SpecialiMartedì, 18 Aprile 2023 05:42 Rebus sanzioni privacy in caso di estinzione della persona giuridica che ricopre il ruolo di titolare del trattamento. In materia di privacy la responsabilità delle sanzioni va attribuita, infatti, al titolare del trattamento e, quindi, quando si parla di un ente, all’ente stesso. Questa regola è seguita dalla giurisprudenza civile (si veda per esempio la Corte di cassazione, con le ordinanze n. 18292/2020 e n. 8184/2014 o, ancora la pronuncia n. 13657/16). Con esse si statuisce che, in materia di privacy, si deroga al principio della imputabilità personale della sanzione e si configura un’autonoma responsabilità della persona giuridica. Cioè risponde l’ente e non un trasgressore persona fisica. Tale responsabilità, spiega la Cassazione, non può, però, ritenersi oggettiva ma, analogamente a quanto previsto dal d.lgs. n. 231 del 2000 in tema di responsabilità da reato degli enti, va configurata come “colpa di organizzazione”. Se la colpa è sempre dell’organizzazione, ci si chiede che cosa capita alle sanzioni irrogare dal Garante della privacy a seguito dell’estinzione, per qualsiasi ragione, dell’ente. Il principio generale è che le sanzioni amministrative a carico di quest’ultima non sono trasmissibili. Anche questo principio è desumibile da pronunce della Corte di cassazione (ord. nn. 30011/2022 e 29112/2021). La regola seguita dalla Cassazione dispone che la responsabilità per l’illecito amministrativo ha natura strettamente personale. Conseguentemente, come la responsabilità penale, anche la responsabilità per l’illecito amministrativo ha natura strettamente personale. Da qui la conclusione per cui l’estinzione del trasgressore comporta l’intrasmissibilità ad altri delle sanzioni irrogate. In particolare, l’estinzione della società cui sia stata elevata la contestazione determina l’intrasmissibilità della sanzione sia ai soci, che al liquidatore. La regola applicata sia dai giudici di merito sia dalla Cassazione è codificata dall’articolo 7 della legge 689/1981 e in alcune leggi speciali. Ma cosa capita nel settore della protezione dei dati? Il Codice della privacy (d.lgs. 196/2003), all’articolo 166, afferma che nell’adozione dei provvedimenti sanzionatori di competenza del Garante della privacy si osservano, in quanto applicabili, tra gli altri, gli articoli da 1 a 9 della legge 689/1981 e, quindi, anche la disposizione sulla non trasmissibilità delle sanzioni. Stando all’orientamento della Cassazione a proposito della responsabilità del titolare del trattamento, se questo titolare non c’è più, allora risulta compatibile, anche nell’ordinamento privacy, la regola dell’intrasmissibilità della sanzione. Fonte: Italia Oggi del 17 aprile 2023 – di Antonio Ciccia Messina

Primo Piano – Articolo pubblicato sul sito di FEDERPRIVACYLunedì, 02 Gennaio 2023 08:41 La cyberwar è intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico si parla di cyberwarfare per fare riferimento ad attacchi informatici condotti non contro singole aziende, ma contro intere nazioni. Tali attacchi creano danni diretti e indiretti di vario tipo, sconvolgimento di funzioni sociali vitali e, in casi estremi, anche perdite di vite umane. (Nella foto: Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy) La cyberwar è tipica della terza rivoluzione industriale (o postindustriale), come la guerra elettronica lo è stata della seconda. Possiede aspetti tecnico-operativi sia offensivi che difensivi e viene utilizzata sia in tempo di pace che nel corso di conflitti armati. Dal punto di vista offensivo, l’attacco cibernetico può utilizzare diverse tecniche e tattiche e proporsi diversi obiettivi: intercettazione di dati; inabilitazione delle reti e degli equipaggiamenti informatici nemici; attacco alle infrastrutture critiche (elettricità, gasdotti e oleodotti, rete delle telecomunicazioni commerciali e finanziarie, trasporti ecc.). Le modalità di attuazione degli attacchi vanno dal superamento dei sistemi protettivi e dall’entrata nelle reti informative e nelle banche dati, con finalità varie (dall’acquisizione di informazioni al vandalismo di hacker individuali), all’attacco massiccio condotto da unità specializzate, alla diffusione di virus informatici o di worm, per neutralizzare reti, sistemi d’arma o di comando, di controllo e di comunicazione. Molti preferiscono parlare di cyberwarfare per esprimere meglio un concetto equivalente al “campo di battaglia digitale”, un nuovo scenario nel quale la guerra fra Stati si sposta dal piano reale a quello virtuale. Usare il termine “virtuale” non deve però trarre in inganno. Nel mondo