Cosa è il GDPR ?
è il Regolamento Europeo 2016/679 sulla privacy, relativo alla tutela delle persone fisiche con riguardo alla circolazione ed al trattamento dei dati personali, entrato in vigore il 24 maggio 2016 ed applicabile in tutti gli stati membri dal 25 maggio 2018.
Il Regolamento GDPR, che subentra al superato “Codice Privacy” in vigore dal 1° gennaio 2004, attribuisce alle figure del Titolare e del Responsabile di tutte le aziende, vincoli supplementari rispetto alla Direttiva europea 95/46 e al Codice Privacy.
Chi deve adeguarsi ?
Tutte le Partite Iva e coloro che trattano dati personali per lo svolgimento della loro attività, quali Microimprese, PMI (Piccole e medie Imprese), Grandi aziende, Aziende pubbliche, liberi professionisti. Se non sei sicuro di aver seguito le giuste procedure nella tua azienda chiedi info allo staff.
Perchè adeguarsi ?
L’inosservanza delle norme del Regolamento è soggetta a sanzioni amministrative, ingigantite rispetto alle precedenti regolamentazioni privacy, fino a 20 milioni di euro o fino al 4% del fatturato dell’esercizio precedente per le aziende.
Cosa è cambiato ?
Il Titolare ha un ruolo più dinamico e impegni più specifici, indirizzati non soltanto al semplice rispetto delle regole, ma anche all’assunzione di cautele tecniche e organizzative indispensabili ad assicurare la compliance (conformità) reale dei trattamenti anche sotto il profilo della sicurezza.
L’assenza o non conformità delle procedure del Regolamento rappresenta per il Titolare fonte di responsabilità (principio di rendicontazione o di accountability (GDPR artt. 24 e 32).
IL PACCHETTO PRIVACY SU MISURA PER TE
Ti offriamo un pacchetto chiavi in mano per l’attuazione ed il mantenimento di un sistema per la conformità della tua struttura aziendale al GDPR Regolamento Europeo 2016/679.
Calcola il tuo preventivo online
Contatta lo Staff, facciamo tutto noi!
Consulenza gratuita
Richiedi la nostra consulenza gratuita, il nostro staff organizzerà una riunione preliminare per individuare aree critiche e stabilire gli obiettivi
Analisi e mappatura
Una prima analisi per individuare i dati ed i rischi dell'attività, con valutazione dell'impatto sulla privacy, analisi delle lacune e problematiche
Obiettivi e Roadmap
Si provvede a definire le competenze ed i ruoli con la nomina delle figure preposte, definizione delle priorità ed azioni da intraprendere per raggiungere la conformità
Attuazione GDPR
Operatività incarichi, predisposizione documentazione, registro trattamenti, check-up sicurezza, consulenza e formazione dedicata in azienda
GDPR PRIVACY MAGAZINE
TUTTE LE NEWS E GLI AGGIORNAMENTI SULLA PRIVACY IN ITALIA
Azienda vittima di un attacco ransomware cede al ricatto degli hacker e paga una cifra record per riavere i dati
Privacy & Società Giovedì, 01 Agosto 2024 12:06 Una delle più grandi aziende del mondo è finita vittima di un attacco ransomware, cedendo al ricatto degli hacker, a cui avrebbe pagato la cifra record di ben 75 milioni di dollari pur di rientrare in possesso dei propri dati. Al momento l’identità dell’azienda è stata mantenuta anonima, ma si tratta di una compagnia inclusa nella Fortune 500, la lista che include le aziende a maggiore capitalizzazione di mercato a livello globale. Secondo gli esperti di sicurezza informatica, il riscatto record sarebbe stato versato al team di criminali informatici noto con il nome Dark Angeles, e si tratta della cifra più alta mai pagata da un’organizzazione vittima di attacco ransomware. L’agenzia di sicurezza Zscaler ha rivelato che il pagamento è stato effettuato nei primi mesi del 2024, e dell’azienda coinvolta, per quanto nota ai ricercatori e alle forze dell’ordine, non ne è stato tuttavia reso noto il nome, anche se si sa che si tratta di un colosso, e Chainalysis, una società di intelligence crypto, ha confermato il pagamento tramite un tweet. Secondo Deepen Desai, chief security officer di Zscaler “la difesa dal ransomware rimane una priorità assoluta per i CISO nel 2024 a causa del crescente utilizzo di modelli ransomware-as-a-service, insieme a numerosi attacchi zero-day ai sistemi legacy, nonché all’aumento degli attacchi di vishing e l’emergere di attacchi basati sull’intelligenza artificiale”. I Dark Angels sono un’organizzazione di cybercriminali sorta nel maggio 2022, che ha iniziato a prendere di mira aziende di tutto il mondo utilizzando gli attacchi ransomware, con cui bloccano l’accesso ai dati della vittima attraverso la crittografia e richiedono il pagamento di un riscatto per ripristinare l’accesso. Questi attacchi spesso comportano il pagamento in criptovaluta per garantire l’anonimato degli attaccanti ed evitare che le transazioni possano essere bloccate dalle banche. Come la maggior parte delle gang di ransomware, anche i Dark Angels penetrano nelle reti aziendali e si muovono lentamente fino a ottenere l’accesso amministrativo. Nel frattempo, rubano dati dai server compromessi, aggiungendo la minaccia di pubblicarli alla richiesta di riscatto. Come spiega Forbes, i Dark Angels adottano una strategia di “Big Game Hunting“, e a differenza della maggior parte dei cybercriminali, che attaccano indiscriminatamente centinaia di organizzazioni e individui puntando sulla quantità, i Dark Angeles prendono di mira specificatamente aziende di grosse dimensioni, con il capitale necessario per pagare riscatti ad almeno sei cifre. L’attacco da parte dei Dark Angels e il conseguente pagamento del rischiano di avere risvolti potenzialmente molto pericolosi. Gli esperti di sicurezza informatica temono infatti che la cifra record di 75 milioni di dollari effettivamente pagata da questa azienda possa finanziare le organizzazioni di ransomware e spingere ulteriori gruppi criminali a tentare attacchi simili.
Attacchi informatici in Italia aumentati del 65%
Privacy & Società Lunedì, 20 Maggio 2024 19:37 I dati raccolti nel rapporto Clusit 2024, presentato al Security Summit del 19 marzo e giunto alla sua dodicesima edizione, appuntamento ormai imprescindibile che fornisce una analisi dettagliata degli incidenti di sicurezza più significativi avvenuti negli ultimi 4 anni a livello globale (Italia inclusa), testimoniano ancora una volta una situazione in costante peggioramento. Come è consuetudine, i dati inclusi nel rapporto si riferiscono unicamente agli incidenti gravi, andati a buon fine e resi noti: si tratta pertanto di una fotografia parziale della reale situazione. Tra le fonti, sono state utilizzate il Security Operations Center (SOC) di Fastweb e Polizia Postale e delle Comunicazioni. Confrontando i dati del 2019 con quelli del 2023 la crescita degli attacchi noti è stata del 60% (da 1.667 a 2.779). Nel 2023 gli attacchi sono aumentati dell’11% a livello globale, mentre in Italia riscontriamo un +65%: assistiamo quindi a una costante trend negativo in termini di frequenza, ma anche da un punto di vista qualitativo, poiché nel 2023 gli attacchi classificati come critici o gravi si attestano intorno all’ 81% del totale, un numero estremamente elevato se pensiamo che erano il 47% nel 2019. Già nel 2021 il rapporto commentava che “siamo di fronte a problematiche che per natura, gravità e dimensione travalicano costantemente i confini dell’ICT e della stessa Cyber Security, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica”, a cui nel 2022 si sono aggiunte le criticità derivanti dal conflitto Russo-Ucraino, che ha accelerato, condizionato e incrementato le capacità cibernetiche offensive impiegate da entrambi i concorrenti, e in generale da tutti gli attori coinvolti, a supporto di attività di cyber-intelligence, cyber-warfare e campagne di disinformazione di massa, in cui la Russia in particolare si è rivelata particolarmente attiva. In generale quindi, accanto ai “danni crescenti causati dal cybercrime e dalle normali attività di intelligence a cui assistiamo da molti anni”, dal 2022 “siamo entrati in una nuova fase di guerra cibernetica diffusa, che si conferma in crescita anche nel 2023”.Se il rapporto del 2022 metteva in luce come l’Italia fosse nel mirino, il rapporto attuale suggerisce l’idea che l’Italia sia un paese particolarmente facile agli attacchi. Tra il 2019 e il 2023, sono stati ben 653 gli attacchi noti di particolare gravità che hanno coinvolto realtà italiane: di questi, ben 310 sono avvenuti solo nell’ultimo anno. Il dato è preoccupante, soprattutto se confrontato con la situazione globale: a fronte di un +65% degli attacchi in Italia nell’ultimo anno, corrisponde un più contenuto +12% a livello globale. Gli attacchi in Italia si confermano in crescita a un ritmo elevato, sia probabilmente per la tendenza dei cybercriminali ad attaccare vittime italiane, sia probabilmente, dice il rapporto, a causa di una scarsa capacità delle stesse a proteggersi in maniera adeguata. E questo trend appare preoccupante se confrontato con gli investimenti in sicurezza che in Italia sono cresciuti, come riscontrato dall’ Osservatorio Cybersecurity e Data Protection del Politecnico di Milano. Per quanto riguarda la tipologia degli attacchi verso l’Italia, il 64% del totale riguarda il CyberCrime, ovvero tutti quegli attacchi informatici compiuti attraverso l’uso di internet, confermando la tendenza globale, mentre il 36% si classifica come Hacktivism, termine derivato dalla fusione di Hack e Activism che sta ad indicare un attacco informatico perpetrato per scopi politici o sociali. Non hanno invece una rilevanza significativa nel nostro paese gli attacchi di tipo Espionage/Sabotage o Information Warfare (guerra dell’informazione), che invece si riscontrano a livello globale. Mentre il peso degli attacchi di tipo CyberCrime diminuisce (100% nel 2021 e 93% nel 2022), sebbene in linea generale gli attacchi di questo tipo abbiano un trend in crescita, ciò che colpisce a livello italiano è l’incremento degli attacchi Hacktivism, dal 7% del 2022 al +36% del 2023, con un aumento del 761% e che, rispetto alla situazione globale, sembrano causare in Italia conseguenze di maggior portata, probabilmente a causa di minori capacità di prevenzione e mitigazione della media delle piccole e medie imprese e pubbliche amministrazioni italiane. Con riferimento alle tipologie delle vittime, la categoria più colpita è quella del Government (19%) grazie all’escalation degli eventi Hacktivism, seguita dal Manufacturing (13%): si tratta di una distribuzione significativamente diversa rispetto al trend mondiale, dove le tue tipologie si attestano sul 12% e 6%. Non è un caso, quindi, che un quarto del totale degli attacchi rivolti al Manufacturing a livello globale riguardi realtà manifatturiere italiane. La tecnica dominante è costituita dagli attacchi DDoS (Distributed Denial of Service), che passano dal 4% del 2022 a ben il 36% del 2023: questo perchè gli attacchi di tipo Hacktivist hanno lo scopo di innalzare l’attenzione sulla loro causa e la violazione di un sito web, interrompendone l’operatività, attraverso un attacco DDoS è solitamente un mezzo efficace per veicolare al grande pubblico il proprio messaggio di denuncia o protesta. Gli attacchi che sfruttano la tecnica del malware scendono in seconda posizione, passando dal 53% del 2022 al 33% del 2023, sebbene tali incidenti aumentino leggermente in valore assoluto (+4%). Anche la categoria di attacchi unknown, ovvero quegli attacchi per i quali le tecniche utilizzate non sono di pubblico dominio, registra una leggera decrescita (17% del 2023 contro il 27% del 2022), probabilmente come conseguenza dell’avvento di diverse normative che impongono l’obbligo di segnalazione di alcune tipologie di incidenti. Gli attacchi di tipo phishing rispetto al totale crescono solo di un punto percentuale, sebbene in valore assoluto in Italia crescano di un +87%. Per quanto riguarda la severity degli attacchi compiuti verso l’Italia, quelli High sono confrontabili con il resto del mondo (43% in Italia contro il 42%), quelli Critical hanno una percentuale molto più bassa (13%) mentre i Medium sono molto più alti (43% in Italia contro il 19% del resto del mondo) e in costante crescita (+25% rispetto al 2022): e ciò che i dati sembrano suggerire è che in Italia avvengono tutta una serie di attacchi di minore impatto che negli altri paesi probabilmente vengono mediamente prevenuti o mitigati in misura maggiore. L’analisi dei dati del rapporto Clusit definisce un quadro preoccupante della capacità di protezione sia delle organizzazioni pubbliche sia delle imprese private italiane: è evidente che le tecniche di difesa introdotte non sono all’altezza e la presenza di vulnerabilità e la scarsa capacità e attenzione nel gestirle rende questi obiettivi particolarmente appetibili per gli hacker. Si tratta di una tendenza da seguire con attenzione, dice il report, che rischia di peggiorare ulteriormente, dal momento che le tecniche di attacco sono sempre più sofisticate e mirate, anche grazie all’impiego dell’Intelligenza Artificiale, ed è necessario che anche le contromisure adottate dagli attaccati si adeguino al livello tecnologico degli attaccanti e alla qualità degli attacchi. Le conclusioni del report sono senza appello: appare evidente quanto sia necessario rafforzare la governance della sicurezza e la capacità di identificare, analizzare, valutare e gestire i rischi informatici, sia in maniera preventiva che nell’applicazione di mitigazioni, tenendo anche a mente la possibilità di trasferire il rischio verso terzi, che non significa per forza una copertura assicurativa, oggi sempre più costosa e improbabile, ma vuol dire ad esempio trasferire l’onere dell’implementazione delle misure di mitigazione a un outsourcing di qualità. E’ oramai chiaramente fondamentale la capacità di determinare, anticipare, reagire e gestire i rischi informatici, e potremmo dire anche quelli della protezione dei dati, legate ai rischi interni all’organizzazione, ma anche e soprattutto a quelli esterni. Il report ribadisce, ancora una volta, quando sia determinante il fattore umano e la consapevolezza delle persone: la crescita degli attacchi di phishing (+87%) e di ingegneria sociale dimostrano che quanto è stato fatto fino ad oggi non è ancora abbastanza. Manca cioè quella cultura della sicurezza che deve essere parte delle conoscenze di ciascun individuo, perchè nulla può la misura di sicurezza più efficace contro un comportamento poco consapevole e superficiale. Un altro annoso problema, mai risolto, ribadito dal report, rimane la gestione delle Vulnerabilità e il Patch Management: è necessario superare il concetto che la security si fa durante la scrittura del codice sorgente, perchè essa va considerata durante l’intero ciclo di vita di un prodotto (quello che viene chiamato Secure Software Development LifeCycle – SSDLC), sia durante lo sviluppo Waterfall o l’intero processo di sviluppo Agile (SecDevOps), adottando soluzioni che affrontino efficacemente l’ambito della sicurezza delle applicazioni su ogni elemento (servizi esposti, front end, middleware, storage dati, applicazioni mobili, IoT, AI). In altre parole, soprattutto in Italia, siamo ancora lontani dalle logiche di security by design, che dovrebbero essere applicate fin dalla progettazione di un certo servizio, indipendentemente se si tratti di soluzione on premise or cloud, con particolare riguardo alla gestione dei processi di sourcing e delle terze parti, non solo in ottica di compliance ma soprattutto in quella della tutela aziendale. Guardando al prossimo futuro, particolare attenzione dovrà essere posta verso l’utilizzo dell’AI nell’ambito dei processi di business delle imprese: sarà necessario comprendere quali saranno i nuovi utilizzi di questa tecnologia, oggi per certi aspetti ancora inimmaginabili, e i rischi associati, senza dimenticarne la pervasività, in quanto quasi certamente l’AI tenderà a sostituire o a completare l’attività umana e automatizzata: ciò che ci aspettiamo è che i rischi tradizionali che oggi facciamo fatica a gestire e mitigare, avranno una impennata in termini di impatto quando associati a questi usi. Inevitabilmente, ancora una volta i temi centrali saranno quelli dell’Etica e della Sovranità Digitale, che non possono esistere senza le garanzie sulla sicurezza delle informazioni.
