wp_13572714 – Portaluppi Cyber&Privacy

ICT, GDPR, PRIVACY!

Durante lo svolgimento lavorativo per l’ICT-Information and Communications Technology, ossia la Tecnologia dell’Informazione e della Comunicazione, incontriamo la Compliance aziendale, cioè l’insieme di processi e procedure che un’azienda implementa per assicurarsi di rispettare leggi, regolamenti e normative pertinenti al suo settore. I principi relativi al trattamento dei dati personali sono posti al centro del Regolamento Generale sulla Protezione dei Dati (GDPR). L’art. 5 del GDPR fissa sette principi chiave relativi al trattamento dei dati personali, che devono essere rispettati dagli operatori economici (titolari e responsabili del trattamento) quando trattano dati personali:

Liceità, correttezza e trasparenza;
Limitazione della finalità;
Minimizzazione dei dati;
Esattezza;
Limitazione della conservazione;
Integrità e riservatezza;
Responsabilizzazione.

I suddetti principi di trattamento dei dati personali costituiscono il punto di partenza per la conformità al GDPR. Si tratta di principi fondamentali che mirano a il rispetto delle norme sulla protezione dei dati personali e a tutelare i diritti delle persone (soggetti interessati).

Comprendere i principi del trattamento dei dati personali è essenziale per capire gli obblighi del GDPR. Prima di qualsiasi trattamento di dati personali, le aziende (titolari del trattamento) devono chiedersi se tale trattamento sia lecito, corretto, trasparente, necessario per raggiungere uno scopo specifico, se i dati personali in possesso della società siano accurati, se siano conservati solo per il tempo strettamente necessario per realizzare una specifica finalità e se siano state adottate misure adeguate per mantenere i dati personali al sicuro.

Tutte le informazioni rivolte agli interessati devono essere rese disponibili in un unico luogo o in un documento completo, in modo conciso e trasparente, per evitare la saturazione delle informazioni. Il Regolamento Generale sulla Protezione dei Dati non specifica come debba essere definito questo documento, ma nella prassi viene comunemente chiamato informativa privacy o dichiarazione sulla privacy.

Le informazioni contenute in tale documento devono essere chiaramente distinte da altre informazioni non correlate alla protezione dei dati personali, come i termini contrattuali o le condizioni generali di utilizzo.

Molto spesso gli imprenditori commettono errori sul trattamento dei dati personali nell’ambito, ad esempio, delle condizioni generali di utilizzo. L’informativa sulla privacy deve essere un documento separato, facilmente e pubblicamente accessibile agli interessati, ad esempio in calce al sito web, su ogni sito web.

Alcune delle misure e degli strumenti utili per dimostrare la compliance rispetto al regolamento generale sulla protezione dei dati

Svolgimento di un’analisi approfondita delle attività di trattamento nell’organizzazione/società e una mappatura dei dati che consenta l’organizzazione e la gestione dei dati per scopi operativi e il monitoraggio dei flussi di dati;
Implementazione di misure tecniche e organizzative adeguate
Applicazione del principio di privacy by default
Attuazione di norme e informative sulla privacy appropriate; disporre di una informativa privacy concisa, accessibile e trasparente, disponibile al pubblico, e di policy chiare di conservazione dei dati, policy di cancellazione dei dati, policy sulle richieste di accesso ai dati e policy sulla gestione delle richieste di diritti di protezione dei dati;
Stipulare contratti chiari con i responsabili del trattamento che agiscono per conto del titolare del trattamento
Conservare i registri delle attività di trattamento, ove opportuno;
Nominare un responsabile della protezione dei dati e garantire il suo tempestivo coinvolgimento in tutte le questioni relative alla protezione dei dati.
Adottare policy interne e condurre valutazioni d’impatto sulla protezione dei dati.
Compliance a codici di condotta o schemi di certificazione;
Registrare e, se del caso, segnalare le violazioni dei dati personali.

Gli obblighi derivanti dal principio di responsabilizzazione si applicano e si evolvono nel tempo, e il titolare del trattamento deve costantemente rivedere e aggiornare le proprie misure.

Se l’organizzazione/società dispone di un sito web ufficiale, il titolare del trattamento può utilizzarlo come primo punto di riferimento per gli utenti che desiderano saperne di più sulla policy privacy dell’organizzazione/società (titolare del trattamento) e sui dettagli di contatto del responsabile della protezione dei dati. Queste informazioni devono essere chiaramente visibili e facilmente accessibili.

Se la società tratta i dati personali attraverso i cookie sul sito web, in particolare allo scopo di generare informazioni analitiche che possono essere successivamente utilizzate per la pubblicità mirata, ciò deve essere chiaramente visibile ai visitatori del sito web quando vi accedono per la prima volta. È essenziale consentire ai visitatori del sito web di rinunciare facilmente ai cookie senza alcuna riduzione della qualità del servizio fornito dal sito stesso.

Cos’è la protezione tecnologica e integrata dei dati ?

