Consip ha aggiudicato la prima gara dedicata agli acquisti delle PA per la realizzazione dei progetti PNRR del – “Sicurezza On Premises – strumenti di gestione, protezione email, web e dati” – mettendo così a disposizione delle PA un contratto del valore complessivo di 135 milioni di euro e della durata di 24 mesi.

L’iniziativa recepisce le disposizioni del DL 77/2021 sulla Governance del PNRR che consente alle amministrazioni di acquistare i prodotti/servizi di cyber security per la realizzazione dei progetti finanziati attraverso i fondi PNRR, che afferiscono alla Missione 1 (Digitalizzazione, Innovazione, Competitività, Cultura) – Componente 1 (Digitalizzazione, innovazione e sicurezza nella PA).

Questa gara fa, inoltre, parte di un pacchetto di tre gare Consip in ambito cyber security e si colloca nel piano delle gare strategiche ICT che Consip realizza in attuazione del “Piano Triennale per l’informatica nella PA 2020-2022”, predisposto da Agid e Ministro per l’innovazione tecnologica e transizione digitale.

La gara è stata aggiudicata ai seguenti Raggruppamenti temporanei di imprese:

• RTI FASTWEB S.P.A. (Mandataria), FINCANTIERI NEXTECH S.P.A., N&C SRL , BUSINESS INTEGRATION PARTNERS S.P.A. , CONSORZIO REPLY PUBLIC SECTOR
• RTI TELECOM ITALIA SPA (Mandataria), LEONARDO S.P.A., DGS S.P.A., ENGINEERING INGEGNERIA INFORMATICA S.P.A.
• RTI VODAFONE ITALIA S.P.A. (Mandataria), EUROLINK S.R.L., ALMAVIVA – THE ITALIAN INNOVATION COMPANY S.P.A

A partire da marzo, attraverso un Accordo Quadro con più operatori economici – le amministrazioni potranno scegliere il fornitore, rilanciando il confronto competitivo fra gli aggiudicatari a seguito di un appalto specifico, per acquistare con la formula “On premises” (cioè presso il cliente):

• prodotti (Security Information and Event Management – Security Orchestration, Automation and Response – Secure Email Gateway – Secure Web Gateway – Database Security – Data Loss Prevention – Privileged Access Management – Web Application Firewall)
• servizi base connessi (installazione e configurazione, formazione e affiancamento, manutenzione, contact center ed help desk, hardening su client, supporto specialistico)
• servizi aggiuntivi (hardening su altri sistemi, data assessment, Privileged Account Assessment, servizi professionali erogati dal vendor, incident response).

Tutte le offerte presentate sono di elevato livello tecnico – per ciò che concerne soluzioni tecnologiche, livelli di servizio e personale addetto al supporto specialistico – ed economicamente convenienti, con risparmi sui prezzi unitari stimati per il calcolo della base d’asta del 33% (per la fornitura e manutenzione dei prodotti) e del 20% (per i servizi professionali).

The post Pa e Cybersecurity, aggiudicata la prima gara Consip da 135 milioni di euro appeared first on Key4biz.

Lo studio: gli smartphone possono rivelare la tua identità, violando la privacy

il tempo che una persona trascorre su diverse app per smartphone è sufficiente per identificarla da un gruppo più ampio in più di uno su tre casi, affermano i ricercatori, che avvertono delle implicazioni per la sicurezza e la privacy. I ricercatori delle università di Lancaster e Bath hanno analizzato i dati degli smartphone di 780 persone.

zeenews.india.com/technology/s…

Google e i suoi piano per la privacy

I cambiamenti di Google e Apple sono significativi perché la pubblicità digitale basata sull’accumulo di dati sugli utenti ha sostenuto Internet negli ultimi 20 anni. Ma quel modello di business sta affrontando moleplici sfide, poiché gli utenti sono diventati più cauti e sospettosi riguardo la raccolta di dati di vasta portata in mezzo a una generale sfiducia nei confronti dei giganti della tecnologia.

nytimes.com/2022/02/16/technol…

Riunione plenaria dell’EDPB

L’EDPB ha annunciato che la sessione plenaria del 22 febbraio sarà caratterizzata da discussioni sulle linee guida aggiornate per l’utilizzo dei codici di condotta come strumenti per il trasferimento dei dati. Le linee guida sull’uso dei codici di condotta sono state adottate nel luglio 2021. Il consiglio discuterà anche il parere congiunto con il garante europeo della protezione dei dati sull’estensione del regolamento sulla certificazione COVID-19 e gli aggiornamenti dalla task force di Google Analytics del consiglio.

edpb.europa.eu/our-work-tools/…

guidoscorza.it/privacy-daily-2…

Si chiama Truth Social, il nuovo social network creato da Donald Trump per radunare i seguaci e raccontare la sua visione dei fatti dopo la cacciata dai social tradizionali.
Come ogni settimana ne parliamo con Matteo Flora.