Quanto costa adeguarsi al GDPR Privacy ?
Ancora oggi molte aziende italiane, artigiani e professionisti, sono impreparate con le novità del GDPR, il “Regolamento Europeo” sulla protezione dei dati personali, entrato in vigore nel maggio 2018 e che ha sostituito il vecchio “Codice Privacy” Dlgs 196/2003. Il “GDPR” ha modificato profondamente il vecchio “Codice della Privacy” ponendo a carico del “Titolare” nuove responsabilità (Accountability). Il “Titolare”, prima di procedere all’utilizzo dei dati personali, deve valutare i rischi che incombono su di essi, quali la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati, che potrebbero provocare un danno fisico, materiale o immateriale, all’interessato (clienti, fornitori, dipendenti, collaboratori, soci ecc.), con conseguenze anche dal punto di vista risarcitorio. Inoltre, per evitare “rischi elevati”, il “Titolare” deve effettuare una valutazione d’impatto sulla protezione dei dati per determinare l’origine, la natura, la particolarità e la gravità di tale rischio ed individuare e mettere in atto le misure per mitigare o eliminare tali rischi per assicurare un adeguato livello di sicurezza. A seconda delle dimensioni aziendali, tutte le Partite Iva devono adeguarsi, si dovrà procedere a determinati adempimenti che potranno essere individuati solo dopo un attento check-up della struttura. La tua attività si è adeguata al GDPR ? o sei fermo al vecchio “Codice Privacy” del 2003 ? Sei in regola, solo se, ad esempio, la tua struttura aziendale dispone di: Registro delle analisi e valutazione dei rischi e delle contromisure; Registro del Titolare cronologico con tutte le attività di trattamento dei dati; Informative indispensabili per dipendenti, clienti e fornitori (adeguate al GDPR 2018) Lettere di nomina dei soggetti responsabili o designati al trattamento dei dati; ed, inoltre: il tuo sito internet è a norma? disponi delle “Informative sui trattamenti dei dati effettuati sul sito web aziendale e sui cookie utilizzati” ? Dopo un paio d’anni di tolleranza dall’entrata in vigore (2018) e dopo aver superato il triste periodo del Covid, tutto quanto innanzi, non può essere più trascurato. Il non adempimento della norma prevede, in seguito ai controlli del Garante della Privacy per mezzo della Guardia di Finanza, sanzioni pecuniarie fino al 4% del fatturato annuo e, nei casi più gravi, l’azione penale. Il nostro staff è a tua disposizione per un check-up aziendale gratuito e per aiutarti negli adempimenti previsti dal GDPR con un Modulo Operativo Privacy completo e “chiavi in mano”, cartaceo e digitale. Quanto costa adeguarsi al GDPR ? Calcola il tuo preventivo online – clicca qui
Furti di dati in aumento del 45%, allertati più della metà degli utenti
Privacy & Società Mercoledì, 27 Marzo 2024 08:07 Crescono le credenziali di account compromessi in circolazione sul dark web. Nel 2023, secondo l’ultima edizione dell’Osservatorio Cyber di Crif, si contavano oltre 7,5 miliardi di dati accessibili sul dark web o su piattaforme di messaggistica a livello globale, in rialzo del 44,8% rispetto all’anno precedente. Le segnalazioni di dati rilevati su dark web sono ammontate complessivamente nel 2023 a poco più di 1,8 milioni, con una crescita del 15,9% su base annua. “Ci sono alcuni trend da tenere in considerazione sui rischi cyber: per il furto di dati personali, i cybercriminali utilizzano malware e applicativi che col tempo sono diventati sempre più sofisticati e difficili da distinguere da quelli ufficiali, diventando una trappola per le persone”, ha commentato Beatrice Rubini, executive director di Crif. “Inoltre – prosegue – gli hacker che utilizzano anche l’intelligenza artificiale per colpire i consumatori stanno diventando una vera minaccia a causa di truffe e-mail sempre più sofisticate, caratterizzate da un linguaggio corretto e quindi plausibile, e dalla generazione di codice in continua evoluzione per lo sviluppo di app malevole” Le categorie di dati che risultano maggiormente oggetto di attacco rimangono, anche nel 2023, password, indirizzi e-mail, username, nome e cognome e numero di telefono. Molto spesso le e-mail risultano associate a una password, con una quota del 94,4% (+4,4% rispetto al 2022), così come avviene anche nel caso di password associate a username (65,6%). Il trend è ben evidente anche in Italia. Il numero di consumatori allertati sul dark web ha registrato un aumento del 13,9% su base annua. Il 51,7% degli utenti ha ricevuto almeno un alert nel 2023, con una crescita particolarmente sensibile per quanto riguarda le segnalazioni inviate relativamente al furto di dati monitorati sul dark web. Tra le caratteristiche degli utenti privati italiani che sono stati avvisati, le fasce di età maggiormente coinvolte sono quelle degli over 60 (26,5%) e dei 51-60 anni (25,8%), seguite dagli 41-50 anni (25,3%). Le regioni in cui vengono allertate più persone sono Lazio (19,6%), Lombardia (13,6%) e Sicilia (8,4%). Fonte: Insurance Trade
Responsabilità ed opportunità per il Consulente del Lavoro nella filiera della privacy
Primo Piano Martedì, 19 Marzo 2024 16:44 Il trattamento dei dati personali che afferiscono i prestatori di lavoro rappresenta una tematica che, soprattutto nell’ultimo periodo, sta assumendo rilevanza strategica nella data governance e nella data protection. Le innovazioni tecnologiche e l’introduzione di specifiche previsioni normative, oltre a quelle già note ai tecnici del settore, richiedono un costante aggiornamento ed una elevata preparazione tecnica. Inoltre, la convivenza di compositi diritti ed interessi legittimi, che per le caratteristiche proprie del rapporto e del sinallagma contrattuale sono contrapposti, contraddistingue questo trattamento dei dati personali configurandolo come un trattamento ‘speciale’. Trattamenti di dati personali in ambito di lavoro effettuati da soggetti esterni: non solo responsabilità, ma anche opportunità per il consulente del lavoro Muovendo da queste premesse è evidente come il Consulente del Lavoro rappresenti una figura chiave nella gestione della privacy delle risorse umane e forse, a parere di chi scrive, una tra le figure ‘legittimate’ a queste funzioni, atteso – anche – il ruolo pubblicistico di terzietà tra datori di lavoro e lavoratori. Tenuto conto di quanto precede il consulente del lavoro potrà quindi assumere diversi ruoli in base alla concreta attività svolta; ovvero potrà essere titolare, contitolare o responsabile del trattamento, oppure offrire consulenza in materia di privacy. Con riguardo alle prime due funzioni che, all’alba dell’applicazione del regolamento privacy, hanno creato sin da subito dubbi interpretativi l’Autorità Garante ha precisato in quali casi il CDL rivestirà ruolo di titolare e quando invece quello di responsabile. Tale precisazione è confluita nella risposta all’interpello proposto dal Consiglio Nazionale dei Consulenti del Lavoro pubblicato in data 22 gennaio 2019 (Doc. Web. 9080970). Infatti, nel primo caso, qualora determinasse le finalità e i mezzi del trattamento dei dati del cliente, agendo in piena autonomia e indipendenza, per il perseguimento delle finalità attinenti alla gestione della propria attività egli ricoprirà il ruolo di titolare del trattamento. Invece, nella seconda ipotesi, qualora il trattamento sia semplicemente delegato dal titolare il quale, all’esito di proprie scelte organizzative individua nel CDL un soggetto particolarmente qualificato allo svolgimento delle stesse, saremo nell’ambito di operatività del ruolo di responsabile del trattamento dei dati personali. Dunque, sarà necessaria una valutazione sostanziale, e non meramente formale, del trattamento effettivamente svolto dal consulente del lavoro per poter determinare se ci troviamo nell’ambito di operatività dell’uno o dell’altro caso, anche per determinare la corretta base giuridica a fondamento del trattamento dei dati. L’ulteriore funzione che il CDL può ricoprire è quella della consulenza privacy che potrà assumere aspetti variegati in base ai ruoli che il Consulente del lavoro deciderà di accettare, in relazione a quelle che sono le richieste del mercato e della filiera della privacy. Sicuramente, tra i primi posti troviamo il ruolo del privacy officer da intendersi come professionista che eroga servizi relativi alla corretta applicazione della disciplina privacy e giuslavoristica in relazione, anche, agli ulteriori processi aziendali. Troviamo poi la figura del privacy auditor con ruolo di professionista indipendente che si occuperà di condurre le attività di verifica sulla compliance dei trattamenti di dati personali effettuati dalla azienda cliente. Segue poi la figura del formatore privacy che – considerata la formazione obbligatoria ex lege – risulta fondamentale non solo per adempiere agli obblighi normativi ma per tutte quelle aziende che puntano su un know-how aziendale costantemente aggiornato circa l’andamento del mercato e le innovazioni tecnologiche. Va, infine, segnalata la figura del data protection officer (DPO o RPD) disciplinata all’art. 39 del GDPR, che senza ombra di dubbio può essere svolta dal consulente del lavoro considerato quanto sopra indicato. Una ulteriore precisazione va fatta sul valore aggiunto che il CDL apporterà alla propria consulenza in ambito privacy considerate le norme deontologiche e professionali che disciplinano l’attività professionale. Infatti, la garanzia di una elevata qualità della consulenza sarà fornita, a titolo esemplificativo, dall’obbligo di assumere gli incarichi solo se possono essere svolti in maniera competente (art.9, Cod. Deont.) o dal segreto professionale (art. 25, Cod. Deont. e art. 622, C.P.). Dunque, le opportunità relative alla consulenza privacy qui segnalate possono rappresentare uno stimolo per la crescita professionale dei consulenti del lavoro che potranno arricchire il ventaglio di offerta destinato alla propria clientela.
Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro.
Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti. Dalle verifiche effettuate dall’Autorità – a seguito della ricezione della notifica di data breach da parte della banca – è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking. Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2 milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari. Con l’adozione di un secondo provvedimento l’Autorità è intervenuta anche nei confronti di NTT Data Italia, sanzionando la società con una multa di 800mila euro. Dalle verifiche effettuate dal Garante, in particolare è emerso che NTT Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno. Inoltre, NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.
Dossier, intercettazioni, fughe di notizie. Un po’ di ordine nel caos d’informazioni
Il punto di vista Martedì, 05 Marzo 2024 12:10 Non è il fatto che conta, ma il come lo si racconta. L’infantile frase in rima sintetizza la vicenda giudiziaria che – pur mancando al pubblico concreti elementi probatori – appassiona gli italiani intersecando una delicata stagione elettorale. Due le assenze: i dettagli dell’indagine in corso e la competenza a parlarne. Un mix venefico che ha portato autorevoli testate a parlare addirittura di personaggi intercettati abusivamente, dimostrando la potenza inaudita dell’ignoranza dei fatti mescolata all’ignoranza della materia. Mentre “Todos caballeros”, pronti a sparare sui novelli eretici che non si prestano a idolatrare chi è al potere, vale la pena affrontare in maniera meno approssimativa una questione che vede in gioco i poteri degli organi investigativi, la libertà di stampa, il diritto all’informazione e fors’anche la democrazia. Gli ingredienti sono i dati contenuti in archivi istituzionali e nei sistemi che setacciano le movimentazioni finanziarie “meritevoli di attenzioni”. Come nelle ricette, serve un cuoco abilitato ad aprire frigoriferi e cantine (in cui sono stipate le informazioni di interesse) e capace di “cucinare” con quel poco o tanto che la dispensa mette a disposizione. Lo chef è autorizzato a fare la spesa, a frugare nei cassetti e tra gli scaffali, ma deve essere parsimonioso e geloso dei suoi “segreti”. Gli investigatori somigliano parecchio agli artisti dei fornelli e come loro sperimentano nuove combinazioni che possono titillare le papille gustative. L’esperto gastronomo può preparare piatti su ordinazione, come il detective è lieto di lavorare “a la carte” e portare a tavola quel che qualcuno gli chiede. Altrimenti può liberare il proprio estro e seguire l’istinto “culinario” che lo contraddistingue. Nel primo caso ci si trova dinanzi ad una “delega di indagini” che dice cosa fare, definendo ambiti e tempistica. Nel secondo si parla di intuito e di attività svolte di iniziativa da parte della polizia giudiziaria. Non di rado le due tipologie si fondono in un interessante ibrido in cui l’input di un pubblico ministero viene integrato dalle “sensazioni” che guidano lo sbirro a muoversi in questa o quella direzione in modo da arricchire il fascicolo assegnatogli e da aprire eventuali nuovi ulteriori filoni di indagine. La dinamica alla base del lavoro è sviluppare una mappa delle relazioni che costituiscono l’habitat in cui opera un soggetto di interesse investigativo. (Nella foto: Umberto Rapetto, Generale della Guardia di Finanzia, già comandante del GAT Nucleo Speciale Frodi Telematiche) Il personaggio – chiunque sia – deve essere inquadrato in un contesto che non sempre è facile ricostruire, ma che può fornire spunti non di rado molto appassionanti. È quel che qualcuno chiama i “filoni di indagine”. Come le ciliegie per i ghiottoni, un nome tira l’altro. I più bravi cominciano a disegnare vere e proprie “mappe” in cui cercano di tracciare i legami che uniscono individui spesso eterogenei ed inaspettati. Quel sottile filo che lega due o più persone è supportato da elementi informativi che spiegano la ragione della “liason” e che aprono a loro volta ulteriori scenari e innescano altre interrogazioni negli archivi o infinite ricerche sulle fonti aperte. È una sorta di scienza che qualcuno chiama “link analysis”… Un’opera impegnativa che non può escludere nessun itinerario e il cui pervicace approfondimento è indispensabile per acquisire conferme e validazioni della correttezza dell’ipotesi che sta prendendo forma. Uno sforzo titanico che spesso non arriva al risultato auspicato, ma che nel frattempo ha cumulato una montagna di consultazioni risultate inutili a seguito di valutazioni meno frettolose. Come in ogni processo produttivo, anche in questo settore ci sono inevitabili scarti che non vengono smaltiti e della cui “estrazione” resta comunque traccia nei dettagliatissimi “log” dei sistemi informatici che ne sono stati la fonte. La ricerca di “pepite” impone di passare e ripassare al setaccio quel che è stato pescato, in una progressiva sempre più fine selezione. La ricerca della “materia prima” avviene attraverso archivi elettronici di polizia, banche dati istituzionali in cui confluiscono informazioni economico-finanziarie, database di centri di documentazione, servizi pubblici e privati che gestiscono atti e notizie societarie, fino ad arrivare alle cosiddette “fonti aperte” di cui Internet è lo scrigno. I sistemi che custodiscono informazioni riservate e sensibili sono ovviamente blindati. La loro inviolabilità è garantita da soluzioni architetturali telematiche (che isolano completamente quel mondo dalla galassia ordinaria delle telecomunicazioni) e da rigide procedure di identificazione e autenticazione (che permettono l’accesso solo a chi sia in possesso delle credenziali – account e password – nella disponibilità esclusiva ed individuale degli utenti autorizzati). In un simile quadro è un po’ difficile applicare tout court l’articolo 635 bis del codice penale che punisce «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza». Nella storia che tanto infervora i nostri connazionali in questi giorni il protagonista non ha “hackerato” alcun computer o server, ma si è presentato alle “macchine” digitando il proprio codice identificativo e inserendo la corrispondente parola chiave, nell’assoluta consapevolezza che ogni sua azione sarebbe stata indelebilmente annotata con data e ora, postazione utilizzata, azioni compiute, risultati ottenuti. Può essere oggetto di doverosa contestazione l’uso improprio dei dati acquisiti nel corso dell’attività di ricerca investigativa e qui si possono innescare mille disquisizioni che andrebbero a intorbidire acque già fin troppo tumultuose. Intercettazioni? Acqua. Dossieraggio? Acqua, e non fuochino come qualcuno sarebbe portato a pensare. Fuga di notizie riservate? Certo e qui va ricostruita la catena, verificando come e quando altri “terminalisti” hanno “interrogato” le banche dati per questo o quel soggetto… Nel frattempo la torrenziale pioggia di soggetti “spiati”, in cui compaiono nomi imprevedibili e folkloristici personaggi dello sport e dello spettacolo o figuranti e comparse della politica nazionale, induce a lasciar scappare il fatidico “che c’entrano?!?”. E se fossero stati solo una cortina fumogena per parare la riservatezza di quello che era il vero lavoro di indagine? E i mandanti? Ricostruiamo in maniera nitida l’accaduto e poi – poco alla volta – risaliamo fino all’eventuale input. Non mettiamo troppa carne al fuoco. Abbiamo visto poi cosa succede…. di Umberto Rapetto (Fonte: Domani)
Garante Privacy, più tutele per i dati nelle infrastrutture centralizzate per le intercettazioni