La privacy by design e by default è parte integrante dell’attuazione del principio di responsabilizzazione. Si tratta di integrare la privacy in tutte le attività di trattamento dei dati. La privacy by design e by default non è un principio a sé stante, ma comprende tutti i principi di cui all’articolo 5 del Regolamento Generale sulla Protezione dei Dati e le misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati personali contro i rischi e ad assicurare che la società tratti solo i dati personali che sono necessari per ogni finalità specifica del trattamento.

Le società devono prendere in considerazione i principi di privacy by design e by default prima di iniziare a trattare i dati personali. Le società sono obbligate a implementare i principi di privacy by design e by default prima del trattamento, ma anche durante l’intero trattamento, verificando regolarmente l’efficacia delle misure di sicurezza scelte. Le misure che possono essere appropriate sono la riduzione della quantità di dati raccolti, l’uso di tecniche di pseudonimizzazione e il miglioramento delle misure di sicurezza.

Nel prossimo articolo andremo ad approfondire alcuni aspetti, buona lettura.

Data Protection

Il Comitato europeo per la Protezione dei Dati (EDPB) è un organismo indipendente dell’Unione europea con sede a Bruxelles, il cui scopo è garantire un’applicazione coerente del Regolamento generale sulla Protezione dei Dati (RGPD) e promuovere la cooperazione tra le autorità di protezione dei dati dell’ UE. Il 25 maggio 2018, l’EDPB ha sostituito il gruppo di lavoro “Articolo 29”.

Il ruolo dell’EDPB include le seguenti competenze

Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all’interpretazione e all’applicazione del RGPD,

Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
Adottare pareri volti a garantire la coerenza dell’applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all’applicazione legislativa nel contesto di casi transfrontalieri,
Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.

Presidenza

Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta. La stessa procedura elettorale e lo stesso mandato si applicano ai due vice presidenti.

Membri dell’EDPB

Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).

Le Nuove Tecnologie

I DIRITTI DELLA PERSONALITÀ

La società della Tecnica e dell’Informazione

La tecnologia ha assunto negli ultimi decenni una rilevanza crescente e significativa in tutti i contesti socio-economici.

La diffusione delle tecnologie informatiche, che costituiscono il cuore della società dell’informazione, la rivoluzione tecnologica e sociale degli ultimi anni può essere ricondotta al passaggio dalla società industriale alla società dell’informazione.
L’informatizzazione ha condotto alla formazione di un nuovo modello: la società dell’informazione.
Le tecnologie informatiche e di telecomunicazione assumono un ruolo significativo nello sviluppo delle attività umane. È evidente che la rivoluzione digitale è indissolubilmente connessa con l’evoluzione della società dell’informazione.
La rivoluzione digitale sancisce il passaggio dalla tecnologia meccanica ed
elettronica analogica a quella elettronica digitale, rivoluzione che ha interessato i Paesi industrializzati già a partire dalla metà del secolo scorso.
La rivoluzione digitale procede parallelamente alla cosiddetta rivoluzione informatica, intesa quale processo di cambiamento apportato dalle Tecnologie dell’Informazione e della Comunicazione, in ragione soprattutto dello sviluppo del World Wide Web.
Dreyfus, docente all’Università di Harvard, ha coniato nel 1962 il termine informatica dall’spressione francese information automatique, per indicare la gestione automatica di dati e in formazioni mediante calcolatore. Dagli anni Ottanta del secolo scorso, l’informatica ha trovato larga diffusione nella società.

La società dell’informazione è caratterizzata dalla gestione e dalla ricerca automatizzata delle informazioni, e permea tutte le attività umane. La trasformazione connessa all’elaborazione automatica delle informazioni non si limita infatti alle attività produttive e amministrative,
poiché l’informatica crea il ciberspazio, il mondo virtuale delle reti informatiche.
L’informatica ha conquistato, per certi versi, anche lo spazio fisico attribuendo agli oggetti la capacità di elaborare e comunicare.

