NUOVA UNI EN 419212-4:2018: PROTOCOLLI SPECIFICI PER LA PRIVACY

logo_uni

UNI EN 419212-4:2018

Interfaccia applicativa per componenti sicuri per servizi di identificazione elettronica, autenticazione e affidabilità
Parte 4: Protocolli specifici per la Privacy

La norma specifica meccanismi per componenti sicuri da utilizzare come dispositivi che supportano la privacy nel contesto dei servizi di identificazione, autenticazione e firma digitale (IAS) e soddisfano i requisiti dell’articolo 5 del cosiddetto regolamento eIDAS ai fini dell’elaborazione e della protezione dei dati.
Copre:
– Verifica dell’età
– Convalida del documento
– Identificazione ristretta
– Servizi elettronici con terze parti fidate basati sul protocollo ERA (Enhanced Role Authentication)

Contenuti della norma

European foreword

Introduction

1 Scope

2 Normative references

3 Introduction
3.1 General
3.2 Auxiliary Data Comparison
3.2.1 General
3.2.2 Presentation of the auxiliary data
3.2.3 Age Verification
3.2.4 Document Validation
3.3 Restricted Ideotification
3.3.1 General
3.3.2 Command APDU for Step RI:1
3.3.3 Command APDU for Step RI:2

4 e-Services with trusted third party protocol
4.1 General
4.2 Architecture
4.3 Enhanced Role Authentication (ERA) protocol
4.4 Authentication flow steps
4.4.1 General
4.4.2 Step 1: Service selection
4.4.3 Step 2: User consent
4.4.4 Step 3 User authentication to the SP
4.4.5 Step 4 Access to the service (or go to next steps)
4.4.6 Step 5 Request for attributes (OPT)
4.4.7 Step 6 Restoration of security context (OPT)
4.4.8 Step 7 User authentication to the AP (OPT)
4.4.9 Step 8 Reading and providing attribute requested (OPT)
4.4.10 Step 9 Restoration of security context (OPT)
4.4.11 Step 10 Ask access to the service (OPT)
4.4.12 Step 11 Verification of attributes by the SP (OPT)
4.4.13 Step 12 Grant access to the service (OPT)

Bibliography


Norma numero : UNI EN 419212-4:2018
Titolo : Interfaccia applicativa per componenti sicuri per servizi di identificazione elettronica, autenticazione e affidabilità – Parte 4: Protocolli specifici per la Privacy
Data entrata in vigore : 11 ottobre 2018
 
Sommario : La norma specifica meccanismi per componenti sicuri da utilizzare come dispositivi che supportano la privacy nel contesto dei servizi di identificazione, autenticazione e firma digitale (IAS) e soddisfano i requisiti dell’articolo 5 del cosiddetto regolamento eIDAS ai fini dell’elaborazione e della protezione dei dati.
Copre:
– Verifica dell’età
– Convalida del documento
– Identificazione ristretta
– Servizi elettronici con terze parti fidate basati sul protocollo ERA (Enhanced Role Authentication)
Lista Norme CEN

Recepisce :
EN 419212-4:2018

 

[Fonte: UNI.COM]

Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

[Fonte Garante della Privacy]

Il problema della segretezza negli appalti digitali.


Dal 18 ottobre 2018 tutte le comunicazioni degli Appalti pubblici, a partire dalla presentazione delle candidature e delle offerte, devono avvenire solo con modalità elettronica: la norma sugli appalti digitali, le questioni di riservatezza e il rischio di inadeguatezza dei sistemi.

[…]

Il problema della segretezza negli appalti digitali

Altro errore che si potrebbe commettere è quello di ritenere l’utilizzo della PEC rispondente all’obbligo, normativamente imposto dall’art. 40 del D.Lgs. 50/2016, di valersi esclusivamente di mezzi elettronici di comunicazione nell’ambito delle procedure di affidamento di contratti pubblici. In realtà non è così, atteso che l’utilizzo della PEC per la trasmissione delle richieste di partecipazione alla gara e/o delle offerte vere e proprie non consentirebbe di rispettare il precetto contenuto nel citato art. 22 c. 3 della direttiva europea – recepito nell’art. 52 c. 5 del codice contratti – e tradizionalmente da sempre ritenuto ineludibile anche dalla normativa e dalla giurisprudenza nazionali, secondo il quale le stazioni appaltanti possono esaminare il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione e ne devono garantire, sino a quel momento, la completa riservatezza.