Dal Garante per la Privacy Martedì, 06 Febbraio 2024 11:10 Via libera del Garante Privacy allo schema di decreto del Ministero della Giustizia riguardante i requisiti tecnici per la gestione dei dati personali raccolti dalle infrastrutture digitali centralizzate per le intercettazioni. L’Autorità ha però chiesto che venissero implementate ulteriori misure a tutela delle persone coinvolte nelle attività di captazione. Le infrastrutture digitali centralizzate o “interdistrettuali” sono state istituite nell’agosto scorso e sono destinate non solo a ospitare il relativo archivio, ma anche a consentire la realizzazione delle operazioni captative. La loro creazione – pur conservando in capo al Procuratore l’autonoma direzione (e quindi anche la responsabilità) delle operazioni – mira ad assicurare, in particolare, più elevati e uniformi livelli di sicurezza ed efficienza nelle attività di intercettazione. Lo schema dell’odierno decreto attuativo sottoposto al Garante definisce dunque i requisiti per la memorizzazione e la trasmissione da parte della Polizia giudiziaria al Pubblico ministero di registrazioni e verbali, al fine di assicurarne l’autenticità, l’integrità e la riservatezza. Considerata la rilevanza quantitativa e qualitativa delle informazioni personali trattate, nel dare il proprio parere favorevole il Garante ha però indicato alcune misure tecniche ed organizzative che dovranno essere integrate per rafforzare le garanzie di sicurezza e trasparenza. In particolare le norme dovranno prevedere procedure di autenticazione a più fattori per l’accesso alle infrastrutture digitali, meccanismi di tracciamento delle operazioni effettuate e alert per segnalare eventuali anomalie. Tali misure dovranno essere riesaminate e aggiornate periodicamente, sulla base di una valutazione di impatto che il Ministero della Giustizia dovrà trasmettere al Garante, in modo da garantire un livello di sicurezza adeguato ai potenziali rischi. Il decreto dovrà anche specificare il ruolo assunto dal Ministero della Giustizia in merito alla gestione e manutenzione dei sistemi di collegamento digitale e alla definizione dei profili di autorizzazione per accedere all’archivio delle intercettazioni. Fonte: Garante Privacy
Cybersecurity e protezione dei dati: PMI indietro
di Teresa Barone 29 Gennaio 2024 09:55 Sono ancora poche le PMI con un approccio strategico alla cybersecurity: trend e best practice da adottare per migliorare la sicurezza informatica. Solo il 14% delle PMI italiane ha costruito un approccio strategico alla cybersecurity, sebbene adattarsi ai nuovi trend tecnologici e alle numerose criticità sia oggi fondamentale per continuare a operare sul mercato. Stando a quanto emerso dal primo Cyber Index PMI presentato da Confindustria e Generali in collaborazione con il Politecnico di Milano, infatti, le PMI hanno poca consapevolezza riguardo i rischi cyber: sebbene il 45% del campione intervistato riconosca i pericoli, solo il 14% basa la sua attività su una solida capacità di valutarli e di mitigarli. Basti pensare che tre PMI su quattro, ad esempio, non sanno cosa sia un attacco ransomware. Kingston Technology, in occasione del Data Protection Day, ha stilato una lista di best practice da adottare per migliorare la sicurezza informatica basata sul modello 3-2-1: conservare tre versioni dei dati, vale a dire l’originale e due copie; utilizzare unità diverse, evitando di memorizzare più backup su un’unica unità; mantenere una copia fuori dalla sede aziendale, soprattutto in previsione di evento inaspettato che possa distruggere una o entrambe le unità di backup attive. Per implementare al meglio il modello 3-2-1, sottolineano gli esperti di Kingston Technology, è preferibile conservare i dati aziendali in dispositivi crittografati che siano in linea con gli standard più alti di protezione. Per fatturato e occupazione, le piccole e medie imprese sono realtà imprenditoriali centrali nel Paese ma per continuare a costituire un valore aggiunto per l’economia italiana, è fondamentale sviluppare una cultura informatica orientata alla protezione dei dati sensibili. I dati, infatti, rappresentano il cuore di ogni azienda, e perderli significa subire un danno economico – ha dichiarato Stefania Prando, Business Development Manager di Kingston Technology.
Frodi informatiche in aumento per il 73% delle imprese – Videogiochi
Privacy & Società Giovedì, 18 Gennaio 2024 07:23 Le perdite derivanti da frodi informatiche sono aumentate nel 2023, rispetto all’anno precedente, per il 73% delle imprese a livello globale, in particolare nel settore dei servizi finanziari in cui la percentuale delle organizzazioni che ha segnalato un aggravarsi della situazione sale al 78%. In Italia la percentuale di imprese che segnala un aumento delle frodi arriva all’80% ed è soprattutto il settore delle telecomunicazioni a soffrirne. A rilevarlo è il report di Experian “Forrester Fraud Research Report 2023” che raccoglie le opinioni di 308 responsabili della gestione delle frodi presso aziende attive nei settori dei servizi finanziari, delle telecomunicazioni e dell’e-commerce in dieci paesi. Inoltre, secondo lo studio “AI research survey” condotto da Onfido, il 61% dei responsabili aziendali in Italia è convinto che le frodi informatiche aumenteranno nell’immediato futuro.Perdite I risultati del report stilato da Forrester Consulting per conto di Experian, società che fornisce servizi di informazione globale, rivelano che i fattori alla base dell’impennata di attacchi fraudolenti vanno dalla persistente pressione finanziaria sui consumatori alle numerose violazioni di dati che fanno trapelare informazioni sensibili nel dark web e alla crescente diffusione presso il pubblico di strumenti di IA generativa che hanno facilitato l’esecuzione di processi fraudolenti, anche in assenza di particolari competenze tecniche.Il volume degli attacchi è aumentato per quasi tutte le categorie In base agli esiti dello studio, a crescere di più sono stati gli attacchi con identità sintetica, con il 64% delle aziende dei servizi finanziari e delle telecomunicazioni che hanno registrato un aumento. Seguono i furti d’identità e gli “account takeover”, ossia accessi illegittimi all’account online di una vittima, con il 60% degli intervistati che segnala un aumento in entrambe le categorie. Nel settore dell’e-commerce, le “friendly fraud”, ossia dispute illegittime aperte dal consumatore stesso, sono cresciute per il 59% dei retailer, seguite da attacchi con identità sintetica nel 54% dei casi. Le sfide legate alla prevenzione – Secondo la ricerca, l’ostacolo più rilevante che limita la capacità delle aziende di prevenire le frodi è la mancanza di strumenti per il “device fingerprinting”, ossia il riconoscimento sicuro dei dispositivi degli utenti. Al secondo posto si piazza la mancanza di una verifica biometrica dell’identità. Entrambe tali funzionalità sono divenute essenziali per prevenire le frodi, infatti i dati dei dispositivi consentono uno screening continuo e passivo dei comportamenti sospetti mentre il riconoscimento facciale consente una verifica attiva dell’identità attraverso la biometrica, considerata il metodo più affidabile per verificare l’identità digitale degli utenti. L’Intelligenza Artificiale dà una mano – Anche il machine learning (ML) [N.R. =ML è un sottoinsieme dell’intelligenza artificiale che consente aI computer di apprendere al di fuori della programmazione].giocherà un ruolo importante nella fase di prevenzione. «I risultati della nostra indagine evidenziano come il ML sia diventato essenziale per la prevenzione delle frodi, in quanto consente di analizzare grandi quantità di dati in tempo reale, migliorando l’individuazione sia dei truffatori che dei clienti legittimi» evidenzia Giulio Virnicchi, consulente globale di Experian. «Il ML fornisce anche la struttura analitica per la biometria comportamentale e il device fingerprinting che consente alle aziende di monitorare continuamente e passivamente i clienti senza impattare sull’esperienza utente: è questa la chiave per bilanciare la crescita dei ricavi con un’adeguata prevenzione delle frodi». Dalla lettura del report emerge, inoltre, che il 72% delle aziende ritiene che il futuro della prevenzione delle frodi sarà basato su soluzioni IA/ML. I principali vantaggi derivanti dall’utilizzo di soluzioni di ML sono l’aumento dei tassi di accettazione, la riduzione delle perdite dovute alle frodi, grazie a una maggiore accuratezza nella rilevazione delle stesse, e la diminuzione del volume delle revisioni manuali e dei falsi positivi. A giudizio degli analisti, tale aspetto è di fondamentale importanza, considerato che, ad esempio, il 76% delle aziende in Italia ritiene che i falsi positivi costino alla propria attività più delle perdite dovute alle frodi. La ricerca mostra, infine, che per l’82% degli intervistati il fattore più importante nella prevenzione delle frodi basata sull’IA/ML sarà l’aggiornamento continuo e automatico del modello per essere sempre al passo con l’evoluzione delle minacce. In Italia ancora poca IA per prevenire le frodi – Il successo dell’IA trova conferma anche nello studio “AI research survey” condotto da Onfido, società che opera nel campo dell’IA per la verifica e l’autenticazione dell’identità, secondo cui, a seguito dell’introduzione di ChatGPT, i leader globali stanno toccando con mano i benefici diffusi derivanti dall’implementazione delle nuove tecnologie. In base agli esiti dell’indagine, i responsabili aziendali in Italia stanno implementando le tecnologie di IA soprattutto per aumentare l’efficienza e la produttività attraverso l’automazione dei processi (56%), per aumentare la velocità del servizio (46%) e per ridurre l’errore umano o la parzialità dei processi (43%). Ma, nonostante la convinzione che l’IA generativa rappresenti una minaccia che accelera la velocità e la quantità degli attacchi di frode, solo il 24% dei responsabili aziendali italiani stanno dando priorità al suo utilizzo proprio nella prevenzione delle frodi. Invece, il 37% si concentra sull’utilizzo dell’IA come catalizzatore per ridurre i costi operativi e migliorare i servizi digitali. In tema di frodi, un importante tema che emerge dalla lettura del focus è l’effetto della disponibilità diffusa di strumenti online e il progresso delle tecnologie di intelligenza artificiale che stanno potenziando le tattiche dei truffatori. Con l’ampia adozione della biometria come mezzo di difesa, i truffatori stanno diventando, infatti, sempre più creativi nei loro modi di attaccare. I tassi medi di frode biometrica nel 2023 sono il doppio di quelli del 2022, con un incremento di 31 volte dei deepfake (tecnica utilizzata per la sintesi di immagini umane basata sull’intelligenza artificiale). Tuttavia, solo il 23% dei responsabili aziendali italiani prevede che le frodi perpetrate dall’IA generativa diventino un problema nazionale più serio. L’importanza degli investimenti – Alla luce di questi timori, i responsabili aziendali riconoscono che l’IA può essere la migliore difesa contro sé stessa. Negli Stati Uniti, nel Regno Unito e in Italia il 38% del campione ritiene che le applicazioni di IA generativa siano utili per automatizzare la prevenzione delle frodi e fornire agli specialisti delle frodi la possibilità di affrontare casi più delicati. Inoltre, il 34% degli intervistati italiani ritiene che queste applicazioni offriranno un vantaggio competitivo. Infine, globalmente il 24% dei rispondenti afferma che queste applicazioni renderanno più facile identificare e fermare le frodi, dato che in Italia si ferma al 20%. «Le aziende devono rendersi conto che i recenti sviluppi dell’IA generativa e degli strumenti di deep learning stanno potenziando gli strumenti in mano ai truffatori» osserva Mike Tuchen, Ceo di Onfido. «Se non agiscono subito e non danno priorità agli investimenti nell’IA per combattere le frodi, potrebbero subire perdite catastrofiche. Con il panorama delle minacce che evolve e vede i malintenzionati tentare di sfruttare le vulnerabilità attraverso foto modificate, invio di playback deepfake su schermi, immagini stampate e maschere 2D e 3D, l’IA è fondamentale per le aziende. Con così tante opportunità di attacco online da parte dei truffatori, le aziende devono sviluppare un approccio olistico e multilivello alla prevenzione delle frodi». Fosche nubi all’orizzonte – Peraltro, al cospetto degli scenari delineati, il 61% dei responsabili aziendali in Italia è convinto che le frodi informatiche aumenteranno. Tale preoccupazione è particolarmente elevata nelle aziende fintech [bonifici, pagamenti e qualsiasi servizio di banking e finanziario],(74%), seguite dal settore gaming & gambling [Il giocare ai videogiochi, con particolare riferimento a quelli che si trovano in Rete] (67%). In Italia, le frodi di identità sintetiche sono la principale preoccupazione, indicata dal 44% degli intervistati. Mentre i responsabili del Regno Unito e degli Stati Uniti hanno indicato la privacy dei dati e le violazioni del consenso come la preoccupazione più urgente per la sicurezza dell’IA (rispettivamente, 56% e 64%, dato che, invece, in Italia si attesta al 43%). Nonostante l’attenzione dell’opinione pubblica sui deepfake sia alta, questa è la minaccia percepita come più bassa in tutti i Paesi: Regno Unito (33%), Stati Uniti (32%) e Italia (27%). Fonte: Italia Oggi – di Fabrizio Milazzo
Lavoro: il dipendente ha diritto di accedere ai dati sulla geolocalizzazione
Il Garante privacy ha comminato una sanzione di 20mila euro a una società incaricata della lettura dei contatori di gas, luce e acqua, per non aver dato idoneo riscontro alle istanze di accesso ai dati di tre dipendenti. I tre lavoratori, per verificare la correttezza della propria busta paga, avevano chiesto alla ditta di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto. In particolare avevano chiesto di poter conoscere i dati raccolti attraverso lo smartphone fornito dalla società sul quale era stato istallato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da effettuare per raggiungere i contatori. Non avendo ricevuto dall’allora datore di lavoro una risposta soddisfacente si erano rivolti al Garante privacy con un reclamo. Nel corso dell’istruttoria l’Autorità ha accertato che la società, in qualità di titolare del trattamento, non aveva fornito un riscontro idoneo a quanto richiesto dai reclamanti, nonostante la chiarezza e l’analiticità delle istanze, tra l’altro non comunicando loro i dati trattati attraverso il GPS. La società, infatti, si era limitata ad indicare le modalità e gli scopi per i quali venivano trattati. Una condotta risultata illecita in base ai principi della normativa sulla privacy. Dalla rilevazione del GPS, infatti, come ha sottolineato il Garante privacy, deriva indirettamente la geolocalizzazione dei dipendenti e, di conseguenza, un trattamento di dati personali, quantomeno nel momento della lettura dei contatori. Il Garante ha pertanto ordinato alla società di fornire ai reclamanti i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone e tutte le informazioni ricollegate al trattamento richieste. Il Garante ha precisato infine che la società, anche qualora non avesse ritenuto di poter dare pieno riscontro alle richieste dei dipendenti, avrebbe dovuto indicare almeno i motivi specifici per i quali non poteva soddisfare le istanze di accesso, rammentando il diritto dell’interessato di presentare reclamo al Garante o ricorso giurisdizionale
Tlc: sim intestate a utente ignaro, il Garante multa una società per 90mila euro
Riceve due email e un sms di notifica da parte di una compagnia telefonica e scopre che un rivenditore aveva attivato a sua insaputa due sim card ricaricabili a lui intestate. È accaduto ad un utente della provincia di Bergamo che dopo aver denunciato l’accaduto all’autorità giudiziaria, segnala il fatto al Garante Privacy che sanziona la società della rete di vendita della compagnia telefonica, cui fa capo il rivenditore, con una multa di 90mila euro per trattamento illecito di dati personali. L’interessato, dopo aver richiesto il blocco delle sim alla compagnia telefonica ed effettuato alcune verifiche, aveva ricostruito che le schede erano state attivate nel napoletano utilizzando una fotocopia poco leggibile della sua carta di identità. Aveva scoperto inoltre che, per gli addebiti delle due utenze, era stato inserito un Iban inesistente, solo formalmente corretto, riconducibile ad una banca vicina alla propria abitazione. Nel corso dell’attività istruttoria l’Autorità ha rilevato diverse violazioni. Innanzitutto, il rivenditore non aveva provveduto ad identificare il cliente tramite un documento di identità in originale – procedura correttamente prevista dal protocollo della compagnia telefonica – né aveva svolto ulteriori verifiche sulla liceità dei dati acquisiti. La società di appartenenza del rivenditore, inoltre, non aveva fornito all’Autorità le informazioni e i documenti richiesti nel corso dell’istruttoria né aveva dato spiegazioni all’interessato su come avesse ottenuto la fotocopia della carta di identità. Il Garante, riconosciuta la gravità e il carattere doloso delle violazioni, ha ritenuto la condotta riconducibile al fenomeno dell’attivazione illecita di schede telefoniche, che possono sfociare anche in reati di natura associativa, ed ha pertanto irrogato alla società una multa di 90mila euro. Nessuna violazione invece è emersa nei confronti della compagnia telefonica.