Si parla dunque di Internet of Things (internet delle cose) per indicare l’estensione di Internet anche al mondo degli oggetti. Internet of Things descrive un sistema in cui internet è collegato al mondo fisico mediante sensori che consentono alle applicazioni di far “comunicare” gli oggetti. L’identificazione di ciascun oggetto avviene tramite minuscoli transponder a radiofrequenza in essi inseriti, oppure mediante codici a barre o codici grafici bidimensionali impressi sull’oggetto. Le applicazioni riguardano, dunque, la gestione di beni di consumo (durante la produzione, l’immagazzinamento, la distribuzione, la vendita o l’assistenza postvendita), o anche il tracciamento di oggetti.
Comprendere come la sfera giuridica sia stata coinvolta e interessata dalle dinamiche connesse allo sviluppo tecnologico è un approfondimento avvincente.
L’utilizzo di strumenti informatici non ha comportato esclusivamente questioni di carattere tecnico, investendo numerosi ambiti della riflessione giuridica.
Il mutamento della realtà conseguente all’innovazione scientifica e tecnologica investe immediatamente il diritto, tanto che alcune vicende prima ritenute giuridicamente irrilevanti interessano ora il giurista, così come altre, collocate tradizionalmente in una sfera di rilevanza pubblicistica, entrano invece nell’orbita dell’autonomia privata. Fino a poco tempo fa, l’intervento del sistema giuridico si è limitato alla risoluzione di controversie di non eccessiva complessità sociale. Rispetto a esse, è stato sufficiente rimodulare le interpretazioni delle norme esistenti in funzione delle esigenze via via sollevate dal progresso scientifico. La diffusione delle tecnologie informatiche ha richiesto ai legislatori l’emanazione di norme ad hoc, in grado di disciplinare le nuove istanze connesse all’implementazione tecnologica. Il rapporto tra tecnologia e diritto si è configurato in termini complessi sin dall’inizio: innanzitutto, dal punto di vista definitorio, vi è la tradizionale bipartizione nel rapporto tra l’informatica e il diritto, che si risolve nella suddivisione in informatica giuridica e diritto dell’informatica.
Il diritto dell’informatica esamina i problemi giuridici connessi all’utilizzo delle tecnologie di comunicazione e dell’informatica, e gli effetti riconducibili ai comportamenti posti in essere utilizzando le tecnologie nella vita sociale.
Si concretizza nello studio delle vicende giuridiche nel contesto delle nuove tecnologie soprattutto telematiche, e in riferimento alle modalità con cui il progresso tecnologico incide sulla tutela dei dati personali, sulla tutela dei diritti della personalità, sulla conclusione dei contratti del commercio elettronico.
Le aree di studio possono essere così riassunte:
• Tutela dei dati-privacy
• Proprietà intellettuale informatica
• Documenti digitali
• Commercio elettronico (e-commerce)
• Proprietà intellettuale informatica
• Documenti digitali
• Governo elettronico: e-governance
• Reati informatici
La rivoluzione connessa alla società dell’informazione incide in maniera significativa sulla riflessione giuridica. L’attività giuridica è oggetto dell’informatizzazione e non esclusivamente in relazione all’acquisizione di nuovi strumenti di lavoro. Il giurista deve operare in stretta correlazione con gli strumenti informatici e deve contestualmente operare negli ambienti virtuali creati dalla tecnologia.
Su questi presupposti si concretizza la dottrina dell’ informatica giuridica.

L’informatica giuridica è la disciplina che studia l’informatica applicata al diritto, concetrandosi sugli aspetti giuridici della rivoluzione tecnologica, economica e sociale connessi all’informatica.
Con l’espressione informatica giuridica si fa generalmente riferimento al ruolo che gli strumenti informatici rivestono in relazione a molti settori del diritto: dalla gestione di database al processo telematico fino alla possibilità di tradurre a livello di algoritmo schemi di ragionamento tipici dell’argomentazione giuridica (le sentenze).
In alcuni ambiti, le questioni del diritto dell’informatica sono connesse con quelle dell’informatica del diritto e ciò avviene quando il legislatore regola l’uso dell’informatica in alcune attività giuridiche. Si pensi al processo civile telematico, materia in cui il diritto dell’informatica regola e individua le soluzioni organizzative e tecnologiche, oppure al tema dell’informatica nella pubblica amministrazione.
Le vicende che presentano tale duplice profilo di rilevanza sono: il documento informatico, la firma elettronica la circolazione e la tutale degli atti e dei dati informatici.
L’informatizzazione ha avuto un significativo impatto sulla vita sociale, contribuendo da una parte a determinare nuovi rischi e, dall’altra, ad introdurre nuove opportunità per l’economia, la politica e la vita sociale.
Sotto un altro aspetto, l’informatizzazione modifica il lavoro del giurista che si avvale sempre più di frequente degli strumenti informatici.
Al di là delle sia pur necessarie e utili questioni definitorie, è interessante comprendere come l’irrompere della tecnologia, soprattutto informatica, abbia trasformato la prospettiva della riflessione giuridica.
Il tema di analisi prende inizio dai rischi connessi all’impatto delle tecnologie sulla tutela della persona e dei diritti della personalità.

Nel prossimo articolo parleremo delle nuove tecnologie e interessi tutelati, buona lettura.

Cybersecurity

La sicurezza informatica (in inglese cyber security), è l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di confidenzialità, integrità e disponibilità, dei beni o asset informatici.

Un sinonimo che trova talvolta impiego in questo contesto è cybersicurezza, essendo quell’ambito della sicurezza informatica che dipende solo dalla tecnologia: con esso si enfatizzano spesso qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance.

Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc…) a un’organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità.

La sicurezza informatica è un problema molto sentito in ambito economico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti.

L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni, proporzionalmente alla loro diffusione e al ruolo da essi svolto nella collettività.

Sicurezza delle informazioni

Sicurezza informatica non coincide con sicurezza delle informazioni (InfoSec). La prima si rivolge agli asset informatici (impianti, reti, dispositivi, sistemi, applicazioni, servizi), la seconda mira a mettere in sicurezza l’asset “informazione” nelle dimensioni: organizzazione, fisica ed ambientale, logica (cioè tecnologia informatica o telematica). Per la sicurezza delle informazioni la sicurezza informatica è una parte ed è un mezzo, non è la finalità.