odierno praticamente tutti gli elementi della nostra vita dipendono da una qualche forma di strumento digitale: dai trasporti alla produzione dell’energia, dalla sanità alla comunicazione, dal lavoro allo svago. Attaccare le nostre infrastrutture digitali, impedendogli di funzionare correttamente, significa allora attaccare le nostre infrastrutture reali, in modo non dissimile a un attacco terroristico. Non stupisce quindi che la guerra si stia trasferendo sempre più su questo nuovo piano, creando scenari del tutto nuovi che richiedono conoscenze precise e misure adeguate alla minaccia. Nello specifico per cyberwarfare si intende: 1 – Attacco a infrastrutture –  Si tratta di attacchi contro il sistema informatico che gestisce infrastrutture critiche per il funzionamento di uno stato, come i sistemi idrici, energetici, sanitari, dei trasporti e militari. 2 – Attacco ad apparecchiature –  Questo tipo di attacco, più militare in senso classico, ha l’obiettivo di compromettere il funzionamento di sistemi di comunicazione militari come satelliti o computer. 3 – Guerriglia Web –  In questo caso l’attacco consiste in rapidi atti vandalici contro server e pagine web, creando più scompiglio che veri e propri danni informatici. 4 – Cyberspionaggio – Proprio come lo spionaggio classico, questa attività cerca di rubare informazioni sensibili, siano esse di carattere militare che aziendale, avendo spesso come obiettivo grandi compagnie nazionali. 5 – Propaganda – Questo tipo di attacco è più nascosto e subdolo: il suo scopo è quello di infondere dubbi nella popolazione e creare malcontento attraverso la divulgazione di messaggi politici e fake news, soprattutto attraverso i social. Naturalmente per approfondire la conoscenza di questa nuova realtà è necessario acquisire ed approfondire le nozioni essenziali di cybersecurity e quindi cosa si intende per cyber risk, come è possibile difendersi da attacchi informatici o prevenire gli stessi. il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena). I rischi di natura endogena sono: – Naturali: incendi, calamità naturali, inondazioni, terremoti.– Finanziari: variazione dei prezzi e dei costi, inflazione.– Strategici: concorrenza, progressi scientifici, innovazioni tecnologiche.– Errori umani: modifica e cancellazione dei dati, manomissione volontaria dei dati. I rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono: – Danneggiamento di hardware e software.– Errori nell’esecuzione delle operazioni nei sistemi.– Malfunzionamento dei sistemi.– Programmi indesiderati. Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici. Ma vi sono anche le truffe informatiche, la pedo-pornografica, il cyberbullismo, i ricatti a sfondo sessuale derivanti da video chat on line e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese. Ogni giorno vengono compiuti migliaia di attacchi informatici attraverso le tecniche più varie e termini come malware, ransomware, trojan horse, account cracking, phishing, 0-dayvulnerability sono diventati parte del vocabolario anche per i non esperti. Per evitare attacchi informatici, o almeno per limitarne le conseguenze, è necessario adottare delle contromisure; i calcolatori e le reti di telecomunicazione necessitano di protezione anche se come in qualsiasi ambiente la sicurezza assoluta non è concretamente realizzabile. Il modo per proteggersi è imparare a riconoscere le origini del rischio. Gli strumenti di difesa informatica sono molteplici, si pensi antivirus, antispyware, blocco popup, firewall ecc., ma tuttavia non sempre si rivelano efficienti, in quanto esistono codici malevoli in grado di aggirare facilmente le difese, anche con l’inconsapevole complicità degli stessi utenti. Un altro aspetto di notevole importanza del rischio informatico è il risk management (gestione del rischio) che è quel processo attraverso il quale si misura o si stima il rischio e successivamente si sviluppano le strategie per fronteggiarlo. La gestione del rischio, così come descritto nella Convenzione Interbancaria per i problemi dell’Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi: – Identificazione del rischio;– Individuazione delle minacce;– Individuazione dei danni che posso derivare dal concretizzarsi delle minacce e la loro valutazione;– Identificazione delle possibili contromisure per contrastare le minacce arrecate alle risorse informatiche. Diverse sono le modalità di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un’azienda, persona o ente ritiene accettabile si distinguono: – Evitare: si modificano i processi produttivi, modalità di gestione ed amministrazione con lo scopo di eliminare il rischio.