Questo postula la necessità di gestire la procedura di affidamento attraverso strumenti che consentano di preservare in ogni momento la segretezza e l’integrità delle comunicazioni scambiate e, in particolare, delle domande di partecipazione e delle offerte presentate, senza permettere ad alcuno l’accesso al loro contenuto prima del termine assegnato per la presentazione. In altre parole, la posta elettronica non è sufficiente, ma occorrono delle piattaforme di e-procurement che consentano di gestire le gare, comprese quelle informali e quelle di nuova generazione come i partenariati per l’innovazione o le procedure competitive con negoziazione, in modo interamente elettronico e completamente rispondente ai requisiti imposti dalla normativa

Estratto dall’articolo di Paola Conio

Osservatorio Agenda Digitale Politecnico di Milano.

Leggi tutto l’articolo su agendadigitale.eu

GARANTE PRIVACY: Avviso relativo ai reclami, alle segnalazioni e alle richieste di verifica preliminare

In Gazzetta Ufficiale del 04 ottobre 2018

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
COMUNICATO

Avviso relativo ai reclami, alle segnalazioni e alle richieste di verifica preliminare (18A06387) (GU Serie Generale n.231 del 04-10-2018)

 

gAi sensi dell’art. 19 del decreto legislativo 10 agosto 2018, n.
101, si informa che, entro il termine di sessanta giorni dalla data
di pubblicazione del presente avviso, i soggetti che dichiarano il
loro attuale interesse possono presentare al Garante per la
protezione dei dati personali motivata richiesta di trattazione dei
reclami, delle segnalazioni e delle richieste di verifica preliminare
pervenuti entro il 25 maggio 2018.
La predetta richiesta non riguarda i reclami e le segnalazioni di
cui si e’ gia’ esaurito l’esame o di cui il Garante per la protezione
dei dati personali ha gia’ esaminato nel corso del 2018 un motivato
sollecito o una richiesta di trattazione o per i quali il Garante
medesimo e’ a conoscenza, anche a seguito di propria denuncia, che
sui fatti oggetto di istanza e’ in corso un procedimento penale. Si
intendono gia’ esaminati dal Garante i reclami e le segnalazioni per
i quali l’istante abbia ricevuto dal Garante la comunicazione di
avvio del procedimento, anche mediante una richiesta di informazioni
o di esibizione di documenti a terze parti ovvero all’istante stesso.

 

GARANTE PRIVACY: DELIBERA 27 settembre 2018

In Gazzetta Ufficiale del 04 ottobre 2018

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 27 settembre 2018

Indicazioni relative alle istanze che devono ritenersi comprese nell’ambito degli affari pregressi di cui all’articolo 19 del decreto legislativo 10 agosto 2018, n. 101. (Delibera n. 455). (18A06386)

 