Si può sommariamente osservare che:

quando le informazioni sono non digitali allora non riguardano la sicurezza informatica, mentre la sicurezza delle informazioni è interessata;
un’informazione orale (o materializzata unicamente su carta) rimane un’informazione che potrebbe essere necessario mettere in sicurezza senza dover o poter ricorrere alla sicurezza informatica.

Esiste a livello internazionale la norma ISO 27001 finalizzata alla standardizzazione delle modalità adatte a proteggere le informazioni da minacce di ogni tipo, al fine di assicurarne la riservatezza, l’integrità e la disponibilità (proprietà identificate con l’acronimo RID). Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI; in inglese Information security management system o ISMS) finalizzato a una corretta gestione delle informazioni dell’organizzazione. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio. Le organizzazioni (di qualsiasi natura, settore, dimensione) possono far certificare ISO 27001 il proprio SGSI.

Per approfondimenti e Certificazioni Auditor/Lead Auditor ISO/IEC 27001:2022

Privacy

Privacy, termine dell’inglese, traducibile in italiano con riservatezza o privatezza, indica, nel lessico giuridico-legale, il diritto alla riservatezza della vita privata di una persona.

Il diritto a non essere soggetto a violazioni non autorizzate della parte più privata della propria esistenza da parte del governo, delle società o degli individui fa parte delle leggi sulla privacy di molti Stati del mondo e, in alcuni casi, delle costituzioni.

Evoluzione storica del concetto

Il concetto si sviluppa fin dell’Antica Grecia, quando, in una serie di trattati filosofici si inizia a far riferimento ad un “senso di riservatezza”. Aristotele, nella sua Politica, distingue tra Polis, sfera pubblica dell’individuo, correlata alle attività cittadine, ed Oikos, sfera privata, associata alla vita domestica. Viene così stabilito l’ambito personale, distinto da pubblico e politico. Per gli antichi greci il coinvolgimento da parte degli uomini nella vita pubblica era di fondamentale importanza; parallelamente, però, riconoscevano al singolo la necessità di una sfera propria e riservata, da intendersi come luogo in cui occuparsi dei propri bisogni. L’affermarsi di città-stato significa per l’uomo ricevere una personale vita activa, marcando il discrimine tra ciò che è proprio contro ciò che è comune. La vita privata è rispettata in quanto considerata elemento necessario a far scaturire uno stimolo d’interesse cittadino. Ogni uomo che ha proprietà nella città sarà interessato al suo corretto funzionamento.

Durante l’età feudale si espande l’ideale di libertà personale e, successivamente, grazie allo Stato assoluto, ciò che separa privato e pubblico viene delineato al punto da originare la sfera del privato. Riforme religiose e diffusione dell’alfabetizzazione sono tra gli elementi che condizionano fortemente la società occidentale del XVI e XVII secolo. Tali elementi portano proprio ad un mutamento radicale della mentalità sociale, diffondendo un nuovo costume d’appartenenza.

La connotazione odierna di privacy, però, si afferma proprio a seguito della caduta del feudalesimo. XVIII e XIX rappresenterebbero un’era prolifica per il diritto. Nel 1890, due giuristi statunitensi, Louis Brandeis e Samuel Warren, pubblicarono “The Right of Privacy”^[6] sulla Harward Law Review, prima monografia giuridica a riconoscere “the right to be let alone”, “diritto ad essere lasciato da solo”. Esprimendo in queste parole il desiderio di una propria ed inviolabile intimità^[7]^[8].

Ciononostante, le prime accezioni del termine si riferiscono ad una casistica tendente al negativo, la libertà ottenuta con il concetto di privacy non è associata ad una possibilità “di”, quanto ad una liberazione “da” un qualcosa/qualcuno. Il periodo storico è quello della rivoluzione industriale, ciò è quindi da intendere non in ottica universale, quanto riferito al ceto borghese. È già qui evincibile quanto il concetto di privacy si riscopra in ogni contesto storico, dovendosi interfacciare con una serie di nuove necessità personali che in esso si affermano. Il sancire un’impossibilità di ingresso in uno spazio altrui, come sottolineato da Rodotà, funge da snodo culturale fondamentale nell’affermazione della privacy odierna.

In ottica europea si ha una prima formazione del concetto di privato tra XVIII e XIX secolo. In Germania origina la discussione su una serie di possibilità individuali originanti dal “diritto naturale”, elemento d’influenza della filosofia giuridica tedesca.

Nel 1954 una sentenza del Bundesgerichtshof determina, per la prima volta, un basilare diritto alla personalità.

La discussione d’origine germanica si estese così per il continente, fintanto che nel 1909, in Francia, si giunge alla legittimazione dei diritti della personalità.

Parallelamente, nel Bel paese, il concetto viene portato avanti da Adolfo Ravà, docente di Filosofia del diritto. I punti sollevati da Ravà, seppur paralleli al pensiero tedesco, hanno origine indipendente. Analizzando il Tractatus de potestate in seipsum di Baldassarre Gomez de Amescua, giurista spagnolo del XVI secolo, ne coniuga un “diritto sulla propria persona”, che esclude però una lunga serie d’elementi per noi correlati, quali: diritto d’autore, sul nome, sul marchio. Successivamente sarà sempre Ravà a determinare per analogia legis il “diritto alla riservatezza”.