C’è la privacy anche per gli atti notarili
SpecialiMercoledì, 27 Settembre 2023 05:05 C’è privacy anche se gli atti sono pubblici (come gli atti notarili). Non tutto ciò che è contenuto in un atto pubblico è per ciò solo pubblicabile. Soprattutto on line, dove ogni contenuto è facilmente accessibile. Bisogna sempre considerare la finalità della diffusione e diffondere solo i dati pertinenti con quella finalità. Sono questi i principi applicati dal Garante della privacy (ingiunzione n. 366 del 31/8/2023), cha ha irrogato alla società RCS Mediagroup la sanzione di 10 mila euro, per avere diffuso, sull’edizione on line del Corriere della Sera, a corredo di un articolo relativo alle dispute per l’eredità di una famosa attrice, l’immagine del testamento della stessa: in tale immagine, infatti, era possibile leggere nomi, date di nascita e indirizzi di residenza dei testimoni dell’atto di ultime volontà e cioè dati ritenuti eccessivi dal Garante, in quanto non essenziali per la notizia. La vicenda è, tra l’altro, partita proprio dal reclamo di una testimone, subissata, dopo la diffusione del testamento, da richieste di conoscenti e giornalisti. I principi espressi dalla pronuncia, peraltro, non riguardano solo testamenti e mass media, ma si estendono a qualunque altro atto pubblico (come provvedimenti amministrativi, sentenze e così via) e anche a imprese, enti pubblici, professionisti e privati. Nel caso specifico il Garante ha affrontato due problemi: se un atto pubblico possa essere, in quanto tale, liberamente ed integralmente diffuso; se nella vicenda specifica sono stati rispettati i limiti della essenzialità dell’informazione. Ad entrambi i quesiti il Garante ha risposto no. Il primo profilo, in casi di questo tipo, è pregiudiziale: se il Garante avesse risposto affermativamente, la pubblicazione integrale del testamento sarebbe stata per definizione legittima, senza necessità di andare a vagliare il rispetto del principio di essenzialità. Ma la risposta del Garante, come detto, è stata negativa. Al riguardo, infatti, il Garante rileva che ci sono regole selettive su chi possa consultare il registro dei testamenti presso il Ministero della Giustizia. Pertanto, la riproduzione integrale dei testamenti, pur pubblici e lecitamente acquisiti, su testate giornalistiche on-line, scrive il Garante, finisce per rendere disponibili in Internet i dati di singoli individui ad una moltitudine indeterminata di persone. Per i giornali, dunque, si deve passare al secondo quesito e cioè se siano essenziali per le finalità informative i dati, contenuti in atti pubblici, delle persone non note, anche se collegate ai protagonisti di un fatto di interesse pubblico. Il quesito è molto delicato, potendo la risposta limitare il diritto di informare e quello di essere informati. Nella vicenda il Garante ha valutato la non essenzialità dei dati, che, tra l’altro, sono stati rimossi dal giornale nel corso del procedimento di reclamo. Più in generale, conclusivamente, chiunque carica in rete atti, anche se pubblici, non deve farlo a cuore leggero e deve ponderare sempre se la diffusione sia congrua e proporzionata. di Antonio Ciccia Messina (Fonte: Italia Oggi)
In Italia gli attacchi ransomware sono aumentati del 34,6%, e l’80% delle vittime sono Pmi
Privacy & SocietàMercoledì, 27 Settembre 2023 07:00 Nel secondo trimestre 2023, il fenomeno del ransomware è cresciuto del +34,6% in Italia e del +62% a livello globale rispetto al trimestre precedente. A rilevarlo è l’ultimo report “Threatland” curato dal Security Operation Center (SOC) e dal Team di Cyber Threat Intelligence di Swascan. Il numero delle aziende vittime delle gang ransomware è aumentato del 185% dall’inizio dell’anno e del 105% rispetto al secondo trimestre del 2022. In Italia, l’80% delle vittime colpite sono Pmi e il 91% sono aziende con fatturato inferiore ai 250 milioni di euro. Secondo il report che analizza i principali rischi informatici (ransomware, phishing e malware) tra aprile e giugno scorsi in Italia si sono registrati numerosi attacchi informatici che hanno coinvolto soprattutto aziende di servizi. Circa 190 mila i dispositivi compromessi in Italia. La cyber-gang “Monti” quella più attiva nel nostro Paese. Stando al rapporto di Swascan, sono state 1451 le vittime (colpite e soggette a pubblicazione di dati rubati) a livello globale di questi attacchi, caratterizzati dalla diffusione di software malevoli che criptano dati per il cui ripristino si chiede il pagamento di un riscatto. Si registra anche un incremento delle gang di cybercriminali dietro questi attacchi il cui numero di è salito da 36 a 43 (+19,4%). Lockbit si distingue come la più attiva, avendo orchestrato ben 245 attacchi nel corso del trimestre. Questi attacchi sembrano avere un obiettivo preciso: le aziende. In Italia l’80% di questi ha colpito le Pmi, dimostrando come i cybercriminali le ritengono più vulnerabili rispetto alle grandi aziende. Il 91% delle aziende italiane vittime ha un fatturato al di sotto dei 250 milioni. Le aziende di servizi sono state le più colpite, rappresentando il 47% degli attacchi, seguite da quelle del settore manufatturiero (16%) e tecnologico (6%). Anche in Italia, il settore dei servizi è in cima alla lista con il 54% degli attacchi, seguito dal manufatturiero (11%) e dal sanitario (9%), più che raddoppiato rispetto al trimestre precedente. Tuttavia, la minaccia non ha risparmiato altri settori, tra cui il finanziario, il manifatturiero, l’immobiliare, e molti altri.
Garante Privacy: i social network non vanno demonizzati ma governati con consapevolezza
Dal Garante per la PrivacyVenerdì, 28 Aprile 2023 08:31 “L’uso dei social network non va demonizzato né subito, ma governato con consapevolezza. Le stesse sfide sui social non presentano tutte e soltanto contenuti autolesionistici o comunque pericolosi: ve ne sono anche di innocue, come quella relativa alla pubblicazione della lista dei propri libri o film preferiti o di foto degli utenti da piccoli. (Nella foto: Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali) Ma è evidente come anche soltanto la possibilità del coinvolgimento di minori in ‘giochi’ potenzialmente persino mortali, per effetto dell’esposizione a contenuti dalla valenza manipolatoria o, comunque, fortemente condizionante, non può lasciare inerti le istituzioni”. Lo ha spiegato davanti alla commissione cultura della Camera, il presidente dell’Autorità Garante per la protezione dei dati personali, Pasquale Stanzione, nell`ambito della discussione della risoluzione sulle iniziative per contrastare la diffusione delle sfide di resistenza (challenge) nelle reti sociali telematiche. “Il tema delle sfide sui social va inquadrato all’interno della più ampia questione dell’uso inadeguato della rete e, in particolare, dei socialnetwork da parte dei minori. Esso va regolamentato e gestito con attenzione, per consentire ai ragazzi di fruire delle molte opportunità (di conoscenza, informazione, relazioni sociali) offerte dalla rete, in condizioni tuttavia di sicurezza”, ha continuato. Il presidente Stanzione ha ricordato la diffusione, sui social network, di sfide tra adolescenti talora anche letali. “Questo fenomeno ha destato una significativa attenzione già nel 2017 con ‘Blue Whale’, una sfida con effetto manipolativo dai contenuti quasi istigativi al suicidio, che peraltro ha condotto in Italia, nel 2021, a una condanna per violenza privata ed atti persecutori. Altri casi noti hanno riguardato la morte, nel gennaio 2021, di una bimba palermitana di soli dieci anni che aveva aderito all’incitamento a pratiche di soffocamento, nell’ambito di una macabra sfida su Tik Tok. Tra le più recenti merita considerazione, in particolare, quella della “cicatrice francese”, diffusa anche in Italia ed oggetto della risoluzione in discussione”. Fonte: Italia Oggi
Le sanzioni per le violazioni privacy non sono trasmissibili
SpecialiMartedì, 18 Aprile 2023 05:42 Rebus sanzioni privacy in caso di estinzione della persona giuridica che ricopre il ruolo di titolare del trattamento. In materia di privacy la responsabilità delle sanzioni va attribuita, infatti, al titolare del trattamento e, quindi, quando si parla di un ente, all’ente stesso. Questa regola è seguita dalla giurisprudenza civile (si veda per esempio la Corte di cassazione, con le ordinanze n. 18292/2020 e n. 8184/2014 o, ancora la pronuncia n. 13657/16). Con esse si statuisce che, in materia di privacy, si deroga al principio della imputabilità personale della sanzione e si configura un’autonoma responsabilità della persona giuridica. Cioè risponde l’ente e non un trasgressore persona fisica. Tale responsabilità, spiega la Cassazione, non può, però, ritenersi oggettiva ma, analogamente a quanto previsto dal d.lgs. n. 231 del 2000 in tema di responsabilità da reato degli enti, va configurata come “colpa di organizzazione”. Se la colpa è sempre dell’organizzazione, ci si chiede che cosa capita alle sanzioni irrogare dal Garante della privacy a seguito dell’estinzione, per qualsiasi ragione, dell’ente. Il principio generale è che le sanzioni amministrative a carico di quest’ultima non sono trasmissibili. Anche questo principio è desumibile da pronunce della Corte di cassazione (ord. nn. 30011/2022 e 29112/2021). La regola seguita dalla Cassazione dispone che la responsabilità per l’illecito amministrativo ha natura strettamente personale. Conseguentemente, come la responsabilità penale, anche la responsabilità per l’illecito amministrativo ha natura strettamente personale. Da qui la conclusione per cui l’estinzione del trasgressore comporta l’intrasmissibilità ad altri delle sanzioni irrogate. In particolare, l’estinzione della società cui sia stata elevata la contestazione determina l’intrasmissibilità della sanzione sia ai soci, che al liquidatore. La regola applicata sia dai giudici di merito sia dalla Cassazione è codificata dall’articolo 7 della legge 689/1981 e in alcune leggi speciali. Ma cosa capita nel settore della protezione dei dati? Il Codice della privacy (d.lgs. 196/2003), all’articolo 166, afferma che nell’adozione dei provvedimenti sanzionatori di competenza del Garante della privacy si osservano, in quanto applicabili, tra gli altri, gli articoli da 1 a 9 della legge 689/1981 e, quindi, anche la disposizione sulla non trasmissibilità delle sanzioni. Stando all’orientamento della Cassazione a proposito della responsabilità del titolare del trattamento, se questo titolare non c’è più, allora risulta compatibile, anche nell’ordinamento privacy, la regola dell’intrasmissibilità della sanzione. Fonte: Italia Oggi del 17 aprile 2023 – di Antonio Ciccia Messina
Il dipendente può essere qualificabile come autonomo titolare del trattamento di dati personali
SpecialiGiovedì, 20 Aprile 2023 06:00 Le imprese possono dribblare le responsabilità privacy quando le violazioni sono commesse dai dipendenti che abusano della loro posizione ed eccedono le loro mansioni. Ma per arrivare a questo risultato la strada è in salita e, comunque, ci vogliono apposite clausole nelle nomine dei dipendenti come autorizzati al trattamento, nelle informative rese agli stessi e nelle istruzioni e policy aziendali. È quanto discende da una pronuncia del Garante della privacy del Belgio, la n.16 del 27 febbraio 2023 (caso n. 2021-06717), che ha prosciolto un ente, ritenendo di separare la posizione di quest’ultimo da quella di una dipendente, che, invece, è stata formalmente ammonita per avere consultato dati di terzi al di fuori di esigenze di servizio. Il caso belga. Una persona ha appreso che i suoi dati personali, presenti in una banca dati pubblica, erano stati consultati da un’assistente sociale, dipendente di un istituto di assistenza. Secondo la breve ricostruzione dell’episodio, la vittima di accesso abusivo ai dati era l’ex compagna del padre dell’assistente sociale. Queste scarne parole inquadrano la consultazione dei dati in una cornice familiare e di una finalità, perseguita dall’assistente sociale, estranea alle proprie mansioni lavorative. L’interessata ha portato davanti al Garante del Belgio sia l’assistente sociale sia l’ente datore di lavoro di quest’ultima. L’autorità di controllo belga ha distinto le posizioni dei due soggetti messi sul banco degli accusati. In particolare, il Garante belga ha affermato innanzi tutto che, di regola, l’ente è titolare del trattamento consistente nella consultazione dei dati effettuata dai suoi dipendenti. Se questa è la regola, continua la pronuncia in esame, ciò non esclude che anche il dipendente possa acquisire la qualifica di titolare del trattamento autonomo. Infatti, occorre distinguere tra le consultazioni di data-base nell’ambito delle finalità corrispondenti agli scopi istituzionali o aziendali di un ente dalle consultazioni svolte abusivamente a fini privati da parte del personale. Anche se usa gli strumenti per la consultazione messi a disposizione dall’ente, qualora la consultazione dei dati avvenga abusivamente per scopi estranei ai compiti di ufficio, secondo il garante belga, il dipendente deve essere considerato un titolare del trattamento dei dati. Proseguendo il discorso, il garante del Belgio, considera che i dipendenti hanno l’obbligo di accedere alle banche dati rispettando scupolosamente le finalità perseguite dal datore di lavoro. Se si devia da questo percorso, il dipendente accede ai dati senza un’adeguata base giuridica. La conseguenza è che il dipendente viola il regolamento Ue sulla privacy n. 2016/679 (Gdpr) e, in particolare degli articoli 5 (principio di liceità) e 6 (condizione di liceità). Il Garante belga, peraltro, si è riservato di proseguire i suoi accertamenti a riguardo di eventuali mancanze del datore di lavoro a proposito delle misure tecniche preventive rispetto ad accessi abusivi. Nel frattempo, ha appurato che l’ente coinvolto nella vicenda riportata ha adottato misure adeguate e sufficienti per prevenire e individuare l’uso abusivo del data-base e ha archiviato la segnalazione ai danni di quest’ultimo. I datori di lavoro. La pronuncia in esame affronta il tema se un ente possa liberarsi della responsabilità per violazioni della privacy commessi dai propri dipendenti e fornisce la risposta positiva, a condizione che l’ente abbia predisposto misure tecniche preventive rispetto ad accessi abusivi. Proseguendo nel ragionamento, un ente che voglia dimostrare che un suo dipendente ha operato sfruttando dolosamente la sua posizione e interrompendo il rapporto organico dipendente-ente, deve indicare quali misure tecniche e organizzative idonee abbia adottato. È una strada difficile, ma non impossibile. Ci vogliono misure organizzative quali, innanzi tutto, nomine dei dipendenti quali autorizzati al trattamento (articolo 2-quaterdecies del Codice della privacy) estremamente dettagliate e chiare a proposito di: finalità perseguite dall’ente; finalità vietate all’ente e ai dipendenti; strumenti e modalità di utilizzo; conseguenze in caso di violazione delle finalità. A corredo delle nomine occorrono istruzioni e regolamenti interni, aventi lo scopo di illustrare gli aspetti tecnici individuati citati nelle nomine stesse. Quanto alle misure tecniche, possono consistere in predisposizioni di indici di anomalia e di modalità tecniche di segnalazione delle anomalie stesse e nella predisposizione di procedure di controllo degli accessi soprattutto in relazione al verificarsi delle anomalie censite. In ogni caso, occorrono, informative ai dipendenti altrettanto dettagliate sulla possibilità dei controlli e dell’uso dei relativi dati da parte dell’ente e, a questo riguardo, si rammenta che devono rispettarsi le prescrizioni dell’articolo 4 dello Statuto dei lavoratori. L’ente deve anche predisporre un apparato documentale e tecnico idoneo a prevenire il rimprovero di non essersi organizzata bene (cosiddetta colpa di organizzazione). D’altra parte, se non ci fosse mai la possibilità per gli enti di essere esonerati da colpa per l’attività dolosa del dipendente, allora, ricorrerebbe un’ipotesi di responsabilità oggettiva (senza colpa), cosa che è espressamente esclusa da sentenze della Cassazione. Peraltro, se il Garante italiano ha avuto occasione di scindere la posizione del titolare del trattamento rispetto a quella del fornitore-responsabile esterno, qualora il primo abbia istruito e controllato il secondo, questa possibilità di scissione deve poter essere dimostrata dall’ente anche quando la violazione è frutto dell’autonoma volontà illecita del singolo dipendente. In ogni caso, la dimostrazione della condotta del dipendente, se non per stornare la responsabilità, servirà all’ente per una rivalsa interna in relazione al rapporto di lavoro. Fonte: Italia Oggi del 17 aprile 2023 – di Antonio Ciccia Messina
Diversificazione dei ruoli privacy per valorizzare le competenze