– Trasferire il rischio ad un altro soggetto: il trasferimento del rischio avviene nei confronti di assicurazioni, partner e si tratta principalmente di rischi economici perché più facilmente quantificabili.– Mitigare: consiste nel ridurre, attraverso processi di controllo e verifica, la probabilità del verificarsi del rischio o nel limitarne la gravità delle conseguenze nel caso in cui si verifichino.– Accettare: ossia assumersi il rischio ed i relativi costi. NOTE AUTORE Michele Iaselli Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS – dipartimento di giurisprudenza. Specializzato presso l’Università degli Studi di Napoli Federico II in “Tecniche e Metodologie informatiche giuridiche”. Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa – Twitter: @miasell

Flash NewsGiovedì, 16 Marzo 2023 06:29 Il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico. Il caso della multa da mezzo milione di euro alla società di e-commerce che aveva nominato un DPO in conflitto d’interessi. Bernardi: “Con applicazioni fuorvianti del GDPR ci sono imprese di pulizia che sono state nominate responsabili del trattamento solo perché i loro addetti vedono informazioni aziendali quando svuotano i cestini dei rifiuti”. Paola Casaccino: “Spesso le società sanzionate si erano affidate a consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza. Necessario passare dalla teoria alla pratica”. Firenze, 16 marzo 2023 – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento UE sulla protezione dei dati personali vengono applicate in modo teorico o approssimativo, e migliaia di imprese che pure hanno investito soldi e risorse per adeguarsi alla normativa europea si trovano loro malgrado esposte a sanzioni da parte delle autorità di controllo. Non è quindi un caso che da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato quasi mille addetti ai lavori è emerso che il 78% degli intervistati ritiene che le aziende curano il rispetto del GDPR come un mero adempimento burocratico, mentre solo il 18% bada sia alla burocrazia che alla sostanza, e il residuo 4% mira invece alla sostanziale protezione dei dati. Ad esempio, una società di e-commerce che doveva adempiere all’obbligo di dotarsi di un Data Protection Officer aveva nominato un proprio funzionario che allo stesso tempo era però anche amministratore delegato di altre due società di servizi che egli stesso doveva controllare, e il palese conflitto d’interessi di recente è costato all’azienda una multa da 525.000 euro. A fare la sintesi delle conseguenze a cui può portare una gestione grossolana degli adempimenti del GDPR è Nicola Bernardi, presidente di Federprivacy: “Quando un’azienda applica tout court le prescrizioni del GDPR senza tenere conto del contesto e della ratio legis, il rischio concreto è quello di generare rilevanti incongruenze nella compliance, e non è raro imbattersi in situazioni distorte come quella del DPO che opera in conflitto d’interessi, oppure in articolate procedure che oggettivamente non garantiscono di poter notificare un data breach nelle 72 ore successive all’evento, ristrettive lettere di autorizzazione agli addetti che poi nella realtà dei fatti possono accedere a tutti i dati aziendali, o addirittura in imprese di pulizie che, applicando in modo distorto l’art.28 del Regolamento UE, sono state nominate responsabili del trattamento solo perché i loro addetti possono accidentalmente accedere a informazioni aziendali mentre svuotano i cestini della spazzatura”. (Nella foto: Nicola Bernardi, Presidente di Federprivacy) L’importanza di conseguire una conformità concreta che non si limiti puramente agli aspetti formali del GDPR, sarà pertanto uno degli argomenti al centro del dibattito del prossimo Privacy Day Forum, che quest’anno sarà arricchito da approfondimenti e focus da parte di un board di esperti, di cui farà parte anche Paola Casaccino, Senior Manager di KPMG, che a questo riguardo spiega: “Nonostante il principio di accountability introdotto dall’art.23 del Regolamento UE 2016/679 abbia responsabilizzato le imprese richiedendo loro di adottare comportamenti proattivi per dimostrare in concreto la propria conformità tramite misure tecniche ed organizzative, spesso si riscontra che le società sanzionate abbiano curato gli adempimenti in modo del tutto formale, e in molti casi si siano purtroppo affidate a dei consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza. Occorre quindi che, oltre a dedicare risorse e budget adeguati, il management aziendale si avvalga anche di DPO e professionisti in grado di fornire loro soluzioni operative che assicurino una reale conformità al GDPR, passando così dalla teoria alla pratica.” (Nella foto: Paola Casaccino, Senior Manager di KPMG) Oltre ad essere rappresentata dall’Avv. Casaccino nel dibattito degli esperti, quest’anno KPMG sarà anche Top Partner del Privacy Day Forum che si svolgerà il 25 maggio al CNR di Pisa, a cui è prevista la presenza di oltre 1.000 addetti ai lavori. Sondaggio Adempimenti rispetto GDPR