I primi casi di violazione si presentano tra gli anni ’50 e ’60. Caso particolarmente significativo è la sentenza emessa dalla Corte di Cassazione nel 1963. Il settimanale italiano “Tempo” ottenne attenzione popolare diffondendo una serie di particolari inerenti alla vita intima di Claretta Petacci, amante di Benito Mussolini. A seguito della constatazione ne scaturì una denuncia da parte della sorella minore della Petacci, Miria di San Servolo.

Nel 1975 anche il Supremo Collegio italiano si adeguò alle controparti europee affermando l’esistenza di un diritto alla riservatezza. Il tutto scaturì a seguito di controversie con Soraya Esfandiari che fu fotografata, nelle proprie mura domestiche, in atteggiamenti intimi con un uomo.

Tornando all’ottica comunitaria, una serie di provvedimenti fu ribadita: direttive 95/46/CE, 97/66/CE, e 2002/58/CE.

In Italia, consecutivamente alla 95/46/CE si ha l’istituzione di una figura di garante per la protezione dei dati personali. Seguì l’emanazione del decreto legislativo 30 giugno 2003 n.196, il quale introdusse nell’ordinamento italiano un autonomo diritto alla protezione dei dati personali, indipendente rispetto alla tutela della sfera intima dell’individuo. L’estensione europea di questa visione entra in vigore il 7 dicembre 2000, con l’art. 8, comma I della Carta dei diritti fondamentali dell’Unione Europea, detta anche Carta di Nizza, che fa esplicito riferimento al diritto alla protezione dei dati personali.

Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva, la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. È composto da 99 articoli e 173 considerando, questi ultimi con solo valore interpretativo. Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento, tranne per le parti per le quali si prevede espressamente delle possibilità di deroga.

Certificazioni in ambito GDPR

EA e EDPB

L’EA-European Accreditation e l’EDPB-European Data Protection Board sono due organismi europei con ruoli ben distinti, entrambi con un impatto significativo sulla certificazione in ambito GDPR.

L’EA è l’organizzazione che coordina gli organismi nazionali di accreditamento degli stati membri UE, con lo scopo principale di garantire che gli organismi di certificazione, ispezione e verifica operino secondo standar comuni e riconosciuti a livello europeo, seguendo il Regolamento (CE) n.765/2008, che stabilisce un quadro per l’accreditamento e la vigilanza del mercato UE.

Si occupa di garantire che le certificazioni rilasciate da organismi accreditati siano riconosciute nell’UE, mantenendo così la fiducia del mercato unico.

L’EDPB è un organismo indipendente che garantisce l’applicazione del Regolamento Generale sulla Protezione dei Dati-GDPR, fornendo linee guida e pareri.

Supervisiona il funzionamento delle autorità nazionali di protezione dei dati-DPA, assicurando che le loro decisioni siano coerenti tra gli Stati membri, per garantire che i meccanismi di certificazione siano conformi al GDPR.

L’EA assicura che questi organismi operino secondo standard ISO/IEC riconosciuti a livello internazionale, come ISO/IEC 17065 per gli organismi di certificazione di prodotti, processi e servizi.

L’EDPB non accredita direttamente, ma definisce i criteri di certificazione, fornendo orientamenti per la valutazione della conformità al GDPR.

Controlla che le certificazioni relative al GDPR siano coerenti e non contraddicano i principi fondamentali della protezione dei dati.

Le differenze sono: l’EA si occupa di accreditare gli organismi di certificazione e garantire che operino in modo affidabile secondo gli standard internazionali, l”EDPB si occupa della protezione dei dati e fornisce linee guida per la certificazione GDPR.

L’EA è il punto di riferimento per la qualità e l’affidabilità della certificazione in generale, l’EDPB si occupa di garantire che la certificazione nell’ambito della protezione dei dati sia coerente con il GDPR.

Secondo il parere di (3) Riccardo Giannetti | LinkedIn le due entità dovrebbero lavorare in sinergia, ma con ruoli ben distinti.

Ho voluto pubblicare questo articolo, prendendo spunto da pillole molto interessanti del mio amico Riccardo, seguiranno successivamente altre condivisioni di articoli tipo, seguendo il nostro mantra 😜

Tecnologie dell’Informazione e della Comunicazione

Lo standard ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che contiene i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System).

La ISO 27001 non è (unicamente) uno standard di sicurezza informatica in quanto, oltre alla sicurezza logica, include la sicurezza fisica/ambientale e la sicurezza organizzativa.

In Italia fu pubblicata una versione della norma UNI CEI EN ISO/IEC 27001:2017, che non era altro che la versione 2013 con due rettifiche.

