Una nuova normativa

…ovvero il GDPR

Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento

Ma quali sono le sue finalità?

• Proteggere i diritti e le libertà delle persone fisiche in relazione al trattamento dei dati personali che le riguardano

• Disciplinare la libera circolazione di tali dati

• In modo uniforme sul territorio UE o con riferimento a suoi cittadinidei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE …

Sanzionate due scuole della regione Campania

Dalla Newsletter del Garante Privacy Italiano n. 463 del 6 marzo 2020

Il Garante per la privacy ha comminato sanzioni di 4000 euro ciascuna a due Licei della regione Campania per aver diffuso illecitamente informazioni non necessarie e dati sulla salute nelle graduatorie dei docenti pubblicate sui siti web degli istituti. [doc. web. nn. 9283029 e 9283014]

L’Autorità, intervenuta a seguito dei reclami di due cittadini, ha riscontrato violazioni nella pubblicazione di dati personali riguardanti circa 1500 docenti in un caso e più di 2000 nell’altro.

Oltre ai dati identificativi, erano stati pubblicati in chiaro sul web, per alcuni anni, dati personali dei docenti non necessari rispetto alle finalità perseguite con la pubblicazione delle graduatorie: codici fiscali, indirizzi di residenza, recapiti telefonici, indirizzi e-mail, numero di figli, codici di preferenza.

Le graduatorie, rimosse dalle scuole a seguito dell’intervento del Garante, contenevano anche dati sulla salute di 25 docenti di un liceo e di 20 dell’altro: accanto al nominativo di alcuni insegnanti compariva infatti una sigla che indicava, in base alla disciplina di settore in materia di istruzione, l’appartenenza alle categorie di “invalidi e mutilati civili”.

L’Autorità, dopo aver dichiarato illecita la pubblicazione di tali dati personali, perché avvenuta in assenza di un presupposto normativo e in violazione dei principi di “liceità, correttezza e trasparenza”, di “minimizzazione dei dati”, nonché del divieto di diffusione di dati relativi alla salute, ha quindi sanzionato gli istituti.

tratto da WIRED.IT
di Luca Zorloni 22 Mar, 2019

Le indagini sono già in corso. Le guida la Data protection commission irlandese, l’autorità nazionale responsabile della tutela dei dati personali, visto che la sede europea di Facebook è a Dublino. Obiettivo: fare luce sul perché per anni le password di centinaia di milioni di iscritti al social network non sono state conservate con le dovute protezioni. E scoprire se utenti europei sono rimasti invischiati nell’incidente. Per il social network si configura una violazione del regolamento europeo per la protezione dei dati personali (Gdpr). Facebook ha fallito, per sua stessa ammissione, nella protezione delle password, che devono essere coperte da cifratura, contemplata dall’articolo 32.

Come Wired ha potuto appurare consultando fonti del Garante europeo per la protezione dei dati (Edps), che sta monitorando gli sviluppi del caso, si profilano altre due violazioni. La prima, che sembra più certa, è il mancato rispetto dell’articolo 33 del Gdpr. Facebook avrebbe violato le norme di sicurezza, perché le password dovrebbero essere criptate, mentre quelle di milioni di utenti (tra 200 milioni e 600 milioni, secondo quanto riferito dal giornalista Brian Krebs) erano archiviate in chiaro su file di testo.

E almeno duemila dipendenti del social network, tra sviluppatori e ingegneri, avrebbero avuto accesso almeno 9 milioni di volte a queste informazioni.

La tesi dell’azienda è che l’incidente non viola il Gdpr e non doveva essere notificato entro 72 ore, perché non c’è stata una fuga di dati all’esterno. Tuttavia l’opinione del garante europeo è diversa. È vero che questa violazione non deve essere comunicata alle autorità entro tre giorni. Però Facebook avrebbe dovuto avvertire immediatamente gli utenti colpiti, perché cambiassero la chiave di accesso. Cosa che non ha fatto, visto che il social network ha ammesso la violazione solo il 21 marzo, dopo aver scoperto le password in chiaro a gennaio. E già questo è un punto a sfavore di Facebook.

La seconda violazione riguarda ancora l’articolo 32 del Gdpr, quello sulla violazione dei dati personali. E nello specifico l’uso improprio dei dati non coperti. Al momento le fonti del garante europeo escludono questa opzione sulla base delle dichiarazioni dell’azienda, che ha affermato che le password non sono state spiate dall’esterno né utilizzate dai dipendenti per entrare nei profili degli iscritti. Ma per ora non ci sono altri riscontri oltre alla parola del social network, la cui credibilità sulla difesa della privacy è ai minimi storici.