Privacy & SocietàSabato, 29 Ottobre 2022 09:15 Con un solo “no” fuori da tutti gli elenchi telefonici e possibilmente dai motori di ricerca su internet. È quanto prevede il Gdpr (regolamento Ue sulla privacy n. 2016/679), come interpretato dalla Corte di Giustizia Ue nella sentenza del 27/10/2022, resa nella causa C-129/21. Se una persona revoca il consenso alla pubblicazione e scambio delle numerazioni dato a una società di telefonia che compila elenchi telefonici, dunque, quest’ultima deve informare altri operatori omologhi, con cui, sulla base di quel consenso, condivide le numerazioni telefoniche. Inoltre, chi riceve la revoca del consenso deve anche informare i motori di ricerca in Internet della predetta richiesta di cancellazione. Insomma, se i dati circolano poggiandosi su un consenso unico, lo stop al flusso è imposto da un uguale e contrario unico dissenso, che, comunicato a un operatore, vale per tutta la filiera. La decisione dei giudici del Lussemburgo è molto tecnica, ma il concetto è molto semplice. Tutela della privacy significa dare all’individuo il potere effettivo di scegliere dove vanno a finire le informazioni che lo riguardano: cosa molto difficile nella società dell’informazione, dove una volta messa sulla rete Internet, l’informazione passa di mano in mano finché non se ne perdono le tracce. La sentenza tenta di arginare la tendenziale inarrestabilità della peregrinazione dei dati tra server, cloud e data base e stabilisce una serie di principi applicabili fuori dall’ambito delle telecomunicazioni, tutti ispirati all’idea che il diritto a controllare i propri dati deve vivere anche nell’impalpabilità del mondo virtuale e chi mette in giro i dati ne ha la responsabilità di fronte alla persona cui si riferiscono. Il primo principio messo nero su bianco dai giudici europei dice che ci vuole il consenso dell’abbonato di servizi telefonici per mettere i suoi dati personali negli elenchi telefonici e nei servizi di consultazione degli elenchi telefonici accessibili al pubblico. La Corte aggiunge che il consenso può essere dato a uno per tutti. Il secondo principio riguarda una precisazione: la richiesta di un abbonato di eliminazione dei suoi dati dagli elenchi telefonici e dai servizi pubblici di consultazione è un diritto alla cancellazione dagli elenchi, previsto dall’articolo 17 Gdpr: se violato si applica la sanzione fino al 20 milioni di euro. Il terzo principio va al cuore del problema e cioè che cosa deve fare un fornitore di elenchi telefonici e di servizi di consultazione quando gli arriva una richiesta di cancellazione da parte dell’abbonato. In base al Gdpr l’operatore di TLC deve dare notizia della revoca del consenso agli altri fornitori di elenchi con cui ha rapporti di dare/avere ad oggetto le numerazioni. Si tratta di un obbligo imposto dagli articoli 5 e 24 Gdpr, con sanzione che può arrivare a 20 milioni di euro. Infine, ai sensi dell’articolo 17 Gdpr, sempre a fronte della richiesta dell’abbonato di non pubblicare più i suoi dati, il fornitore di elenchi e relativi servizi di consultazione deve fare il meglio che può per informare i gestori dei motori di ricerca della di cancellazione. Anche per quest’ultimo adempimento, all’orizzonte si profila, in caso di inosservanza, una sanzione fino a 20 milioni di euro. La sentenza rimette sugli altari il diritto alla riservatezza e impone condotte di responsabilità sociale alle imprese della società dell’informazione, che, da un lato, possono avvalersi di un solo consenso per fruire in comune di dati portatori di fatturato ma, dall’altro, simmetricamente, devono garantire che basta un dissenso solo a dichiarare la fine dei giochi. Fonte: Italia Oggi del 28 ottobre 2022 – di Antonio Ciccia Messina