In Italia fu pubblicata una versione della norma UNI CEI EN ISO/IEC 27001:2017, che non era altro che la versione 2013 con due rettifiche:
requisito A.8.1.1: l’inventario, la classificazione e trattamento degli “asset” riguardava anche le “informazioni” cui gli asset sono associati.
requisito 6.1.3: la Dichiarazione di Applicabilità doveva specificare se erano implementati o meno i “controlli necessari”, e non solo i controlli riferiti all’Annex A.

Non essendo stati introdotti nuovi requisiti, la norma ISO era in versione edizione 2013, per cui l’unico impatto sui certificati emessi era sul riferimento normativo nazionale in essi riportato.

ISO/IEC 27001

In Italia l’edizione 2022 è stata recepita come UNI/CEI EN ISO/IEC 27001:2024 (pubblicata il 20 febbraio 2024, in vigore dal 25 gennaio 2024). Le novità, come per qualsiasi altro recepimento continentale o nazionale della ed. 2022, riguardano i controlli dell’Annex A per cui è stato fatto un lavoro di accorpamento di controlli contigui con relativa eliminazione di ridondanze e, soprattutto, introduzione di nuovi. La terminologia è stata chiaramente aggiornata. Nessuna novità sostanziale delle clausole della norma da cap. 4 a cap. 10.

La norma ISO 27002 è una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001 al fine di proteggere le risorse informative; ISO 27001 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002 non è certificabile in quanto è una semplice raccolta di raccomandazioni.

Dal momento che l’informazione è un bene che aggiunge valore all’organizzazione, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo dello standard ISO 27001 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.

L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001 ed il Risk management, basandosi sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo.

La norma Standard ISO 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio, la protezione delle informazioni e degli asset aziendali, ivi inclusi gli asset IT. La norma è applicabile a tutte le imprese o aziende pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda o finalità dell’ente pubblico. Però bisogna tener presente che l’adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità. “Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, mantenere e migliorare un sistema documentato all’interno di un contesto di rischi legati alle attività centrali dell’organizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.”

Lo standard ISO 27001 che come già detto presenta molti punti in comune con la ISO 9001, che definisce i requisiti di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia del miglioramento continuo, ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede:

Pianificazione e Progettazione;
Implementazione (processi operativi);
Monitoraggio;
Miglioramento.

similmente a quanto previsto dai sistemi per la gestione della qualità.

Nella fase di progettazione richiede però lo svolgimento di un risk assessment, schematizzabile in:

Identificazione dei rischi;
Analisi e valutazione;
Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
Assunzione del rischio residuo da parte del management;
Definizione dello Statement of Applicability.

L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto dell’ISMS. Come per il sistema qualità, l’organizzazione ISMS può essere certificata da enti di certificazione, che operano tramite valutatori qualificati, esaminando periodicamente lo stato delle condizioni di conformità. Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato delle necessarie competenze.

Controlli

Di fondamentale importanza è l’Annex A “Control objectives and controls” che contiene i 133 “controlli” a cui l’organizzazione che intende applicare la norma deve attenersi. Il termine controllo va inteso come modalità di gestione di uno specifico argomento: non entra nel merito del “come” ma inquadra il “cosa”. Qui “controllo” non sta per “verifica” o simili, equivale a “tenere sotto controllo” (governare). Contromisura è probabilmente la parola migliore che rende il concetto di controllo della ISO 27001.

Da notare che la clausola 6.1.2 permette di individuare anche altri controlli sia di emanazione dell’organizzazione che derivanti da altre fonti (ad esempio altri framework di sicurezza). Astrattamente, di converso, si potrebbero escludere tutti i controlli dell’annex A della norma.

Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).

La gestione della continuità operativa relativa alla sicurezza e il rispetto normativo, completano l’elenco degli obiettivi di controllo.

L’organizzazione deve motivare quali di questi controlli non sono applicabili all’interno del suo ISMS, per esempio un’organizzazione che non attua al suo interno ‘commercio elettronico’ può dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all’e-commerce.

Tecnicamente, essendo i controlli appartenenti ad un’appendice, essi non fanno parte delle clausole della norma: sono mandatori ma in forma subordinata.

Privacy

La conformità alla ISO 27001, pur certificata da un organismo di certificazione, accreditato, non solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla privacy; il controllo A.18.1.4 richiede infatti che “La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali”.

La differenza sostanziale tra legge sulla privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili e non, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.

Il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001. Per esempio un impianto antincendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non soddisfa automaticamente le esigenze che esprime la norma ISO 27001, che si preoccupa anche della ‘correttezza’ dei ‘dati’ contenuti nei server e nei client. Senza dimenticare che tutte le informazioni di business o dei processi interni, prive di dati personali, sono know how e rientrano nel perimetro del SGSI.

Le Dinamiche di un Servizio Fotografico di Moda: Ogni Dettaglio Conta!!!

Un servizio fotografico di moda è molto più che scattare immagini: è un processo creativo e organizzativo che trasforma un’idea in un racconto visivo capace di ispirare e comunicare un messaggio. Dietro a ogni immagine c’è una struttura ben definita, un team affiatato e una visione chiara, elementi essenziali per tradurre l’estetica del brand o del designer in qualcosa di unico.