Primo PianoMartedì, 04 Aprile 2023 09:29 Fra poco il GDPR compirà i primi cinque anni di vigenza e molte esigenze, questioni, problematiche sono sorte e sono state affrontate dalle Autorità Garanti e dagli addetti del settore, per cercare di governare la complessità crescente che caratterizza il trattamento e la tutela dei dati personali. In questa sede ci si sofferma sull’ articolazione dei ruoli privacy, per vagliare se la predetta complessità possa essere fronteggiata con un più ampio ventaglio di figure specialistiche rispetto alla triade titolare / responsabile del trattamento e persone da loro autorizzate al trattamento. L’art. 2 quatordecies (Attribuzione di funzioni e compiti a soggetti designati) del “nuovo” Codice della Privacy italiano consente infatti di ampliare la compagine organizzativa degli addetti alla privacy, con l’ipotesi di figure – ma non necessariamente interne come si propone qui – cui conferire specifici compiti e funzioni, espressamente designate. Già di recente è stata proposta sul portale di Federprivacy una interessante visione dell’assetto dei ruoli organizzativi, distinguendo fra organigramma (basato sulle figure definite dal GDPR: titolare/responsabile del trattamento e incaricato) e funzionigramma, sulla base della predetta norma del Codice Privacy, per differenziare all’interno di ciascuna organizzazione le figure dei designati/delegati, per rispondere alle diverse esigenze operative rispetto alla generica figura del soggetto autorizzato al trattamento (per il quale il GDPR non specifica le modalità di ingaggio mentre il Dlgs 196/2003 prevede genericamente l’adozione delle “modalità più opportune” per procedervi). In tale ottica, figure tipizzate già esistenti possono essere individuate ad esempio negli amministratori di sistema oppure, come proposto nel citato intervento, nei “middle managers” cui potrebbe essere conferito il ruolo di “designato/delegato”. Ma altre figure potrebbero essere individuate in considerazione di specifiche normative come ad esempio il “Delegato alle pari opportunità” o il “Responsabile della prevenzione della corruzione e della trasparenza”, che trattano set specifici di dati personali. L’ipotesi che qui si propone è di considerare in maniera aperta l’assetto organizzativo nel senso che alcune competenze professionali essenziali per i processi produttivi potrebbero essere reperite fuori ma operanti sotto l’autorità, con mezzi e misure di sicurezza del titolare del trattamento (quindi non configurabili come responsabili del trattamento). A corroborare questa ipotesi, ci può aiutare la figura del Responsabile del servizio di prevenzione e protezione dai rischi (RSPP) previsto dall’art. 17 Dlgs 81/2008 sulla salute e sicurezza del lavoro (TUSSL), che ha compiti in generale di supporto e consulenza a favore del datore di lavoro (in ciò assimilabile al Responsabile per la protezione dei dati) e per che può trovarsi a trattare dati dei dipendenti in relazione alle diverse incombenze demandate dall’art. 33 al servizio di prevenzione e protezione. Siccome il RSPP (come il RPD) può essere interno o esterno a parità di compiti svolti nel perimetro dell’organizzazione (i dati personali trattati sarebbero i medesimi, con le finalità e misure di sicurezza definite dal titolare), escludendo che possa essere inquadrato come titolare/responsabile del trattamento, resterebbe l’opzione fra generico autorizzato al trattamento e delegato al trattamento dei dati personali per gli aspetti attinenti alla salute e sicurezza sul lavoro (es dati dei lavoratori da formare, dati dei lavoratori coinvolti nelle attività di presidio della SSL), anche nel caso che il RSPP fosse un professionista esterno. Non solo, l’interpello n. 24 -2014 reso dalla competente Commissione ex-art 12 del TUSSL specifica che, laddove la norma preveda che il RSPP sia interno all’organizzazione, non si deve però intendere che debba essere un dipendente dell’organizzazione ma piuttosto un soggetto incardinato nell’ambito dell’organizzazione aziendale “ che assicuri una presenza adeguata per lo svolgimento della propria attività”. A rendere più articolato l’assetto dei ruoli privacy, sempre in materia safety un’altra figura prevista dal TUSSL è quella del “Medico competente”, che pure può essere dipendente o professionista esterno ma che, in entrambe le evenienze a fini privacy si configura come titolare autonomo del trattamento (almeno per quel che riguarda la sorveglianza sanitaria obbligatoria). La situazione quindi è alquanto variegata: lo spunto di riflessione è se la delega ex – art 2 quaterdecies del Codice Privacy possa essere estesa a figure esterne all’organizzazione, allorquando le stesse non ricoprono, con evidenza, il ruolo di titolare autonomo, contitolare o responsabile del trattamento. In questo andrebbe considerato che secondo la teoria organizzativa, un’organizzazione nel definire in maniera efficace ed efficiente i propri processi aziendali può ricorrere e miscelare le opzioni “make” (cioè processi internalizzati) o “buy” (ricorrere all’esterno). Del resto, e non è un paradosso, anche il Data Protection Officer può trovarsi a trattare dati personali dei dipendenti e collaboratori dell’organizzazione (sia nelle dinamiche delle attività svolte, sia nella gestione della patologia dei data breach): ma considerarlo (interno o esterno che sia) un “semplice” autorizzato al trattamento parrebbe incongruo con la motivazione per cui si trova a trattare questi dati. Parimenti non potrebbe per definizione essere considerato un titolare (e tantomeno un responsabile) del trattamento. Quindi anche per il DPO, esterno o interno che sia, si potrebbe concludere che si tratti di un designato, di natura particolare ovviamente, dotato di uno specifico status, che nella sua azione deve tener conto sia del GDPR e del Codice Privacy sia dell’assetto organizzativo, considerando “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Del resto, in un lontano parere del 1999 (doc. web. n. 42260, certo siamo nel contesto pre-GDPR: un altro mondo) il Garante della Privacy nell’affermare che nel ricorso all’esterno per attività di trattamento dati le società vanno considerate come responsabili del trattamento, con riguardo alle persone fisiche, anche se dipendenti di tali società, prevedeva la possibilità / obbligo di nominarle incaricati del trattamento che “devono operare necessariamente sotto la ‘diretta autorità’ del titolare o dell´ eventuale responsabile del trattamento oggetto del contratto, ‘autorità’ che si concretizza anche attraverso istruzioni periodiche”. Come prima conclusione si può quindi ritenere che l’opportunità offerta dall’art. 2 quaterdecies del Codice della Privacy potrebbe essere approfondita circa la possibilità di designare (espressamente, quindi negli accordi contrattuali) delegati (esterni) al trattamento dei dati personali che non siano titolari / responsabili del trattamento. Ciò ovviamente vagliando di volta in volta la concreta situazione e considerando che l’autorità diretta non necessariamente deve essere intesa solo riferibile al lavoro subordinato ma anche ad attività professionale rese secondo forma contrattuali diverse dal lavoro subordinato, purché svolte secondo i vincoli (anche con riguardo alle previsioni del GDPR e delle altre norme dei diversi settori) definiti dal titolare – committente.
Cyberwarfare e Cybersecurity: le due facce della stessa medaglia
Primo Piano – Articolo pubblicato sul sito di FEDERPRIVACYLunedì, 02 Gennaio 2023 08:41 La cyberwar è intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico si parla di cyberwarfare per fare riferimento ad attacchi informatici condotti non contro singole aziende, ma contro intere nazioni. Tali attacchi creano danni diretti e indiretti di vario tipo, sconvolgimento di funzioni sociali vitali e, in casi estremi, anche perdite di vite umane. (Nella foto: Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy) La cyberwar è tipica della terza rivoluzione industriale (o postindustriale), come la guerra elettronica lo è stata della seconda. Possiede aspetti tecnico-operativi sia offensivi che difensivi e viene utilizzata sia in tempo di pace che nel corso di conflitti armati. Dal punto di vista offensivo, l’attacco cibernetico può utilizzare diverse tecniche e tattiche e proporsi diversi obiettivi: intercettazione di dati; inabilitazione delle reti e degli equipaggiamenti informatici nemici; attacco alle infrastrutture critiche (elettricità, gasdotti e oleodotti, rete delle telecomunicazioni commerciali e finanziarie, trasporti ecc.). Le modalità di attuazione degli attacchi vanno dal superamento dei sistemi protettivi e dall’entrata nelle reti informative e nelle banche dati, con finalità varie (dall’acquisizione di informazioni al vandalismo di hacker individuali), all’attacco massiccio condotto da unità specializzate, alla diffusione di virus informatici o di worm, per neutralizzare reti, sistemi d’arma o di comando, di controllo e di comunicazione. Molti preferiscono parlare di cyberwarfare per esprimere meglio un concetto equivalente al “campo di battaglia digitale”, un nuovo scenario nel quale la guerra fra Stati si sposta dal piano reale a quello virtuale. Usare il termine “virtuale” non deve però trarre in inganno. Nel mondo odierno praticamente tutti gli elementi della nostra vita dipendono da una qualche forma di strumento digitale: dai trasporti alla produzione dell’energia, dalla sanità alla comunicazione, dal lavoro allo svago. Attaccare le nostre infrastrutture digitali, impedendogli di funzionare correttamente, significa allora attaccare le nostre infrastrutture reali, in modo non dissimile a un attacco terroristico. Non stupisce quindi che la guerra si stia trasferendo sempre più su questo nuovo piano, creando scenari del tutto nuovi che richiedono conoscenze precise e misure adeguate alla minaccia. Nello specifico per cyberwarfare si intende: 1 – Attacco a infrastrutture – Si tratta di attacchi contro il sistema informatico che gestisce infrastrutture critiche per il funzionamento di uno stato, come i sistemi idrici, energetici, sanitari, dei trasporti e militari. 2 – Attacco ad apparecchiature – Questo tipo di attacco, più militare in senso classico, ha l’obiettivo di compromettere il funzionamento di sistemi di comunicazione militari come satelliti o computer. 3 – Guerriglia Web – In questo caso l’attacco consiste in rapidi atti vandalici contro server e pagine web, creando più scompiglio che veri e propri danni informatici. 4 – Cyberspionaggio – Proprio come lo spionaggio classico, questa attività cerca di rubare informazioni sensibili, siano esse di carattere militare che aziendale, avendo spesso come obiettivo grandi compagnie nazionali. 5 – Propaganda – Questo tipo di attacco è più nascosto e subdolo: il suo scopo è quello di infondere dubbi nella popolazione e creare malcontento attraverso la divulgazione di messaggi politici e fake news, soprattutto attraverso i social. Naturalmente per approfondire la conoscenza di questa nuova realtà è necessario acquisire ed approfondire le nozioni essenziali di cybersecurity e quindi cosa si intende per cyber risk, come è possibile difendersi da attacchi informatici o prevenire gli stessi. il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena). I rischi di natura endogena sono: – Naturali: incendi, calamità naturali, inondazioni, terremoti.– Finanziari: variazione dei prezzi e dei costi, inflazione.– Strategici: concorrenza, progressi scientifici, innovazioni tecnologiche.– Errori umani: modifica e cancellazione dei dati, manomissione volontaria dei dati. I rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono: – Danneggiamento di hardware e software.– Errori nell’esecuzione delle operazioni nei sistemi.– Malfunzionamento dei sistemi.– Programmi indesiderati. Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici. Ma vi sono anche le truffe informatiche, la pedo-pornografica, il cyberbullismo, i ricatti a sfondo sessuale derivanti da video chat on line e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese. Ogni giorno vengono compiuti migliaia di attacchi informatici attraverso le tecniche più varie e termini come malware, ransomware, trojan horse, account cracking, phishing, 0-dayvulnerability sono diventati parte del vocabolario anche per i non esperti. Per evitare attacchi informatici, o almeno per limitarne le conseguenze, è necessario adottare delle contromisure; i calcolatori e le reti di telecomunicazione necessitano di protezione anche se come in qualsiasi ambiente la sicurezza assoluta non è concretamente realizzabile. Il modo per proteggersi è imparare a riconoscere le origini del rischio. Gli strumenti di difesa informatica sono molteplici, si pensi antivirus, antispyware, blocco popup, firewall ecc., ma tuttavia non sempre si rivelano efficienti, in quanto esistono codici malevoli in grado di aggirare facilmente le difese, anche con l’inconsapevole complicità degli stessi utenti. Un altro aspetto di notevole importanza del rischio informatico è il risk management (gestione del rischio) che è quel processo attraverso il quale si misura o si stima il rischio e successivamente si sviluppano le strategie per fronteggiarlo. La gestione del rischio, così come descritto nella Convenzione Interbancaria per i problemi dell’Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi: – Identificazione del rischio;– Individuazione delle minacce;– Individuazione dei danni che posso derivare dal concretizzarsi delle minacce e la loro valutazione;– Identificazione delle possibili contromisure per contrastare le minacce arrecate alle risorse informatiche. Diverse sono le modalità di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un’azienda, persona o ente ritiene accettabile si distinguono: – Evitare: si modificano i processi produttivi, modalità di gestione ed amministrazione con lo scopo di eliminare il rischio.– Trasferire il rischio ad un altro soggetto: il trasferimento del rischio avviene nei confronti di assicurazioni, partner e si tratta principalmente di rischi economici perché più facilmente quantificabili.– Mitigare: consiste nel ridurre, attraverso processi di controllo e verifica, la probabilità del verificarsi del rischio o nel limitarne la gravità delle conseguenze nel caso in cui si verifichino.– Accettare: ossia assumersi il rischio ed i relativi costi. NOTE AUTORE Michele Iaselli Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS – dipartimento di giurisprudenza. Specializzato presso l’Università degli Studi di Napoli Federico II in “Tecniche e Metodologie informatiche giuridiche”. Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa – Twitter: @miasell
Tutto a posto con il DPO? ecco come controllare
Primo PianoLunedì, 20 Marzo 2023 10:07 La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti di chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? (Chi controlla gli osservatori?) era un trend topic. Eppure, dal momento che l’organizzazione che ha designato il DPO è responsabile per l’adempimento degli artt. da 37 a 39 GDPR, deve essere in grado di garantire e dimostrare la conformità alla norma del processo di selezione, dell’inquadramento e dei compiti assegnati e svolti. Il limite più evidente di cui tenere conto durante le verifiche dell’attività del DPO è fornito dall’art. 38.3 GDPR, che richiama un duplice divieto. Il primo, di fornire istruzioni – anche indirette quali sono talune modalità di svolgimento dei controlli di performance della funzione, ad esempio – nell’esecuzione dei compiti assegnati ivi inclusa l’interpretazione da dare alla normativa in materia di protezione dei dati. Come ricorda l’EDPB (Comitato europeo per la protezione dei dati) con le Linee guida WP243 sui Responsabili della Protezione dei Dati, però, garantire indipendenza e autonomia al DPO “non significa che quest’ultimo disponga di un margine decisionale superiore al perimetro dei compiti fissati nell’articolo 39.” Il secondo divieto riguarda la rimozione o penalizzazione, diretta o indiretta, del DPO per l’adempimento dei propri compiti. Il che però non preclude alcuna iniziativa di rimozione o penalizzazione nel caso in cui sia inadempiente rispetto agli obblighi contrattualmente definiti. Tanto premesso sui limiti di cui dover sempre tenere conto, è di chiara evidenza che il controllo di conformità agli artt. da 37 a 39 GDPR possa essere efficacemente svolto con un audit di prima parte. E che l’auditor non possa ovviamente essere parte dell’ufficio del DPO, in quanto soggetto in parte destinatario del controllo per tutto ciò che riguarda il rapporto fra DPO e organizzazione, a partire dal processo di selezione, l’assenza di conflitto d’interessi, nonché la garanzia circa la capacità di assolvere i compiti di cui all’art. 39 GDPR. Il tutto tenendo conto del contesto operativo e con un approccio basato sul rischio. Alcune indicazioni pratiche di massima. La verifica del processo di selezione del DPO deve tenere conto almeno dei criteri indicati dall’art. 37.5 GDPR, ovverosia “qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. L’evidenza che deve essere ricercata all’interno del processo di deve riscontare tali elementi, che possono emergere dal curriculum vitae del DPO, il contratto di servizi sottoscritto (nel caso di DPO esterno) o altrimenti il mansionario assegnato (nel caso di DPO interno). Nel medesimo controllo, che può essere esteso anche alla fase temporale successiva dello svolgimento dei compiti, occorrerà poi verificare che non sussistano conflitti d’interesse. L’azione correttiva che è possibile indicare nel caso in cui emergano alcune non conformità in questi casi, è senz’altro una (ri)contrattualizzazione del servizio o (ri)definizione delle mansioni. O altrimenti alla rimozione e sostituzione del DPO. Tutte scelte che l’organizzazione è chiamata a rendicontare. Un ultimo dettaglio: il DPO può già verificare alcuni adempimenti, quali ad esempio la pubblicazione dei propri dati di contatto e la comunicazione al Garante. O anche la capacità dell’organizzazione di assicurare un adeguato coinvolgimento o di fornire le risorse necessarie – tout court: da finanziarie a operative, ivi incluso il supporto da parte del management – per lo svolgimento della funzione e il mantenimento della conoscenza specialistica. Ed è bene che lo faccia continuamente.