La password può essere considerata un dato personale, poiché identifica il soggetto che accede a un determinato account, perciò se un dipendente si fosse intrufolato in un profilo, Facebook sarebbe perseguibile.

Il social network ha dichiarato che le chiavi archiviate senza protezione (con tecniche di crittografia hash, salt e scrypt) appartengono a “centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti di Facebook e decine di migliaia di iscritti a Instagram”. Facebook Lite, una versione del social network adoperata in zone con poca connessione, è diffusa anche in Europa e dal 2017 è disponibile sul mercato italiano.

A guidare le indagini in Europa è l’autorità irlandese, che ha confermato ispezioni in corso. Interpellato da Wired, il Garante della privacy italiano ha spiegato di non aver ancora ricevuto dai colleghi di Dublino informazioni circa un coinvolgimento di utenti del Belpaese. Tramite Twitter Ivo Tarantino, portavoce di Altroconsumo, ha annunciato che l’associazione di consumatori, che dopo lo scandalo Cambridge Analytica ha promosso una class action con 70mila aderenti in Italia contro il social network, si muoverà per censire gli italiani coinvolti e ottenere interventi di riparazione.

Facebook al momento non rilascia dichiarazioni sulla distribuzione dell’incidente, attenendosi agli scarni dati del comunicato ufficiale. Ma negli uffici dei regolatori europei c’è fibrillazione e l’autorità tedesca, a quanto risulta a Wired, ha già sollecitato risposte da Dublino. Se le violazioni fossero confermate, Facebook sarebbe il secondo gigante del web colpito dal Gdpr, dopo la multa di 50 milioni inflitta dal garante francese a Google.

[articolo aggiornato alle ore 18.22 con le dichiarazioni di Altroconsumo]

È opportuno mantenersi aggiornati sulle ultime minacce informatiche, sui trend del cyber crimine e sulle tecnologie e misure di sicurezza utili a contrastarle, così da essere sempre in grado di riconoscere un rischio o una minaccia e agire di conseguenza.

Oltre a conoscere il nemico occorre conoscere sé stessi e il livello di protezione dei propri sistemi, con test di sicurezza e soluzioni con cui analizzare lo stato di sicurezza dei propri dispositivi.

12 dicembre 2018

Una panoramica per imprese e PA sui principali adempimenti necessari da subito per l’applicazione del nuovo Regolamento Ue sulla Data Protection, pienamente in vigore dal 25 maggio.

di Paolo Anastasio | @PaoloAnastasio1 | 30 marzo 2018, ore 08:00 

La Guida del Garante Privacy all’applicazione del regolamento Ue in materia di Protezione dei Dati Personali (scarica il documento in PDF) fornisce un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.

Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.

Consenso esplicito obbligatorio

Per i dati sensibili il consenso deve essere esplicito; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione). Il consenso non deve necessariamente essere per iscritto, anche se la forma scritta del consenso resta inequivocabile. Inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni e può essere abbassato a 13 anni dalla normativa nazionale. Non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).

Il consenso raccolto prima del 25 maggio 2018resta valido se ha le caratteristiche sopra menzionate, altrimenti è opportuno raccoglierlo nuovamente. La richiesta di consenso deve essere chiaramente distinguibile da altre richieste e dichiarazioni rivolte all’interessato.

Informativa, la profilazione va dichiarata

I contenuti dell’informativa sono più ampi rispetto al Codice Privacy. Il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della Protezione Dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, se trasferisce i dati in Paesi terzi e se lo fa con quali strumenti. Il titolare deve specificare il periodo di conservazione dei dati e il diritto di presentare reclamo all’autorità di controllo. L’informativa deve specificare se il trattamento prevede processi decisionali automatizzati (compresa la profilazione), indicando la logica dei processi automatizzati e le conseguenze previste per l’interessato.

In linea di principio, l’informativa deve essere data per iscritto e preferibilmente in formato elettronico. L’informativa va fornita all’interessato prima di effettuare la raccolta dei dati.

Diritti dell’interessato

Il termine per la risposta all’interessato che esercita i suoi diritti (stabiliti in generale negli articoli 11 e 12 del regolamento) è di un mese, estendibile a 3 mesi in casi particolarmente complessi. Il titolare del trattamento deve facilitare l’esercizio dei diritti dell’interessato. Deroghe ai diritti dell’interessato sono ammesse in particolare per quanto riguarda il diritto alla cancellazione/oblio, trattamenti di natura giornalistica e trattamenti per finalità di ricerca scientifica o storica o di statistica.