Tutto parte dal briefing. Questa fase iniziale è la base su cui costruire l’intero progetto. Il dialogo con il cliente permette di definire gli obiettivi dello shooting, identificando l’essenza del marchio e il messaggio da veicolare. È qui che si chiariscono i dettagli: dalla scelta dello stile visivo ai toni cromatici, fino alla narrazione che le immagini devono suggerire. Questa fase è cruciale perché ogni decisione successiva dipenderà dall’idea condivisa e dalla visione creativa emersa dal confronto iniziale.

Il team creativo rappresenta il cuore pulsante del servizio fotografico. Ogni membro svolge un ruolo specifico che contribuisce al risultato finale. Il fotografo è il regista dell’intero processo, responsabile non solo degli scatti, ma anche della sintonia tra tutte le figure coinvolte. Al suo fianco ci sono lo stylist, che seleziona con cura gli abiti e gli accessori in linea con il concept, e i professionisti di make-up e hair styling, il cui lavoro è essenziale per valorizzare i modelli e armonizzare ogni elemento estetico. In molti casi, la presenza di un direttore artistico aiuta a mantenere coerenza tra i vari aspetti creativi, mentre gli assistenti assicurano che l’attrezzatura e i dettagli tecnici siano sempre sotto controllo.

La scelta della location è un elemento che influenza profondamente l’atmosfera del servizio. Decidere tra uno studio fotografico, con la sua illuminazione controllata e le possibilità creative offerte da fondali e set costruiti ad hoc, e una location esterna, capace di raccontare storie più dinamiche, dipende sia dal concept che dal budget a disposizione. Una villa storica, una strada urbana o un ambiente naturale possono dare una dimensione completamente diversa alle immagini, rendendole uniche e distintive.

Un aspetto spesso sottovalutato ma fondamentale è la selezione della modella o del modello. I volti scelti devono incarnare non solo l’estetica, ma anche i valori e l’anima del brand. Un’espressione autentica, un portamento elegante o uno sguardo carico di emozione possono fare la differenza tra un’immagine piatta e una fotografia che cattura l’attenzione.

La preparazione tecnica non lascia spazio all’improvvisazione. Prima del giorno dello shooting, il fotografo e il team testano ogni dettaglio. Si scelgono le attrezzature migliori, si pianifica il lighting setup e si verifica che ogni elemento – dai riflettori agli obiettivi – sia pronto per ottenere il massimo in ogni scatto. Questa meticolosità garantisce che non ci siano imprevisti e che ogni momento della giornata sia ottimizzato.

Durante il giorno dello shooting, tutto si concretizza. Il fotografo dirige l’intero processo, guidando i modelli nelle pose e nei movimenti, cercando angolazioni e prospettive che mettano in risalto i capi e gli accessori. La comunicazione è fondamentale: un’atmosfera rilassata e collaborativa permette a tutti di esprimere al meglio il proprio talento. Ogni scatto viene valutato in tempo reale dal team, che monitora dettagli come la posizione dei tessuti, la luce sul viso e l’equilibrio dell’inquadratura.

Una volta terminata la sessione, inizia la fase della post-produzione, dove le fotografie vengono trasformate in immagini definitive. Qui, il fotografo lavora per bilanciare luci e colori, eliminare imperfezioni e rendere ogni scatto perfetto per la sua destinazione finale. Questo passaggio è tanto creativo quanto tecnico, poiché consente di esaltare i dettagli e rispettare il mood originale.

Infine, le immagini vengono consegnate al cliente. Il momento della revisione è l’ultima occasione per apportare eventuali aggiustamenti. Accogliere il feedback e lavorare per soddisfare appieno le aspettative è parte integrante del processo, perché un servizio fotografico di moda non è solo un progetto creativo, ma anche una collaborazione che culmina in un risultato condiviso.

Un servizio fotografico di moda è, dunque, un viaggio che unisce creatività, tecnica e visione. Ogni elemento, dall’idea iniziale al ritocco finale, ha il suo peso e contribuisce a creare immagini che non si limitano a rappresentare abiti o accessori, ma raccontano storie capaci di emozionare e ispirare. Essere un fotografo di moda significa saper orchestrare tutto questo, trasformando ogni dettaglio in arte.

Un Filo Conduttore

MODA-ICT-PRIVACY

Perchè questo Articolo?

Perchè da qui voglio iniziare a spiegare realmente il connubio tra Moda e Tecnologia, secondo il mio pensiero, contorto potrebbe essere, ma non credo sia diverso dalla realtà, se guardata sotto alcuni punti di vista..

Un filo conduttore lega tutti questi argomenti e sicuramente anche altri, che proseguono di conseguenza.

Partendo dal settore moda, possiamo dire che ovviamente è un mondo immenso, nel quale lavorano molteplici specializzate figure professionali settoriali.

Nel mondo odierno si va ad applicare ad un evento, ad uno shooting fotografico, la tecnologia, il servizio di digital marketing, la parte commerciale di una azienda, un sito web con tutte le sue peculiarità nel costruirlo e metterlo in opera, anche con servizi di e-commerce. Come potete notare ad un evento di moda lavorano moltissime figure professionali, persone, ognuna specializzata nel proprio settore.