Registro dei trattamenti: indicare le basi giuridiche migliora l’accountability del titolare
Primo PianoDomenica, 15 Gennaio 2023 18:08 Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati. Avendo specifico riguardo al registro del titolare, poi, tale documento costituisce un elemento fondamentale di accountability [“responsabilizzazione” di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento] in quanto è idoneo a rendicontare tutte le principali informazioni riguardanti le attività svolte sui dati personali. Leggendo quanto prescrive l’art. 30 GDPR, non figura però alcun obbligo di indicare la base giuridica delle attività di trattamento. Pertanto, è lecito domandarsi se possa essere sufficiente adempiere alla lettera della norma o se altrimenti si possa – o meglio: si debba, in adesione alle best practice – indicare anche il fondamento di liceità delle attività svolte sui dati personali. La conformità dal punto di vista strettamente normativo non richiede alcun tipo di indicazione della base giuridica ma tale esigenza emerge per ragioni organizzative e di coordinamento documentale interno. Innanzitutto, ciascuna attività di trattamento deve individuare una delle basi individuate dall’art. 6 GDPR e, per i dati di categorie particolari rientrare nelle eccezioni di cui all’art. 9 GDPR mentre per i dati relativi a condanne penali e reati secondo le condizioni di cui all’art. 10 GDPR. Pertanto, in ottica non solo di rendicontazione (successiva) ma soprattutto di corretta progettazione (preventiva) dei trattamenti è bene che il titolare abbia contezza della corretta base giuridica cui fare ricorso per rispettare il principio di liceità. Non solo: a ciascuna delle attività di trattamento potranno corrispondere determinati diritti esercitabili da parte dell’interessato anche a seconda della base giuridica su cui è fondata. Un esempio su tutte: la possibilità di esercitare il diritto di opposizione, riservato ai soli trattamenti necessari all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (e dunque: alla base individuata dall’art. 6.1 lett. e) GDPR) o al perseguimento del legittimo interesse del titolare del trattamento o di terzi (e dunque: alla base individuata dall’art. 6.1 lett. f) GDPR). Inoltre, dal momento che fra le informazioni da rendere all’interessato ai sensi degli artt. 13 e 14 GDPR rientra anche l’indicazione della base giuridica del trattamento, l’inserimento di tale indicazione all’interno del registro consente di verificare il rispetto del principio di trasparenza e di mantenere aggiornate e coerenti le informative. Stefano Gazzella – Delegato Federprivacy per la provincia di Gorizia.
Misure di sicurezza per la mitigazione degli effetti in caso d’emergenza: le barriere a protezione dei dati
SpecialiDomenica, 15 Gennaio 2023 18:35 La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale. Il contesto in cui agiscono le barriere – Le barriere servono a proteggere i dati minacciati dagli agenti (persone malintenzionate, persone non malintenzionate, infrastrutture tecnologiche, eventi naturali). Le barriere agiscono, in scenari negativi che devono essere evitati riducendo/eliminando la possibilità di azione da parte dell’agente di minaccia il quale sfrutta una vulnerabilità ovvero una debolezza. In altri termini le barriere riducono il rischio ovvero il verificarsi dello scenario negativo, innescato da una vulnerabilità che si vuole evitare. I sistemi di gestione forniscono, anche grazie ad un frame basato sul rischio, una serie di misure riconducibili ad altrettante barriere. I tipi di barriere – A volte la differenza tra i vari tipi di barriere che si possono adottare non è netta, ma in ogni caso l’aspetto rilevante consiste nell’individuare quelle più efficaci in relazione ai dati che si vogliono proteggere; qui di seguito, sono illustrate le caratteristiche delle principali tipologie. – Barriera di inaccessibilità: rende inaccessibili i dati ad un agente di minaccia; ad esempio: sistemi ad accesso protetto (sala server, quadro elettrico), un sistema di canali per isolare i cavi di rete. – Barriera di contenimento dell’agente di minaccia: trattiene l’agente di minaccia all’interno di un sistema chiuso affinché esso non possa esprimere, in tutto o in parte, il suo potenziale dannoso; ad esempio: archivio contenente dati non accessibile dall’esterno, una VPN, [ (Virtual Private Network) è una rete privata virtuale che garantisce privacy, anonimato e sicurezza attraverso un canale di comunicazione] . procedure per la disattivazione dei server e per la loro dismissione, un software antivirus, o un firewall installato a difesa perimetrale di una rete informatica – Barriera di contenimento della vulnerabilità: agisce per limitare i danni salvando quanto possibile; si deve adottare quando non è più possibile annullare il danno, ma solo contenerne gli effetti; ad esempio: sistema sprinkler per contenere gli effetti di un incendio. – Barriera di riduzione della vulnerabilità: è orientata a ridurre le vulnerabilità operando sulla differenziazione; ad esempio più back-up archiviati in sistemi e luoghi diversi, prove di restore condotte ad intervalli pianificati, più fornitori in grado di effettuare le medesime attività, matrice di back-up del personale. – Barriera di riduzione della quantità: ha la finalità di ridurre la quantità di dati esposta ad un pericolo; ad esempio: parcellizzazione dei dati su più server ed in località diverse, dispersore di terra negli impianti elettrici. – Barriera comportamentale: si riferisce al comportamento umano che ci si può ragionevolmente attendere in uno specifico scenario negativo; tale barriera è un mix di misure organizzative (formazione, regolamenti), esperienza delle persone (affinata anche con prove e simulazioni), valutazione del loro stato emotivo, efficacia dei sistemi di sorveglianza/vigilanza. – Barriera di allarme: fornisce, ad un’entità in grado di ricevere e comprendere il messaggio, l’avviso dell’insorgenza di una minaccia; ad esempio: cartello di divieto di accesso, impianto di rilevazione dei fumi. – Barriera di sostituzione: sostituzione di un componente altamente vulnerabile con uno meno vulnerabile; ad esempio: server che può funzionare anche a temperature ambientali elevate, sistemi informatici più efficienti nel rilevare intrusioni di malintenzionati. – Barriera di contemporaneità della minaccia: realizzata per impedire che due eventi avvengano contemporaneamente o in capo ad un unico agente di minaccia, in quanto tale condizione potrebbe evidentemente rendere più probabile, e grave, il danno; ad esempio: autorizzazione fornita, in sequenza o simultaneamente, da due diversi soggetti, abilitati a cancellare dei dati. – Barriera composita: formata da due o più barriere tra loro combinate; ad esempio: barriera comportamentale associata a barriera di contemporaneità. Ruolo del DPO – Le barriere devono essere messe in atto per prevenire situazioni di emergenza; il Data Protection Officer ed il Titolare del trattamento devono valutare l’efficacia di risposta da parte delle barriere. Queste ultime devono essere in grado di resistere a sollecitazioni dovute anche a situazioni anomale, e non solo a quelle ordinarie in cui può avvenire il trattamento; per fare ciò non solo deve valutare che esse siano applicate, ma anche che siano efficaci (si veda anche Art. 32 1d del Regolamento UE 2016/679); tale controllo è opportuno che sia eseguito tramite audit. Ai collaboratori aziendali, nel loro ruolo di responsabili della valutazione ed applicazione delle misure previste dalle barriere, fa capo il loro controllo delle stesse. Conclusione – Le barriere sono un altro modo di classificazione delle misure di sicurezza da attuare per la compliance al GDPR (rispetto della normativa sulla Privacy di quel complesso di flussi, informazioni, trattamenti dei dati, software e sistemi che avviene in azienda); definirle per tipologia non è un esercizio fine a se stesso, ma un’occasione per valutarne l’efficacia con il supporto dei collaboratori aziendali, nonché per evidenziare l’eventuale necessità di introdurne di nuove o di modificare quelle esistenti, ricordando sempre che una barriera che non è in grado di resistere nemmeno alle situazioni ordinarie, è come se non ci fosse.
Basta la sigla ‘104’ per violare la privacy del lavoratore fruitore di permessi per persone disabili
SpecialiMartedì, 25 Ottobre 2022 07:57 Attenzione a numeri e sigle. Se solo richiamano aspetti sanitari, sono di per se stessi dati sanitari. Anche se non abbinati a una determinata persona. Lo ha imparato a proprie spese un liceo scientifico, colpevole di avere pubblicato sul sito internet un elenco del personale fruitore di permessi previsti dalla legge 104/1992 (legge-quadro per l’assistenza delle persone handicappate). Mera indicazione della cifra «104», errore umano della diffusione e natura riservata della pagina del sito non sono valse a evitare l’ingiunzione del Garante della privacy di pagamento di 4 mila euro (provvedimento n. 290 del 1° settembre 2022). Il fatto ha riguardato la pubblicazione sul portale del liceo di una circolare riguardante le ferie estive dei collaboratori scolastici con allegato, però, un prospetto non limitato alle ferie, ma che riportava, in corrispondenza del nominativo del personale, anche le assenze seguite dall’indicazione del numero “104”. Un primo commento riguarda la natura del dato sanitario. Per essere ritenuto tale (dato sanitario) non è necessario esplicitare una patologia e tanto meno attribuirla a una persona definita. Nonostante l’articolo 9 del Regolamento Ue sulla privacy n. 2016/679 definisca dati sanitari i “dati relativi alla salute della persona”, l’ingiunzione in commento estende la qualifica anche alle situazioni in cui non è riferita alcuna patologia: è stato ritenuto sufficiente il mero riferimento al numero di una legge che tratta di persone disabili. Inoltre, l’estensione deriva anche dal fatto la persona disabile potrebbe nemmeno essere compresa nell’elenco pubblicato, considerato che il dipendente scolastico può fruire dei permessi per assistere un familiare. In sostanza la sola numerazione della legge diventa di per sé un dato sanitario. Per quanto l’estensione desti perplessità almeno ai fini sanzionatori, visto che le norme sanzionatorie vanno interpretate restrittivamente, le scuole sono avvisate. In secondo luogo l’ingiunzione insegna che l’errore non scusa: nel caso specifico anziché pubblicare il solo piano ferie è stato diffuso il prospetto di uso interno all’ufficio, relativo a tutte le assenze estive del personale Ata. Infine, non fanno evitare la punizione nemmeno l’accesso riservato al documento e il numero basso di chi ha effettivamente aperto la pagina (nel caso specifico solo otto). Quel che conta è che potevano guardare quel documento anche dipendenti non addetti a trattare quei dati. Fonte: Italia Oggi del 25 ottobre 2022 – di Antonio Ciccia Messina
Pubblicato in Gazzetta Ufficiale il Digital Services Act, sei mesi di tempo per adeguarsi
Flash NewsSabato, 29 Ottobre 2022 11:55 Dopo l’accordo raggiunto la scorsa primavera tra le istituzioni europee, il Regolamento UE 2022/206 (Digital Services Act) è stato pubblicato sulla Gazzetta ufficiale dell’UE del 27 ottobre 2022, con sei mesi di tempo per adeguarsi e sanzioni fino al 10% del fatturato per le organizzazioni rientranti negli obblighi che non rispetteranno le regole. In base al Digital Services Act, che insieme al Digital Market Act (DMA) già pubblicato di recente costituisce il Digital Services Act Package presentato dalla Commissione fin dal 15 dicembre 2020 con lo scopo di costruire nuove regole per l’economia digitale, le piattaforme online come i social media e i siti di e-commerce, dovranno adeguarsi adottando misure per proteggere i propri utenti da contenuti e beni illegali. Le grandi aziende tecnologiche dovranno essere più trasparenti sulle loro operazioni e agire per prevenire la diffusione della disinformazione e gli effetti negativi sui diritti fondamentali. La pubblicità mirata sarà limitata e i “Dark Pattern” e altre pratiche ingannevoli saranno bandite. Piattaforme e servizi online molto grandi (gatekeepers) saranno soggetti a obblighi più severi, proporzionati ai rischi che rappresentano per la società, tra cui quelli di analizzare i rischi sistemici che creano e di effettuare analisi di riduzione del rischio con cadenza annuale per consentire un monitoraggio continuo. A partire da maggio 2023, le grandi piattaforme online identificate come gatekeeper che non si saranno adeguate rischieranno multe fino al 10% del proprio fatturato annuo mondiale totale, e in caso di recidiva potranno essere comminata una multa addirittura fino al 20% fatturato mondiale.