Diritto di accesso   

Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. I titolari possono consentire agli interessati di consultare da remoto e in smodo scuro i loro dati.

Rafforzato il diritto all’oblio

Il diritto all’oblio è rafforzato. Si prevede l’obbligo per i titolari di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi qualsiasi “link, copia o riproduzione”.

Diritto di limitazione del trattamento (novità)

Si tratta di un diritto diverso dal blocco del trattamento, che l’interessato può chiedere in attesa di una rettifica dei dati da parte del titolare.

Diritto alla portabilità dei dati (novità)

Si tratta di un nuovo diritto previsto dal regolamento, analogo in un certo senso alla number portability in ambito Tlc. Sono portabili soltanto i dati automatizzati (la data portability non si applica agli archivi o registri cartacei) e trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e forniti dall’interessato al titolare (ad esempio in ambito bancario). Il titolare deve essere in grado di trasmettere i dati ad un altro titolare, se tecnicamente possibile, per questo dovrà mettersi nelle condizioni di poter produrre i dati in formato interoperabile.

Titolare, responsabile, incaricato del trattamento  

Il regolamento disciplina la contitolarità del trattamento, le caratteristiche con cui il titolare designa un responsabile del trattamento con un contratto specifico, consente la nomina di sub-responsabili del trattamento. Prevede obblighi specifici in capo al responsabile del trattamento, primo fra tutti la tenuta del registro dei trattamenti svolti; l’adozione di misure tecniche e organizzative idonee per garantire la sicurezza dei trattamenti, la designazione di un RPD-DPO.

Anche il responsabile di trattamento non stabilito nella Ue dovrà designare un rappresentante in Italia.

Valutazione d’impatto e accountability di titolari e responsabili

Il regolamento pone l’accento sul principio di responsabilizzazione (accountability) di titolari e responsabili, in base ai criteri di privacy by default e by design, in base alla necessità di prevedere fin dall’inizio i requisiti necessari per rispettare il regolamento e tutelare i diritti degli interessati. In questo senso, il responsabile dovrà svolgere valutazioni d’impatto sui rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di adottare per mitigare i rischi.

Registro dei trattamenti (fondamentale)

Tutti i titolari e responsabili di trattamento, eccezion fatta per gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento.

Notifica delle violazioni di dati personali (72 ore per i data breach)

Tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque senza ingiustificato ritardo ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Responsabile della protezione dei dati (DPO profilo centrale)

La sua designazione è una novità in ottica di accountability. Questa figura è finalizzata a semplificare l’attuazione del regolamento da parte del titolare/responsabile.

Trasferimenti dati verso Paesi terzi

Il trasferimento verso un Paese terzo adeguato è consentito anche senza l’autorizzazione nazionale, che tuttavia sarà ancora necessaria da parte del Garante se un titolare desidera usare clausole contrattuali ad hoc (cioè non riconosciute come adeguate tramite decisione della Commissione Ue).

• La Guida in PDF del Garante Privacy all’applicazione del Regolamento Europeo in materia di dati Personali 
• GDPR, il testo in PDF del nuovo regolamento UE. Principali novità e 12 cose da fare

ROMA – Oltre mezzo miliardo di account rubati nel mondo, per l’esattezza 557 milioni e 745mila, e poco meno di 17.8 milioni di domini violati. Sono questi i numeri che affiorano scandagliando il dark web in cerca di chi vende dati trafugati. Fra le vittime 11.3 milioni è il totale di username e password prese ad organizzazioni italiane e 289 mila i nostri domini penetrati da un attacco informatico nell’ultimo anno. Lo sostiene l’indagine sulla cybersecurity, che qui pubblichiamo in anteprima, condotta dalla Yoroi di Bologna. Ha usato una sorta di motore di ricerca in grado di rintracciare le offerte nella parte non indicizzata del Wolrd Wide Web, quella che fugge a Google.

Numeri alti, ma solo in apparenza alti. I domini italiani coinvolti in un “data breach”, un furto di dati, rappresentano infatti circa l’1,6% del totale, mentre il numero di account italiani rubati equivale al 2% di quelli esistenti. E sono numeri in linea con il resto del mondo. “Vuol dire che per la prima volta sappiano che il nostro Paese non è più fragile di altri da questo punto di vista”, spiega Marco Ramilli, a capo della Yoroi.