In questo articolo vorrei far notare la parte “nascosta” di tutto ciò che appare ad occhi nudi di uno spettatore.

Un evento di moda, sfilata, shooting che sia, serve ad un preciso motivo: mettere in evidenza un prodotto, un azienda.

Da ciò l’azienda, dopo aver investito per creare il proprio evento, deve utilizzare il materiale fotografico e video, per poterlo condividere nei vari siti, sia digitali che fisici, per riuscire ad acquisire il più possibile un ritorno, sia economico, che di notorietà.

Ma tutto questo ha delle regole da seguire? E se si, quali?

E quali monitoraggi deve considerare?

Andiamo ad approfondire……..

Bene, parlando di regole da seguire online, si può dire chiaramente che bisogna tener conto della privacy, la parte di compliance, la data protection.

Nei prossimi articoli andremo ad approfondire proprio questi argomenti, andremo sempre più in profondità.

Siete curiosi?

Io lo sarei…….Buona lettura.

Il Futuro della Fotografia: innovazione, trasformazione e creatività

Il mondo della fotografia è in una fase di rapida trasformazione, trainato dall’evoluzione tecnologica e dall’espansione di nuovi strumenti come le fotocamere mirrorless, gli smartphone di ultima generazione e, soprattutto, l’intelligenza artificiale. Questo cambiamento non riguarda solo gli strumenti, ma anche i contesti in cui la fotografia viene praticata, con un impatto significativo su professionisti e appassionati. L’industria si trova a un bivio: preservare l’arte tradizionale o abbracciare completamente l’innovazione.

Gli studi fotografici, un tempo pilastri della professione, stanno affrontando una ridefinizione del loro ruolo. La domanda di produzioni di qualità resta elevata, soprattutto in ambiti come la moda e la pubblicità, ma per restare rilevanti, gli studi devono evolversi. Spazi modulari, integrazione di tecnologie digitali avanzate come il virtual set design e servizi accessori che includano post-produzione in tempo reale e noleggio di attrezzature all’avanguardia rappresentano il futuro. In parallelo, gli studi stanno diventando veri e propri hub creativi, luoghi in cui fotografi, stilisti, art director e altri professionisti possono collaborare, sperimentare e innovare.

Le fotocamere mirrorless, con la loro leggerezza e versatilità, continuano a dominare il mercato professionale. La qualità dei sensori, la velocità di scatto e la capacità di registrare video in altissima definizione le rendono strumenti ideali per la maggior parte dei professionisti. Tuttavia, la competizione con gli smartphone e l’intelligenza artificiale spinge i produttori di mirrorless a innovare costantemente. Il futuro di queste fotocamere potrebbe includere sensori ancora più avanzati, intelligenza artificiale integrata per il riconoscimento automatico delle scene e connettività migliorata per trasferimenti immediati di file, rendendole uno strumento sempre più ibrido e connesso.

La fotografia con smartphone, invece, rappresenta una vera democratizzazione del settore. Grazie a tecnologie computazionali che permettono di scattare immagini incredibilmente dettagliate e creative, gli smartphone stanno trasformando ogni utente in un potenziale creatore di contenuti. Ma questa accessibilità ha un costo: il rischio di saturare il mercato con immagini che tendono a somigliarsi, privando la fotografia del suo carattere unico e personale. Per i professionisti, questa realtà rappresenta una sfida, ma anche un’opportunità: la necessità di distinguersi attraverso una visione artistica e una narrazione visiva che vadano oltre la semplice tecnica.

L’intelligenza artificiale è forse il fattore più disruptive nel panorama della fotografia. Le sue applicazioni spaziano dall’editing automatico, che consente di risparmiare ore di lavoro in post-produzione, alla creazione di immagini generate interamente da algoritmi. Strumenti come Adobe Firefly e MidJourney stanno aprendo la strada a un nuovo modo di immaginare la fotografia, ma pongono anche interrogativi etici e creativi: un’immagine generata da un’IA può davvero essere considerata fotografia? O stiamo parlando di un nuovo mezzo espressivo? Inoltre, l’IA sta trasformando anche il processo creativo stesso, analizzando dati per suggerire stili e composizioni ottimali, rendendo il fotografo non solo un creatore, ma anche un curatore di contenuti basati su dati e algoritmi.

Nonostante queste innovazioni, il cuore della fotografia resta intatto: raccontare storie, catturare emozioni e immortalare momenti unici. La tecnologia può amplificare queste capacità, ma non sostituirà mai il ruolo del fotografo come narratore visivo. Nel futuro, il successo non sarà definito solo dalla padronanza degli strumenti, ma dalla capacità di combinare tecnologia e creatività per creare immagini che parlino direttamente all’anima delle persone.

Articolo creato dal Ph. Stefano Rizza per il Blog.

Questo articolo è stato introdotto per poter andare a spiegare nello specifico come la tecnologia sia rilevante anche nel settore Moda, nel settore della Fotografia e Grafica Pubblicitaria.