Guarda il video:

youtube.com/embed/NbnpKzmYDQc?…

guidoscorza.it/garantismi-trut…

Il Garante per la Protezione dei Dati personali, con provvedimento n. 406 del 2021, originato da un’istanza di consultazione preventiva ai sensi dell’art. 36 del GDPR, ha fornito alcune importanti indicazioni in merito al trattamento di dati per finalità di ricerca scientifica, anche con riguardo al trattamento di dati genetici.

Il Garante per la Protezione dei Dati Personali, a seguito di un’istanza di consultazione preventiva presentata ai sensi dell’art. 110 del Decreto legislativo 30 giugno 2003 n. 196 (Codice Privacy) e dell’art. 36 del Regolamento (UE) 2016/679 (cosiddetto “GDPR”), si è pronunciato sul trattamento di personali per finalità di ricerca scientifica. Nel provvedimento l’Autorità ha fornito importanti indicazioni in merito a:

• agli standard di sicurezza e alle modalità di perfezionamento degli adempimenti in materia di protezione dei dati personali in relazione al trattamento di dati genetici;
• all’informativa da rendere ai pazienti per il trattamento di dati personali finalizzato alla realizzazione di un progetto di ricerca;
• alla conservazione dei dati e all’eventualità di ulteriori trattamenti nell’ambito del trattamento dei dati per finalità di ricerca scientifica.

Anzitutto, è opportuno ricordare che il titolare del trattamento è tenuto a consultare preventivamente il Garante – nel rispetto di quanto previsto dagli artt. 36 del GDPR e 110 del Codice Privacy – laddove la valutazione d’impatto sulla protezione dei dati (art. 35 del GDPR) indichi che un trattamento di dati potrebbe configurare un rischio elevato, in assenza di misure adottate per mitigarne il rischio. Il fine della consultazione preventiva è quello di ottenere, dall’Autorità di controllo, le indicazioni necessarie per poter attuare un trattamento di dati personali non pericoloso per i diritti e le libertà degli interessati.

Qualora il titolare del trattamento non consulti il Garante nei casi in cui è obbligatorio – è bene sottolineare – il GDPR prevede l’applicazione di una sanzione amministrativa pecuniaria fino ad un massimo di 10.000.000 di euro o, se il titolare del trattamento è un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore (art. 83, par. 4, lett. a)).

• Il fatto e l’istruttoria del Garante

Il provvedimento prende origine da un’istanza di autorizzazione preventiva presentata da una ONLUS per la realizzazione di un progetto di ricerca, che richiedeva il trattamento di dati comuni e di categorie particolari di dati (art. 9 del GDPR), tra cui dati relativi alla salute e dati genetici, raccolti da 80 pazienti.

Nel corso dell’attività istruttoria svolta dal Garante, emergeva che il titolare:

• non aveva illustrato in maniera chiara le tipologie di dati oggetto di trattamento e, in particolare, se tra questi fossero ricompresi anche dati genetici;
• aveva predisposto un’informativa risultata incoerente con i principi di sinteticità, chiarezza e trasparenza, in special modo con riguardo ai tempi di conservazione;
• non aveva indicato le modalità adottate per fornire le informazioni ai pazienti arruolati non direttamente contattabili, ai sensi dell’art. 14, par. 5, lett. b, del GDPR e dell’art. 6 delle Regole deontologiche;
• aveva trasmesso all’Autorità una documentazione incoerente in merito all’eventualità di ulteriori trattamenti.

• Le valutazioni del Garante

Nel provvedimento in esame, sulla base delle questioni emerse all’esito dell’istruttoria effettuata dall’Autorità, quest’ultima espone alcune importanti valutazioni, che, di seguito, verranno sinteticamente esaminate.

• Nella documentazione trasmessa in sede di istruttoria dal titolare del trattamento, non venivano indicate le misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici oggetto di trattamento per il perseguimento degli obiettivi primari e secondari della ricerca.

A tal proposito, il Garante ha ricordato che il trattamento dei dati genetici deve avvenire anche nel rispetto delle Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del Decreto Legislativo 10 agosto 2018, n. 101, che prevedono, al punto 4, specifiche misure di carattere tecnico e organizzativo che devono essere adottate dal titolare del trattamento.

• In relazione agli oneri informativi, l’Autorità ha precisato che, in aggiunta a quanto disposto dagli artt. 13 e 14 del GDPR, le informative da fornire agli interessati devono chiarire “le modalità con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca” (punto 4.11.1 delle sopraindicate Prescrizioni).

Per quanto concerne l’informativa sul trattamento dei dati personali e le modalità di raccolta del consenso degli interessati, il provvedimento sottolinea la necessità che quest’ultima risulti coerente con i principi di sinteticità, trasparenza e intellegibilità cui all’art. 12, par. 1 del GDPR.

Il Garante, inoltre, ha posto particolare attenzione ai soggetti non contattabili, ritenendo necessaria la pubblicazione, sul sito web di tutti i partner coinvolti nelle attività di ricerca, di un’informativa, al fine di raggiungere eventuali pazienti dispersi e non raggiungibili.