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche’ alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati, di seguito
«regolamento»);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante
«Disposizioni per l’adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche’ alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE (regolamento generale sulla protezione dei dati)»;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
«Codice in materia di protezione dei dati personali» (di seguito
«Codice»);
Considerato che il regolamento trova applicazione negli ordinamenti
degli Stati membri a decorrere dal 25 maggio 2018 (art. 99, par. 2);
Considerato che, ai sensi dell’art. 19, comma 1, del decreto
legislativo n. 101/2018, entro il termine di sessanta giorni dalla
data di pubblicazione dell’avviso del Garante, i soggetti che
dichiarano il loro attuale interesse possono presentare al Garante
medesimo motivata richiesta di trattazione dei reclami, delle
segnalazioni e delle richieste di verifica preliminare (c.d. affari
pregressi) «pervenuti entro la predetta data»;
Considerato, altresi’, che la predetta richiesta non riguarda i
reclami e le segnalazioni di cui si e’ gia’ esaurito l’esame «o di
cui il Garante ha gia’ esaminato nel corso del 2018 un motivato
sollecito o una richiesta di trattazione», o per i quali il Garante
medesimo e’ a conoscenza, anche a seguito di propria denuncia, che
sui fatti oggetto di istanza e’ in corso un procedimento penale (art.
19, comma 2, del decreto legislativo n. 101/2018);
Considerato che la formulazione delle predette disposizioni
potrebbe ingenerare dubbi interpretativi, sotto il profilo temporale
e sostanziale, in ordine alla sua applicabilita’ alle istanze
presentate a questa autorita’ a partire dal 25 maggio 2018;
Ritenuto, quindi, di dover fornire un opportuno chiarimento, anche
in coerenza con il regolamento, riguardante le istanze che devono
ritenersi ricomprese nell’ambito degli affari pregressi e, quindi,
oggetto di eventuale richiesta di trattazione da parte di coloro che
dichiarino il loro perdurante interesse alla relativa definizione
ovvero di trattazione da parte di questa autorita’;
Ritenuto che la disposizione di cui al citato art. 19, comma 1, del
decreto legislativo n. 101/2018, concernente le istanze riguardanti
la trattazione di affari pregressi aventi ad oggetto reclami,
segnalazioni e richieste di verifica preliminare, debba intendersi
riferita unicamente agli istituti disciplinati, dal Codice,
antecedentemente alle modifiche ad esso apportate in conseguenza
dell’applicazione della normativa europea. Tale interpretazione deve
ritenersi fondata sia nella circostanza che il diritto di proporre
reclami o segnalazioni fondati sulla nuova disciplina, prevalendo
sulle fonti interne eventualmente contrastanti, non e’ derogabile
(art. 77 del regolamento; articoli da 141 a 144 del Codice, come
novellati dal decreto legislativo n. 101/2018), sia nel fatto che,
successivamente alla menzionata data di applicazione del regolamento,
l’istituto della verifica preliminare risulta incompatibile con il
regolamento medesimo;
Ritenuto, pertanto, che all’ultimo periodo del comma 1 dell’art. 19
del decreto legislativo n. 101/2018, la locuzione «entro la predetta
data …», debba intendersi riferita al 24 maggio 2018;
Considerato, altresi’, che le norme sul procedimento amministrativo
e il regolamento n. 1/2007 riguardante le procedure interne presso
l’autorita’ aventi rilevanza esterna (pubblicato in Gazzetta
Ufficiale n. 65 del 14 dicembre 2007 e in www.gpdp.it – doc. web n.
1477480) portano a ritenere che l’esame dei reclami o delle
segnalazioni di cui al regime previgente normativo trovi inizio
nell’invio di un avviso di avvio del relativo procedimento, di una
richiesta di elementi o esibizione di documenti ovvero di altro atto
recettizio diretto al titolare o all’istante (articoli 6, 9, 10 e 14
del regolamento n. 1/2007);
Ritenuto, quindi, che la disposizione di cui al citato art. 19,
comma 2, del decreto legislativo n. 101/2018, concernente i reclami e
le segnalazioni sottratte all’esigenza di una loro sollecitazione da
parte dei soggetti che dichiarano il loro attuale interesse, in
quanto sono gia’ stati esaminati a seguito di un sollecito o una
richiesta di trattazione, debba intendersi riferita ai reclami e le
segnalazioni per i quali l’istante abbia ricevuto da parte degli
uffici di questa autorita’ la comunicazione di avvio del
procedimento, anche mediante una richiesta di informazioni o di
esibizione di documenti a terze parti ovvero all’istante stesso;
Ritenuto, pertanto, che al comma 2 dell’art. 19 del decreto
legislativo n. 101/2018, la locuzione «il Garante ha gia’ esaminato»,
debba intendersi riferita ai casi in cui gli uffici di questa
autorita’ abbiano gia’ inviato all’istante la comunicazione di avvio
del procedimento o di altro atto recettizio, anche mediante una
richiesta di informazioni o di esibizione di documenti a terze parti;
Vista la documentazione in atti;
Viste le osservazioni dell’ufficio, formulate dal segretario
generale ai sensi dell’art. 15 del regolamento del Garante, n.
1/2000;
Relatore il dott. Antonello Soro;

Tutto cio’ premesso
il Garante:

a) ai sensi degli articoli 57, par. 1, del regolamento e 154, comma
1, lettera f), del Codice, come novellato dal decreto legislativo n.
101/2018, ai fini della corretta applicazione delle disposizioni,
fornisce le indicazioni di cui in premessa in relazione alle istanze
che devono ritenersi ricomprese nell’ambito degli affari pregressi di
cui all’art. 19 del decreto legislativo n. 101/2018;
b) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia – Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.

Roma, 27 settembre 2018

Il Presidente e relatore: Soro

Il segretario generale: Busia

Indicazioni operative per usufruire della definizione agevolata dei procedimenti sanzionatori pendenti

Il Garante per la protezione dei dati personali ha messo a punto una serie di indicazioni operative per chiarire a soggetti pubblici e privati come usufruire della definizione agevolata dei procedimenti sanzionatori pendenti. L’agevolazione è stata prevista dal recente decreto legislativo 101/2018 che ha adeguato la normativa italiana alle disposizione del Regolamento europeo 2016/679 in materia di privacy. Le FAQ sono disponibili da oggi sul sito dell’Autorità: https://www.garanteprivacy.it/home/faq/faq-definizione-agevolata-delle-violazioni-in-materia-di-protezione-dei-dati-personali

Chi intende avvalersi di questa facoltà potrà oblare le sanzioni mediante il pagamento in misura ridotta di una somma pari ai due quinti del minimo edittale stabilito per la sanzione. Il pagamento dovrà essere effettuato entro il 18 dicembre 2018.

Potranno usufruire di questa speciale procedura quanti abbiamo ricevuto entro il 25 maggio 2018, data di piena applicazione del Regolamento Ue, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione.

Tra le altre istruzioni, le FAQ del Garante specificano anche le modalità per il pagamento delle sanzioni, l’importo da pagare per ciascuna violazione commessa e i casi di esclusione dalle agevolazioni.