 

 

Di davvero allarmante c’è invece il fatto che ben il 58% dei Ransomware, una tipologia di software malevolo (detti malware) che si impossessa di una macchina e la blocca finché non viene pagato un riscatto come nel caso di NotPetya e WannaCry, non è stato identificato da nessun antivirus. E anche il 23% dei Trojan, usati invece spesso per spiare la vittima, è sfuggito. L’altro dato da tenere in considerazione è che nell’89% dei casi l’attacco è partito con una mail alla quale è stato allegato un file che ha funzionato da cavallo di Troia. E quando l’attacco è andato a buon fine è stato perché qualcuno non ha guardato bene da dove arrivava la mail e ha aperto il file per distrazione.Il basso numero in percentuale di dati in vendita di aziende italiane sul dark web non ci mette perà al riparo o né significa che possiamo abbassare la guardia. In pericolo non è tanto la privacy del singolo cittadino, che difficilmente diventa un obbiettivo da spiare e che altrettanto difficilmente si trasforma in vittima a meno che non compia un’imprudenza come cliccare su un link sbagliato o aprire il file sospetto arrivato via mail, quanto le aziende e ovviamente le personalità di spicco.

Il furto di segreti e processi industriali sta diventando uno sport di massa praticato da tutto il mondo. E l’Italia, con le sue mille eccellenze diffuse sull’intero territorio, è una preda importante. “Il fenomeno con cui ci stiamo confrontando viaggia ad una velocità mai conosciuta in passato”, aveva detto a Milano poco tempo fa il prefetto Alessandro Pansa, a capo del Dipartimento delle informazioni per la sicurezza (Dis), i nostri 007 nel mondo della cybersecurity. “Dobbiamo costruire ciò che serve in un mondo in divenire. E anche se ci organizziamo per fronteggiare la minaccia che conosciamo, appena siamo pronti la minaccia è già cambiata”, aveva poi aggiunto.

A Roma la nostra intelligence è tornata poi sull’argomento scendendo più nel dettaglio. A suo giudizio la minaccia più significativa è proprio lo spionaggio digitale, messo in atto da strutture professionali che hanno tempo e strumenti per aggirare o superare i sistemi di sicurezza e che colpiscono obbiettivi specifici per sottrarre informazioni sensibili da usare magari per negoziare accordi e contratti migliori o eliminare la concorrenza.

Nel suo Annual Cybersecurity Report, la Cisco fa sapere che da noi solo il 38% delle circa 200 aziende che ha intervistato stima di aver subito danni a causa di attacchi informatici inferiori ai 100mila dollari. Per un altro 37% si è invece superato il mezzo milione, mentre il 25% ha subito danni per cifre comprese tra i 100mila e i 499mila dollari. Questo significa che il 62% ha dovuto far fronte ad una falla grave. Ma stiamo parlando di interviste. Così come capita per un altro rapporto, stavolta di Ernest e Young, nel quale poco più di un manager su dieci fra quelli interpellati pensa di avere in azienda le professionalità adeguate per fronteggiare l’era del cybercrimine.

Tornando ai dati raccolti sul campo, quelli dalla Yoroi, sappiamo che in Italia il 50% degli attacchi del 2017 è stato rappresentato da Ransomware. Il resto, 25%, sono “dropper” (sistemi “portatori” di altri malware) e al terzo posto ci sono i Trojan con il 17%. Stupisce che a fronte di un fenomeno che tutti giudicano in crescita progressiva se non esponenziale e dove oramai si fa uso di algoritmi e di reti neurali per modificare di continuo i malware e fabbricarne nuove varianti difficili da rintracciare, sia così poco diffusa una conoscenza del fenomeno fra aziende e cittadini qui come altrove e che si faccia così poco per risolvere il problema.

Mentre Norton ci fa sapere che i cyber criminali hanno sottratto nel mondo 146,3 miliardi di euro a 978 milioni di consumatori di venti Paesi, ma è solo una delle tante stime che circolano, anche il business della sicurezza informatica cresce di pari passo e c’è chi soffia sul fuoco per aumentare la paura nelle aziende. Questo, non a caso, è un settore che fa uno sfoggio smodato di terminologia tecnica inglese anche quando è del tutto inutile o facilmente traducibile. Facendo venire il sospetto che lo si voglia mantenere universo intellegibile a pochi così che quei pochi possano poi fare il bello e il cattivo tempo mentre lanciano un allarme dopo l’altro.

