestione dei rifiuti;
- fabbricazione, produzione e distribuzione di sostanze chimiche;
- produzione, trasformazione e distribuzione di alimenti;
- fabbricazione; fornitori di servizi digitali;
- ricerca.
Gli allegati III e IV indicano le amministrazioni pubbliche soggette alla normativa.
Il D. lgs si applica altresì, indipendentemente dalle loro dimensioni, ad esempio ai prestatori di servizi fiduciari; ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio.
Infine, il D.lgs. prevede una ulteriore distinzione fondamentale tra soggetti essenziali e soggetti importanti sulla base del settore in cui operano e di criteri dimensionali.
In calce uno schema classificabili come “essenziali” o “importanti”.
Si può quindi fissare il cronoprogramma esecutivo degli adempimenti.
Assessment
Entro il 31 dicembre è necessario effettuare un assessment per appurare e programmare le attività necessarie per l’adeguamento alla direttiva U.E.
Auto registrazione
Dal 1° gennaio al 28 febbraio di ogni anno, i soggetti pubblici e privati devono registrarsi sulla piattaforma digitale fornita dall’Autorità nazionale competente NIS, tale compito è stato affidato all’’Agenzia per la cybersicurezza nazionale.
Entro il 31 marzo 2025, l’agenzia per la cybersicurezza nazionale preparerà l’elenco dei soggetti essenziali e dei soggetti importanti.
Adozione di misure tecniche, operative e organizzative
Tra queste si possono annoverare, ad esempio, la predisposizione di una policy di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, la predisposizione di una procedura di gestione degli incidenti (anche per eseguire le notifiche di incidente o di informazioni pertinenti), le aziende dovranno assicurare la continuità operativa (organizzare la gestione del backup, il ripristino in caso di disastro, procedure di gestione delle crisi).
Notifica degli incidenti
Nella vigente normativa definisce che l’incidente è definito come un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi.
Un incidente è considerato significativo se:
- ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
- ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
La notifica obbligatoria, ogni incidente che ha un impatto significativo va notificato a CSIRT Italia.
Fonte: Emlex Milano
Condividi