Serietà del danno e gravità della lesione nell’illecito trattamento dei dati personali
SpecialiMartedì, 18 Ottobre 2022 08:39 In data 6 ottobre 2022 l’Avvocato Generale presso la Corte di Giustizia europea ha presentato le proprie conclusioni nella causa C-300/21, avente ad oggetto la risarcibilità dei danni non patrimoniali in conseguenza ad una violazione del diritto alla protezione dei dati personali. La vicenda ha origine in Austria, dove una società editrice aveva raccolto dati personali sulle preferenze politiche di una parte di cittadini. In particolare, tramite un algoritmo, essa individuava gli indirizzi di gruppi di destinatari della pubblicità elettorale dei partiti stessi. Uno degli interessati destinatari delle comunicazioni ricorreva in Tribunale dolendosi di non aver prestato il consenso al trattamento dei propri dati, chiedendo un risarcimento equitativo di euro 1.000 a titolo di danni non patrimoniali subiti in conseguenza dell’illecito trattamento dei dati stessi. Nei primi due gradi di giudizio la domanda dell’interessato era respinta. Giunti al terzo grado di giudizio, la Suprema Corte austriaca domandava alla Corte di Giustizia europea di pronunciarsi in via pregiudiziale per stabilire se la mera violazione delle disposizioni del Regolamento europeo 679/2016 (c.d. GDPR) desse diritto a un risarcimento per così dire automatico, a prescindere dalla circostanza che si fosse verificato un danno. La Corte di Giustizia è quindi chiamata ad accertare se la violazione delle disposizioni del GDPR provochi necessariamente un danno che fa sorgere il diritto al risarcimento, oppure se il danno debba essere dimostrato, raggiungendo una soglia minima di lesività. Nelle proprie conclusioni l’Avvocato Generale ha condivisibilmente rilevato che ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del GDPR non è sufficiente la mera violazione della norma, se essa non è accompagnata dall’allegazione del relativo danno, patrimoniale o non patrimoniale. Il risarcimento del danno disciplinato dal GPDR non si estenderebbe, dunque, alla mera irritazione o fastidio che l’interessato possa provare. Sotto questo profilo la posizione dell’Avvocato Generale è coerente con la giurisprudenza italiana. La Corte di Cassazione afferma da tempo (recentemente, con l’ordinanza 16402/2021) che il danno da violazione del diritto alla protezione dei dati personali non sussiste in re ipsa, dacché il pregiudizio risarcibile non s’identifica con la mera lesione del diritto tutelato dall’ordinamento, bensì con le conseguenze pregiudizievoli causate dalla lesione stessa, le quali devono essere allegate e dimostrate dalla vittima dell’illecito, raggiungendo una soglia di lesività seria ed effettiva. Identificare la nozione di “violazione” con quella di “risarcimento” in assenza di danno, non sarebbe conforme al testo dell’articolo 82 del GDPR, in materia di diritto al risarcimento e responsabilità, che opera espresso riferimento all’esistenza del danno, e neppure alle rationes del GDPR. Sotto quest’ultimo profilo, infatti, due sono gli obiettivi del GDPR, enunciati fin dal suo titolo: i) da un lato, la protezione delle persone fisiche con riguardo al trattamento dei dati personali; ii) dall’altro, che tale protezione si articoli in modo che la libera circolazione di tali dati all’interno dell’Unione non sia né vietata né limitata. Ci si potrebbe tuttavia domandare se vi sia spazio, in quegli ordinamenti che lo consentono, di ritenere che la risarcibilità del danno alla protezione dei dati personali possa avere carattere punitivo, prescindendo dall’esistenza di un danno. Ebbene, nelle conclusioni dell’Avvocato Generale si è giustamente rilevato come il GDPR non contenga alcun riferimento alla natura sanzionatoria del risarcimento dei danni patrimoniali o non patrimoniali, né al fatto che il calcolo del suo ammontare debba riflettere tale natura o che detto risarcimento debba essere dissuasivo (qualità che esso attribuisce invece alle sanzioni penali e alle sanzioni amministrative pecuniarie). Dal punto di vista letterale, pertanto, il GDPR non consentirebbe di prevedere un risarcimento di carattere punitivo. Le considerazioni dell’Avvocato Generale sono pienamente condivisibili, e riflettono l’orientamento prevalente in dottrina e in giurisprudenza nazionale. Del resto, la prospettiva di ottenere un risarcimento indipendentemente da qualsiasi danno stimolerebbe la proliferazione di controversie civili strumentali, disincentivando l’attività stessa di trattamento e di conseguenza quella circolazione dei dati che il legislatore europeo ha inteso assicurare. Fonte: Il Sole 24 Ore del 17 ottobre 2022 – di Alessandro Candini
La dismissione dei componenti hardware a norma di Gdpr
Primo PianoMartedì, 21 Giugno 2022 07:57 Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati. (Nella foto: Monica Perego, docente al Corso ‘Sistemi di Gestione della sicurezza delle informazioni‘) In questo articolo vogliamo approfondire alcuni aspetti organizzativi, considerando che i supporti elettronici, indipendentemente dalla presenza di dati, devono essere smaltiti secondo quanto previsto dal Decreto Legislativo 49/14 modificato dal Decreto Legislativo 118/2020. Smaltire hardware al termine del loro ciclo di vita (EOL) – La dismissione dell’HW ha alla base molteplici motivazioni: – necessità di disporre di sistemi informativi più performanti in linea con le politiche di sviluppo delle organizzazioni;– il caso in cui l’HW non possa più essere adeguatamente aggiornato, via via che vengono identificate nuove vulnerabilità o minacce alla sicurezza, ovvero quando l’uso di controlli (es. la segregazione da altre risorse informative) non è un’opzione praticabile. In termini generali, devono essere stabiliti processi e politiche, documentati attraverso procedure, per l’uso e lo smaltimento sicuro delle apparecchiature mantenute e utilizzate all’interno ed all’esterno dell’organizzazione. Questo prevede la messa a punto di misure specifiche, che possono essere: – dirette (ovvero che impattano direttamente sui processi), come ad esempio: “Gestione degli asset (programma di asset management) “che copra l’intero ciclo di vita dall’acquisto alla dismissione delle apparecchiature e “Migrazione dei sistemi”;– indirette, ovvero relative ai processi di supporto, come ad esempio “Criteri di scelta e qualifica dei fornitori” (compresi quelli di noleggio/smaltimento HW). Per tali procedure, e più in generale per le prassi adottate, devono essere considerati dei punti di attenzione: Aspetti generali – identificare il responsabile della gestione dello smaltimento dell’HW;– indipendentemente dalla tipologia di hardware esso non deve ovviamente essere smaltito come un comune rifiuto, ma devono essere seguite le normative previste per la gestione dei rifiuti elettronici. La gestione degli asset da dismettere – gli asset da considerare comprendono sia quelli presenti internamente all’organizzazione, sia quelli consegnati ai dipendenti (smart-working) e ad altri soggetti, tra cui agenti e collaboratori esterni, ed anche quelli presenti presso altre organizzazioni (es. clienti, fornitori, partner di progetto, contitolari);– la gestione deve considerare le varie tipologia di HW da dismettere (server, portatili affidati al personale, memorie presenti nelle multifunzione, supporti di backup, supporti contenenti dati biometrici, ecc.) per le quali possono essere previste procedure diverse;– devono essere documentati i luoghi di stoccaggio dell’HW da dismettere, i periodi di stoccaggio, le strutture di contenimento, i criteri di ispezione quando le apparecchiature sono in attesa dello smaltimento;– devono essere documentate le informazioni relative ai sistemi dismessi (verbali), ed a quelli che vengono conservati in attesa di valutazione (es. eliminare, riparare, cedere, rivendere, ridistribuire, restituire). Le politiche devono, se del caso, prevedere modalità e criteri di cancellazione degli archivi (ad esempio, software di eliminazione, distruzione fisica delle unità di memoria a stato solido – SSD – e di quelle a disco fisso – HDD), anche tramite l’eventuale coinvolgimento di fornitori certificati, in relazione ai dati contenuti negli archivi; modalità e criteri possono riguardare anche gli aspetti relativi al riutilizzo, ritiro, vendita, cessione/regalo, ai dipendenti o a terzi, o ancora trasferimento ad un altro soggetto (es. società di leasing/noleggio); ciò in alternativa alla dismissione sicura dell’HW;– deve essere valutata la necessità di effettuare controlli anticontraffazione, che devono comprendere la gestione dell’obsolescenza delle parti elettroniche (ricambi);– è necessaria la rimozione dei tag dagli asset prima della loro dismissione (es. etichette con lo stato di classificazione ed altre informazioni che possono permettere di risalire al contenuto, al proprietario, alla configurazione e più in generale ad ogni informazione che possa permettere di risalire all’utilizzo originale dell’apparecchiatura). Fornitori di servizi di smaltimento/noleggio– selezionare i fornitori del servizio di smaltimento sulla base dei criteri di qualifica, effettuare valutazioni ad intervalli di tali fornitori;– selezionare i fornitori del servizio di noleggio HW e riparazione, sulla base dei criteri di qualifica, effettuare valutazioni ad intervalli di tali fornitori. Impatto su altri processi – la destinazione finale dell’HW (cessione, distruzione, ecc.) deve essere comunicata all’amministrazione, in modo che aggiorni l’inventario (HW e SW); misura analoga nel caso di furto/smarrimento dell’HW; lo stesso per quanto concerne le licenze SW;– prima dell’eliminazione dell’HW deve essere valutata, in relazione ai tempi di conservazione definiti, l’eliminazione/archiviazione dei dati e delle informazioni che sono presenti; se è prevista una migrazione di dati, devono essere definiti piani e procedure adeguati per garantire la disponibilità ed integrità dei dati;– le procedure devono contemplare anche l’eliminazione del SW (in particolare quello disponibile con licenze) e l’aggiornamento dell’inventario delle licenze, compresa l’eventuale comunicazione ai fornitori di SW;– se del caso, le regole per lo smaltimento devono considerare anche: accordi di licenza o altri accordi con gli sviluppatori, contratti con i clienti e/o normative applicabili; se l’HW è di proprietà del cliente e lo smaltimento fosse regolato da istruzioni (ad esempio come parte integrante dell’atto di designazione a responsabile), queste devono essere applicate e, se del caso, documentate;– nel caso in cui fosse prevista la dismissione di una serie di apparati o di un’intera sala server è necessario mettere a punto un piano mirato. Ovviamente laddove dovesse essere smantellato un intero datacenter le procedure divengono estremamente più complesse, ma non sono oggetto di questo articolo. In base al principio dell’accountability previsto dal GDPR, un’analisi dell’impatto eseguita sull’intera rete è un passaggio fondamentale del processo di dismissione nella sua accezione più ampia, per comprendere tutti gli effetti che la rimozione avrà sulla rete e su altre applicazioni. A seconda delle dimensioni dell’organizzazione e della scelta di internalizzare o esternalizzare le attività afferenti alla gestione dell’HW, le procedure possono assumere diversi livelli di complessità, richiedendo anche soluzioni personalizzate. Se del caso deve essere garantita la catena di custodia. Conclusione – Le procedure di dismissione dell’HW prevedono una serie di misure che, per quanto debbano essere proporzionate alla tipologia di dati presenti nelle memorie, sono ben più complesse di quanto si possa genericamente ipotizzare. Fondamentale, nei casi più critici, è il presidio della catena di custodia.
Ransomware, due aziende su tre sono colpite dal malware che prende i dati in ostaggio. Colpita anche Coca-Cola con richiesta di maxi-riscatto
Flash NewsMercoledì, 27 Aprile 2022 16:55 Il 66% delle aziende sono state colpite da un attacco ransomware nell’ultimo anno. Lo evidenzia il nuovo rapporto “State of Ransomware 2022” realizzato a cura di Sophos. Quintuplicato rispetto allo scorso anno il riscatto medio pagato per recuperare i dati, che si attesta sui 812.360 dollari, e il 46% delle aziende i cui dati sono stati criptati a seguito dell’attacco ha deciso di pagare il riscatto. Il Rapporto di Sophos, leader globale nella sicurezza informatica, analizza l’impatto che il ransomware ha avuto su 5.600 aziende in 31 paesi nel mondo, Italia compresa. Nel nostro Paese, il 61% del campione di aziende prese in esame nel rapporto è stato colpito da ransomware nell’ultimo anno mentre il 27% si aspetta di essere colpito in futuro. Delle aziende italiane colpite da ransomware, il 63% ha subìto la crittografia dei file, mentre il 26% è riuscito a bloccare l’attacco prima che i dati venissero criptati. Il 43% ha pagato il riscatto e ha recuperato i propri dati, mentre il 78% dichiara di essere riuscito a recuperare i dati grazie al proprio backup. Tra le aziende italiane che hanno pagato il riscatto, il 24% ha recuperato circa la metà dei propri dati e solo il 3% è riuscito a recuperare la totalità dei dati sottratti dai cybercriminali. L’entità del riscatto pagato si attesta nella maggior parte dei casi (37% del campione) tra i 100.000 e i 249.999 dollari. Il 55% delle aziende italiane colpite ha dichiarato che l’impatto sulla propria operatività di business è stato molto alto e che il recovery time è stato fino a 1 settimana per il 36%, fino a un mese per il 34%, mentre solo l’11% del campione ha ripristinato la normalità in meno di un giorno. Per quanto riguarda l’assicurazione dai rischi cyber, il 47% del campione dichiara che la propria polizza copre anche i danni causati da un attacco ransomware, il 7% pur avendo un’assicurazione cyber non ha copertura per questa tipologia di attacco e il 5% del campione dichiara che la propria azienda non ha un’assicurazione contro i rischi cyber. Nello scenario internazionale, proprio nelle ultime ore è stata data notizia che il gruppo ransomware Stormo us ha annunciato di aver colpito la multinazionale Coca-Cola Company, e di aver esfiltrato oltre 160 GB di dati. Il riscatto richiesto all’azienda sarebbe di oltre 64 milioni di dollari statunitensi, ovvero 1,6467000 Bitcoin. A quanto pare, il gruppo di criminali informatici avrebbe anche lanciato prima un sondaggio sul proprio gruppo Telegram chiedendo agli utenti di scegliere il prossimo bersaglio, e la Coca-Cola Company avrebbe “vinto” con oltre il 70% di preferenze. Consapevole degli enormi rischi che comporta per le imprese che vengono colpite da questo pericoloso tipo di malware, il Gruppo di Lavoro per la sicurezza delle informazioni che opera in seno a Federprivacy nelle scorse settimane ha realizzato una specifica infografica a scopo informativo e divulgativo, che è liberamente scaricabile dal sito dell’associazione, e che ha già registrato oltre 1.000 download.