• In merito alla conservazione dei dati e all’eventualità di ulteriori trattamenti, il Garante ha ricordato che la tematica della validità del consenso come condizione di liceità rispetto a trattamenti di dati per scopi di ricerca scientifica, non puntualmente delineati al momento della raccolta dei dati, è affrontata dal considerando 33 del Regolamento, secondo il quale, quando non è possibile individuare pienamente le finalità del trattamento ai fini di ricerca scientifica al momento della raccolta, dovrebbe essere consentito agli interessati di: (i) prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica; (ii) di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.

La ratio del considerando 33 del GDPR, secondo il Garante, deve essere interpretata nel rispetto delle Linee guida 5/2020 sul consenso ai sensi del regolamento, adottate, dal Comitato europeo per la protezione dei dati (EDPB), il 4 maggio 2020, le quali chiariscono che esso non inficia gli obblighi relativi ai requisiti del consenso, con particolare riferimento a quello della granularità e della specificità.

Sulla base delle Linee guida del Comitato, l’Autorità ha evidenziato che:

• non è consentita un’ulteriore conservazione dei dati personali sulla base del cosiddetto meccanismo opt-out, vale a dire che il silenzio assenso dell’interessato non può costituire una manifestazione del consenso al trattamento ulteriore dei dati personali;
• per quanto concerne l’ulteriore conservazione dei dati e dei campioni biologici di pazienti non contattabili, il titolare del trattamento deve rispettare le disposizioni contenute nelle richiamate Prescrizioni (punto 4.11.3 e punto 5.6 del provvedimento 5 giugno 2019) e nelle osservazioni sulla cosiddetta presunzione di non incompatibilità del fine di ricerca scientifica rispetto agli scopi della raccolta formulate dal Comitato europeo (Parere 3/2019) e dal Garante europeo (Opinion del 6 gennaio 2020);
• il trattamento ulteriore deve essere accompagnato da idonee garanzie ai sensi dell’art. 89 del GDPR, prestando particolare attenzione all’implemento delle misure volte ad assicurare l’applicazione effettiva dei principi di trasparenza e di minimizzazione (artt. 5, par. 1, lett. a) e c), par. 2, 24 e 25 del GDPR).

In linea generale, laddove l’ulteriore conservazione dei dati riguardi anche pazienti per i quali non è possibile acquisire il consenso, il Garante sottolinea che il titolare del trattamento ha due alternative:

• individuare uno specifico presupposto giuridico per tale trattamento;
• rendere l’ulteriore conservazione compatibile con lo scopo principale della raccolta, evidenziando, in particolare, le ragioni per cui le ulteriori ricerche scientifiche non possono essere realizzate mediante il trattamento di dati riferiti a persone che possono rilasciare il consenso informato.

Il provvedimento, in conclusione, fornisce importanti indicazioni in merito al trattamento di dati personali per finalità di ricerca scientifica: da un lato, poiché mette in evidenza la necessità di adottare misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici; dall’altro, perché chiarisce alcuni aspetti rilevanti sia in relazione agli oneri informativi, soprattutto con riguardo ai pazienti non contattabili, sia alla conservazione dei dati e all’eventualità di ulteriori trattamenti.

Alessandro Perotti

L'articolo Il trattamento di dati personali per finalità di ricerca: alcune indicazioni del Garante Privacy proviene da E-Lex.

Il comitato della Camera degli Stati Uniti riapre il dialogo sulla legislazione federale sulla privacy

Il primo forum del Congresso del 2022 sulla legislazione globale sulla privacy viene dalla Commissione per l’amministrazione della Camera degli Stati Uniti che ha tenuto un’audizione intitolata “Big Data: Privacy Risks and Needed Reforms in the Public and Private Sectors”.

iapp.org/news/a/us-house-commi…

La CNIL adotta uno standard sul trattamento dei dati dei bambini nel settore sanitario e sociale

L’autorità francese per la protezione dei dati (“CNIL”) di aver adottato una norma sulla protezione dei dati personali dei bambini e adulti di età inferiore ai 21 anni. In particolare, la norma, destinata a privati ​​e organizzazioni pubbliche che forniscono assistenza sociale, sanitaria, educativa e legale, fornisce regole e linee guida specifiche in merito all’applicazione del Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) (‘GDPR ‘).

dataguidance.com/news/france-c…

L’università si scusa per il progetto di monitoraggio della posizione

La George Washington University si è scusata con studenti e personale per il programma pilota per il monitoraggio delle posizioni nel campus, riporta il Washington Post. Il programma ha utilizzato i dati raccolti dai punti Cisco WiFi. In una lettera alle parti potenzialmente interessate, l’Univerisità ha affermato che “potrebbe esistere in teoria la possibilità di tracciare le persone nel nostro campus, ma tale capacità non è stata utilizzata né contemplata in questo pilota”.

washingtonpost.com/dc-md-va/20…

guidoscorza.it/privacy-daily-2…