BB Tech: la capillarità del canale per affrontare meglio il GDPR

Il canale di BB Tech Group può veicolare le soluzioni e i servizi di risk management di Risk Solver, pensando in particolare al GDPR

• Sicurezza

Autore: Francesco Pignatelli

La corsa delle aziende ad adeguare i propri processi per la gestione dei dati personali alle indicazioni del GDPR è iniziata, o quantomeno dovrebbe esserlo. Ma all’entrata in vigore della normativa manca ormai poco ed è assai difficile che tutte le imprese possano completare questa loro evoluzione per tempo. Anche perché – questione non da poco – non devono solo capire la normativa e soprattutto il suo spirito: devono anche trovare gli strumenti che servono per mettersi in regola.

In una nazione fatta in grande prevalenza da imprese di medie e piccole dimensioni il mezzo migliore per diffondere sia le tecnologie sia le competenze dettate dal GDPR è passare attraverso un canale presente capillarmente sul territorio. Partendo però da un capofila che punti nettamente sui servizi e sulle soluzioni a valore aggiunto, in chiave progettuale. BB Tech Group risponde a questa descrizione e sarà la sua rete di rivenditori a veicolare, grazie a un accordo specifico, le soluzioni di risk management sviluppate da Risk Solver.

L’offerta di Risk Solver viene considerata – ha spiegato Giampaolo Bombo, CEO di BB Tech Group – complementare a quella preesistente di BB Tech e mette in condizione gli operatori di canale di proporre soluzioni, servizi e competenze che i loro clienti presto richiederanno, se non l’hanno già fatto.

L’approccio di Risk Solver è peraltro trasversale ai processi dell’azienda che decide di seguirlo, elemento pienamente in linea con lo spirito del GDPR. Questo rappresenta un netto distacco dal modello quasi “prescrittivo” di altre norme precedenti, in particolare il Codice Privacy, che impongono una sorta di lista della spesa di adempimenti che le aziende subiscono con poca consapevolezza.

Lo spirito del GDPR è invece responsabilizzare ciascun soggetto che tratta e gestisce dati personali, mantenendo la normativa abbastanza elastica da adattarsi a qualsiasi situazione concreta. “Non è il legislatore a dire cosa fare – ha sottolineato l’avvocato Giovanna Ianni dello Studio Lexalia di Milano – ma il gestore a dover ‘conoscere sé stesso’ per poi mettere in atto tutte le misure che risultano necessarie per evitare che i dati personali vadano perduti, anche involontariamente, e siano gestiti correttamente“.

Così Risk Solver delinea un vero e proprio percorso che parte da una fase di pre-assessment necessaria a formalizzare come sono trattati i dati personali in azienda e quindi a definire i livelli di rischio correlati al trattamento. Il pre-assessment comprende una analisi tecnologica per la valutazione dei rischio informatico e anche una valutazione del rischio reputazionale. In questa fase una piattaforma di risk management porta a un risk scoring che rappresenta il punto di riferimento iniziale in rapporto agli obiettivi da raggiungere. Così si identificano le aree più critiche su cui intervenire per ridurre il rischio.

Nella fase successiva entrano in gioco diversi strumenti informatici per il monitoraggio e il controllo di quanto sta avvenendo nella propria infrastruttura IT. Controllando il traffico dati via web e sulla rete interna e impiegando elementi di analisi comportamentale diventa possibile rilevare attività improprie nella gestione dei dati. Rispetto alla norma questi strumenti concretizzano i principi della privacy by design e della privacy by default, garantendo che la gestione delle informazioni sia a priori corretta e si mantenga tale. Nella pratica gli strumenti software svolgono una vasta gamma di funzioni che comprende ad esempio la limitazione dell’accesso a servizi cloud, il controllo remoto dei dispositivi, la gestione di patch e aggiornamenti, la verifica della presenza o meno di certi tipi di dati sui singoli dispositivi, il backup.

Parallelamente Risk Solver offre una piattaforma cloud per semplificare e automatizzare parzialmente la gestione degli adempimenti più formali del GDPR, come l’emissione delle informative, la richiesta dei consensi o le nomine interne delle figure previste dalla normativa. Questa piattaforma è in particolare molto utile in caso di data breach: oltre a semplificare la compilazione dei documenti di notifica, avendo tenuto traccia di tutta la documentazione creata nel processo di adeguamento agli adempimenti può evidenziare tutto quello che è stato fatto e mitigare così le responsabilità collegate al data breach.

Accanto alle soluzioni tecnologiche vere e proprie, Risk Solver propone servizi di formazione a vario livello per dipendenti, responsabili, titolari e a breve anche Data Protection Officer. A disposizione degli utenti ci sono poi processi di certificazione e servizi per la definizione di eventuali polizze assicurative a copertura del rischio residuo che non è stato possibile annullare puntando solo sulla tecnologia.

Pubblicato il: 18/01/2018