Accesso alla valutazione dei rischi ed al Registro dei trattamenti
Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Se il Registro è ben strutturato, gli autorizzati hanno quindi accesso a varie informazioni: durata del trattamento, modalità di cancellazione/distruzione dei dati, ragioni sociali dei Responsabili designati, ecc. Possono quindi anche segnalare eventuali errori o modifiche (ad esempio la variazione di un Responsabile), in modo da far sì che il documento sia costantemente aggiornato.Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato, di norma sotto la Responsabilità del Privacy Officer. Quest’ultimo dovrà informare gli Autorizzati dell’emissione di una nuova versione del documento rendendola disponibile, ad esempio sulla intranet aziendale. In ogni caso i contenuti del Registro non devono essere comunicati all’esterno dell’Organizzazione. La Valutazione dei rischi – La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Un esempio po’ aiutare a comprendere: Per il trattamento X effettuato tramite un software è documentata, come misura di mitigazione, l’accesso regolamentato da password in possesso solo degli autorizzati che ricoprono il ruolo ALFA e BETA. Sulla base di tale informazione, un malintenzionato potrebbe: – dedurre che i dati presenti nel software non sono criptati e questo evidenzia una debolezza– contattare gli autorizzati che ricoprono il ruolo ALFA e BETA attivando tecniche di social engineering per carpire la password o per ricattarli al fine di poter accedere ai dati Inoltre, il malintenzionato, analizzando le minacce descritte dalla Valutazione dei rischi, potrebbe dedurre che alcune non sono state “considerate” o meglio “documentate”. Ciò peraltro non implica necessariamente che non siano state approntate delle misure in relazione a tali minacce. Alla luce di quanto sopra, la Valutazione di rischi dovrebbe essere un documento con un accesso molto limitato, e dovrebbero essere poste in atto ulteriori misure per rendere difficoltosa la consultazione, come ad esempio: – archiviazione del documento in un’area non accessibile dall’esterno– criptazione del documento– suddivisione del documento in più parti, in modo che l’accesso ad una sola di esse non ne permetta la comprensione La problematica assume ancora più rilevanza nel caso in cui l’Organizzazione agisca come Responsabile del trattamento e quindi le misure che pone in capo debbano essere poste a tutela del Titolare. Quest’ultimo potrebbe indicare, nell’ambito dell’atto di designazione, anche il livello di accesso e di protezione della Valutazione dei rischi per la parte dei dati che deve trattare il Responsabile. Considerazioni simili a quelle effettuate per la Valutazione dei rischi possono essere svolte per quanto riguarda il MOP – Modello Organizzativo Privacy che, per quanto non contenga, di norma, elementi vulnerabili come nel caso della Valutazione dei rischi, è opportuno resti riservato. Il caso della Pubblica amministrazione – Per le Pubbliche amministrazioni vi è anche l’esigenza di bilanciare le informazioni contenute nel Registro dei trattamenti e nella Valutazione dei rischi, a fronte delle seguenti normative: – Decreto legislativo 14 marzo 2013, n. 33 – amministrazione trasparente– Legge n. 241/1990 – accesso agli atti La disponibilità/accesso a tali documenti, dovrebbe essere attentamente valutata in quanto sono molte le vulnerabilità a cui l’Amministrazione si espone permettendo la consultazione in rete o l’accesso a seguito di una richiesta (vari esperti hanno peraltro posizioni diverse a riguardo). Riguardo alla normativa sull’amministrazione trasparente, è stata effettuata una ricerca nel sito dell’Anac per verificare quali documenti riguardanti la protezione dei dati sono presenti; risulta presente solo l’elenco: “Banche dati Anac Autorità Nazionale Anticorruzione”. Per quanto riguarda invece il diritto di accesso si rimanda alla definizione di “documento amministrativo”, vedi legge n. 241/1990. L’art. 22, lettera d) e successivamente modificato dalla legge n. 15/2015. Si definisce documento amministrativo “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Il Titolare quindi determinerà, secondo il principio di autotutela, se la Valutazione dei rischi collide con il principio di trasparenza, dato il rischio di utilizzo delle informazioni in modo lesivo degli interessi della Pubblica Amministrazione. Analoga considerazione può essere effettuata per quanto riguarda l’esercizio del diritto di accesso. Conclusioni – Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente
Password vulnerabili? un assist agli hacker. Le regole per sceglierne una robusta
SpecialiLunedì, 17 Gennaio 2022 10:53 Le password meno sicure sono le più usate. E basta meno di un secondo per scoprirle. Al mondo, nel 2021, la parola chiave più usata è stata «123456». Tra le altre password più gettonate: «qwerty», «password» e «1q2w3e» e anche «111111», «123123» e «iloveyou». Passando ai nomi di persona svetta «Micheal», tra i marchi di automobile primeggiano «Ferrari» e «Porsche», tra gli appartenenti alla fauna «Dolphin» ha la posizione più alta (tutte le graduatorie sono rintracciabili sul sito https://nordpass.com). In Italia anche le squadre di calcio scalano la classifica e tra le compagini del football «juventus» conquista questo non invidiabile scudetto. Considerate da altro punto di vista gli analisti riferiscono dati allarmanti per la vulnerabilità dei dispositivi usati tutti i giorni a chiunque: l’84,5% delle credenziali è scoperto, con l’uso di appositi applicativi, in meno di un secondo. E il dato si è aggravato rispetto a quello, 73%, registrato nel 2020. Esistono tra l’altro tabelle riepilogative sul tempo necessario alla intercettazione della password e anche siti che misurano questo lasso di tempo. Per esempio, accedendo a https://www.security.org/how-secure-is-my-password/ è possibile ottenere immediatamente un riscontro sul tempo che è necessario a un malfattore cibernetico per svelare le credenziali. Diventa, quindi, cruciale sapere come scegliere una buona password. Anzi, poiché la vita, anche nei suoi aspetti quotidiani si svolge in rete, una efficace scelta delle password è necessaria come chiudere la porta di casa quando si esce. È paradossale oltre che autolesionista, quindi, un comportamento lassista o di sottovalutazione, che pur di assecondare la pigrizia e l’inerzia, accetti di correre rischi così alti. Rischi che il sistema di protezione pubblica non dimostra di essere in grado di arginare. Insomma, in rete bisogna aiutarsi da sé a partire dalle parole chiave. A questo riguardo un vademecum divulgativo è stato steso dal Garante della privacy. Impostazione corretta – Stando ai consigli del Garante una buona password deve essere abbastanza lunga: almeno 8 caratteri, anche se più aumenta il numero dei caratteri più la password diventa «robusta» (si suggerisce intorno ai 15 caratteri). La credenziale, poi, deve contenere caratteri di almeno 4 diverse tipologie, da scegliere tra: lettere maiuscole, lettere minuscole, numeri, caratteri speciali (cioè punti, trattino, underscore, ecc.). Non si devono inserire riferimenti personali facili da indovinare (nome, cognome, data di nascita, e così via). La parola chiave non deve nemmeno contenere riferimenti al nome utente (detto anche user account, alias, user id, user name). Inoltre, è meglio evitare che contenga parole «da dizionario», cioè parole intere di uso comune: è meglio usare parole di fantasia oppure parole «camuffate» per renderle meno comuni, magari interrompendole con caratteri speciali (per esempio: caffè può diventare caf-f3). Il Garante informa che esistono infatti software programmati per tentare di indovinare e rubare le password provando sistematicamente tutte le parole di uso comune nelle varie lingue, e con questa accortezza si può rendere il loro funzionamento più complicato. Il Garante ricorda anche che la password andrebbe periodicamente cambiata, soprattutto per i profili più importanti o quelli che si usano più spesso (e-mail, e-banking, social network). Gestione precisa – Il Garante avverte che bisogna utilizzare password diverse per account diversi (e-mail, social network, servizi digitali di varia natura). In caso di furto di una password si evita così il rischio che anche gli altri profili che appartengono alla stessa persona possano essere facilmente violati. Altra accortezza importante è quella di non utilizzare password già utilizzate in passato. Occorre poi ricordare che le eventuali password temporanee rilasciate da un sistema o da un servizio informatico vanno sempre immediatamente cambiate, scegliendone una personale Meccanismi multi-fattore – Il Garante consiglia, per stare più tranquilli, di utilizzare (non sempre disponibili) meccanismi di autenticazione multi-fattore (come codici Otp one-time-password), che rafforzano la protezione offerta dalla password. Conservazione – Per garantire un livello di sicurezza bisogna pensare a scegliere bene le password e, poi, a conservarle ancor meglio: le password non vanno mai scritte su biglietti che poi magari si conservano nel portafoglio o in borsa, o che si possono distrattamente lasciare in giro, oppure in file non protetti sui dispositivi personali (computer, smartphone o tablet). Bisogna evitare sempre di mettere altri a conoscenza delle password via e-mail, sms, social network, instant messaging. Anche se comunicate a persone conosciute, le credenziali potrebbero essere diffuse involontariamente a terzi o rubate da malintenzionati. Se si usano pc, smartphone e altri dispositivi che non ci appartengono, va evitato sempre di lasciare conservate in memoria le password utilizzate. Valutare i gestori – Si tratta di programmi specializzati che generano password sicure e consentono di appuntare in formato digitale tutte le password salvandole in un database cifrato sicuro. Ce ne sono di vario tipo, gratuiti o a pagamento. Il Garante lascia ai singoli la valutazione se usarli o non usarli. di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 17 gennaio 2022)
Formalizzazione dei ruoli previsti dal Gdpr: per imprese e p.a. è bene mettere nero su bianco chi fa cosa
SpecialiLunedì, 27 Settembre 2021 11:25 Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l’articolo dell’11 settembre 2021). In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta sembra semplice, tutt’altro che facile è l’individuazione in concreto. Il titolare decide finalità e modalità del trattamento; i contitolari, invece, decidono insieme le predette finalità e modalità; il responsabile del trattamento è un fornitore esterno, che tratta dati per conto del titolare e, quindi, agisce per le finalità e nell’ambito delle modalità decise dal titolare. Queste le definizioni generali, che però vanno calate nella realtà dei rapporti commerciali e istituzionali, che non sono mai così netti e, anzi, vi è quasi sempre promiscuità nelle posizioni e nei compiti. Per agevolare il percorso, non si può fare altro, dunque, che elaborare alcuni criteri indiziari, ciascuno non decisivo, ma utilizzabili in maniera sistematica per optare per una o l’altra qualifica. L’impresa, il professionista, l’associazione e l’ente pubblico potranno rispondere ai quesiti proposti nella pagina e individuare almeno con una valutazione di prevalenza, se orientarsi verso la titolarità oppure verso il rapporto tra titolare e responsabile. In quest’ultimo caso è d’obbligo la redazione di un contratto seguendo lo standard dell’articolo 28 del Gdpr. Se, invece, ci si sposta verso l’asse del rapporto di contitolarità, è necessario sottoscrivere un accordo ai sensi dell’articolo 26 Gdpr. di Antonio Ciccia Messina (Italia Oggi del 27 settembre 2021)
I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default
FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”
Il consenso va acquisito per ciascun passaggio dei dati tra più titolari.
Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren, infatti, aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren. L’ammontare della sanzione applicata dal Garante è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha, infine, rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria. Lo Staff IusPrivacy è pronto per offrire ulteriori informazioni. https://www.iusprivacy.eu/contatti.jsp
Privacy dipendenti, violazione con sanzione duplice: penale ed amministrativa.
Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e l’adozione di un adeguato sistema di protezione dei dati dall’altra. Il sistema di gestione privacy con l’obiettivo della salvaguardia dei diritti fondamentali assume, non dimentichiamolo, una doppia valenza per le imprese: sicurezza informativa e sviluppo digitale; corretta gestione dei dati nelle dinamiche del diritto del lavoro. E’ proprio in questa ottica che l’adozione di un modello adeguato di protezione dei dati si inserisce perfettamente nell’ambito della responsabilità sociale di impresa. Questo perché etica, sostenibilità e responsabilità sono i pilastri non solo del GDPR ma anche di quelle imprese che guardano al futuro ed a un mondo del lavoro che sta cambiando (smart working, in primis). È proprio in questa ottica che va guardata la vicenda che ha visto intervenire il Garante. Il caso Ai fini di un procedimento disciplinare contro un lavoratore, in un caso dei mesi scorsi che ha fatto scalpore per l’entità della sanzione comminata (40mila euro), la società aveva utilizzato informazioni recuperate dal proprio sistema informatico violando i limiti di conservazione e registrazione stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Come ha ricordato il Garante: in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300). La norma di settore, richiamata espressamente dalla disciplina in materia di protezione dei dati personali, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento. È evidente, quindi, che proprio nella prospettiva dell’integrazione delle due normative che occorre approcciarsi al sistema di protezione e gestione dati, in quanto ciò permetterà di evidenziare tutti gli eventuali limiti e debolezze delle procedure aziendali. L’imprenditore, prima di procedere alla formale contestazione, avrebbe ben dovuto tener conto che il proprio sistema informatico di monitoraggio, diversamente da quanto comunicato all’Ispettorato del lavoro e da quanto indicato nell’informativa, permetteva la raccolta illegittima di informazioni sull’attività lavorativa dei dipendenti. Non solo, dall’istruttoria è anche emerso che quei dati (che comunque non si sarebbero dovuti raccogliere) erano anche stati utilizzati per finalità ulteriori e non previste dalle medesime informative e autorizzazioni. Tra le finalità di trattamento non rientra né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, né, tanto meno quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato. A ciò deve pure aggiungersi che sono state riscontrate irregolarità anche nei tempi di conservazione. Dalla lettura del provvedimento, infatti, sembrerebbe che vi sia sta confusione tra dato anonimizzato, che ha tempi di conservazione pressoché illimitati, e dati pseudonimizzati (come quelli dell’azienda sanzionata) che proprio perché riconducibili a soggetti determinati in associazione ad altre informazioni (di cui il datore di lavoro era in possesso), impongono tempi di conservazione non superiori al conseguimento delle finalità di trattamento perseguite. Pertanto ancora una volta è imporrante sottolineare come l’adozione di un sistema di gestione GDPR, lungi da mettere freni allo sviluppo dell’attività imprenditoriale, deve essere utilizzato come adeguato strumento di sviluppo e tutela: la questione non è se compiere una scelta o meno, ma – nei limiti del rispetto dei diritti fondamentali – come metterla in atto. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ha ingiunto il pagamento della sanzione. Si conclude riportando la rilevante precisazione che il Garante offre a conclusione del proprio provvedimento, laddove l’Autorità osserva, infine, che il proprio accertamento non costituisce una duplicazione rispetto alla decisione del giudice penale, considerato che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Rimane aperta la strada, quando il Legislatore riterrà di ritornare sui propri passi (a mio giudizio scelta auspicabilmente), dell’inserimento dei reati di illegittimo trattamento dei dati personali nell’ambito dei reati presupposto di cui alla legge 231/01. Avv. Emiliano Vitelli
Una telecamera domestica posizionata verso un’area pubblica viola la privacy anche se non c’è l’intenzione di riprendere i passanti
Primo Piano Venerdì, 15 Dicembre 2023 08:32
FAQ
Di seguito alcune risposte alle domande più frequenti poste dalla nuova normativa
E’ già diventato operativo da Maggio 2018 il regolamento europeo 679, approvato dalla Ue nella primavera del 2016, noto come Gdpr (General Data protection regulation). A chi si applica il regolamento?
Quali dati personali riguarda? Quali figure servono in azienda?
Cosa è il GDPR ?
È il Regolamento europeo n. 2016/679 in materia di protezione e sicurezza dei dati personali che introduce nuove regole in materia di privacy.
Il Regolamento è direttamente applicabile in tutti i 28 Stati membri dell’Unione europea.
Ogni trattamento, dalla raccolta all’elaborazione, dalla conservazione alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto al GDPR.
Chi si deve adeguare ?
Tutti i soggetti che compiono attività commerciali, dal libero professionista alla piccola (o piccolissima) azienda fino alla grande Azienda, che trattano dati personali attraverso processi tradizionali (cartacei) o automatizzati (personal computer). Non rientrano invece le attività a carattere personale o domestico senza connessione con un’attività commerciale o professionale.
Come si applica in azienda ?
L’attuazione del regolamento europeo sulla privacy è una azione complicata che esige una attenta analisi della struttura aziendale. Trattare in maniera approssimativa il GDPR può essere molto azzardato soprattutto per i responsabili ed il titolare.
Non trascurare la privacy e non ritenere di essere in regola quando non lo sei; innanzitutto non credere, in modo sbagliato, che tutto si riduca a qualche fascicoletto da riempire, affidati a degli esperti
Quali sono i rischi ? le Sanzioni ?
Si rischia infatti di incappare in sanzioni economiche: fino al 4% del fatturato annuale dell’azienda e fino a 20 milioni di euro. Per i casi più gravi ci sono anche conseguenze penali.
Le sanzioni saranno inflitte in modo graduale sulla base di vari fattori, come la specie, la rilevanza e la durata dell’inosservanza della non conformità. Non Rischiare invano, adeguati subito
Cosa ti offriamo ?
Un “Pacchetto GDPR chiavi in mano” – comodo ed agevole perchè pensiamo a tutto noi – è un servizio di Odisseoprivacy.com che grazie al suo gruppo di esperti qualificati offre soluzioni su misura e assistenza in ogni fase dell’adeguamento per ogni realtà (professionisti, PMI, Grandi Aziende).
Il “Pacchetto GDPR chiavi in mano” include:
- Informative indispensabili per dipendenti, clienti e fornitori;
- Lettere di nomina dei soggetti responsabili o designati al trattamento dei dati;
- Corso di formazione in azienda;
- Analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Registro del Titolare che comprende cronologicamente tutte le attività di trattamento dei dati, delle analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Informative sui trattamenti dei dati effettuati sul sito web aziendale e sui cookie utilizzati
- Vademecum contenente le procedure (dall’assunzione al licenziamento di un dipendente; dall’acquisto alla dismissione di hardware e software e molte altre) e le istruzioni in materia di analisi e valutazione dei rischi, delle misure di sicurezza e dell’obbligo, ove esistente, di nomina del Responsabile per la protezione dei dati (DPO)
CONTATTA LO STAFF
RICHIEDI MAGGIORI INFORMAZIONI O LA VISITA DI UN INCARICATO