Flash NewsGiovedì, 07 Luglio 2022 11:44 Sono stati 448 i provvedimenti collegiali adottati nel 2021 dal Garante per la protezione dei dati personali, con un aumento di oltre 56% rispetto all’anno precedente. I provvedimenti correttivi e sanzionatori sono stati 388, mentre le sanzioni riscosse sono state di circa 13 milioni 500 mila euro. Questi alcuni dei numeri emersi dalla Relazione Annuale dell’Autorità presieduta da Pasquale Stanzione. (Nella foto: Pasquale Stanzione, presidente del Garante per la protezione dei dati personali) Di fronte all’alto numero di attacchi informatici registrati negli ultimi tempi anche nel nostro Paese, il Garante ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha fornito indicazioni, in particolare, su come difendersi dai ransomware, software che prendono “in ostaggio” un dispositivo elettronico per poi “liberarlo” a fronte del pagamento di somme di denaro. Una minaccia, questa, che si è particolarmente diffusa anche in Italia. Significativo a questo proposito il numero dei data breach notificati nel 2021 al Garante da parte di soggetti pubblici e privati: 2071 (con un aumento addirittura di circa il 50% rispetto al 2020), molti dei quali relativi alla diffusione di dati sanitari che hanno portato anche a sanzioni. Interventi dell’Autorità hanno riguardato in questo ambito anche grandi piattaforme social come Facebook e LinkedIn. Nello svolgimento delle proprie attività istituzionali, lo scorso anno il Garante ha fornito riscontro a oltre 18.700 quesiti e 9.184 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati on line delle pubbliche amministrazioni; la sanità; la sicurezza informatica; il settore bancario e finanziario; il lavoro. I pareri resi dal Collegio su atti normativi e amministrativi sono stati 72 ed hanno riguardato sanità; fisco; giustizia; istruzione; digitalizzazione della pubblica amministrazione; funzioni di interesse pubblico. Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 12, e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori; accessi abusivi a sistemi informatici o telematici; trattamento illecito dei dati; falsità nelle dichiarazioni; inosservanza dei provvedimenti del Garante. Le ispezioni effettuate nel 2021 sono state 49, avendo subito l’impatto dell’emergenza pandemica. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, fatturazione elettronica; fornitori di banche dati; videosorveglianza domestica; banche dati reputazionali; marketing e profilazione; data breach; food delivery. Nel mondo del lavoro in materia di controllo a distanza, il Garante è intervenuto a tutela dei call center e delle piattaforme di delivery, con due sanzioni per complessivi 5 milioni e 100 mila euro. L’autorità è anche intervenuta per chiedere che ai lavoratori vengano fornite adeguate informazioni sui sistemi aziendali in uso. Sul fronte della tutela dei consumatori il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, per un importo complessivo di 38 milioni di euro nel solo 2021, la maggior parte delle quali riguardano utilizzo senza consenso dei dati degli abbonati. Particolare attenzione è stata posta all’uso dei dati biometrici e al riconoscimento facciale. L’Autorità ha sanzionato per 20 milioni di euro Clearview, società specializzata in riconoscimento facciale che acquisisce dati sul web e le ha vietato l’uso dei dati biometrici e il monitoraggio degli italiani. Odisseo: per chiarimenti rivolgiti al nostro staff. Compila il form, inserisci i dati richiesti, sarai ricontattato dallo staff 

Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il via libera per accedere ai contributi economici dovranno affrettarsi a preparare i relativi progetti tecnici esecutivi in linea con tutte le prescrizioni delle leggi vigenti. Tra le normative da rispettare, i comuni dovranno prestare particolare attenzione a quelle riguardanti la tutela della privacy e la protezione dei dati personali, e non si tratta di un compito di poco conto che può essere considerato un mero adempimento burocratico da gestire sbrigativamente, non solo per la complessità delle stesse norme, ma soprattutto perché in Italia il 71% delle sanzioni per violazioni del GDPR sono state irrogate proprio nei confronti di enti pubblici, i quali si trovano quindi a camminare su un terreno che per loro è tipicamente scivoloso. E se nel secondo semestre del 2021 il Garante aveva già puntato la lente sulla conformità dei trattamenti di dati personali effettuati attraverso le telecamere, non è certamente un caso che per il secondo semestre consecutivo, anche nel piano delle attività ispettive della prima metà del 2022 l’Authority abbia di nuovo inserito il controllo dei sistemi di videosorveglianza, denotando così le proprie intenzioni di continuare a monitorare attentamente quello che è ormai uno degli ambiti più invasivi per la privacy dei cittadini. A destare particolare preoccupazione, sono adesso i risultati che emergono da uno studio condotto da Federprivacy in collaborazione con Ethos Academy con l’obiettivo di fornire un quadro realistico sul rispetto della privacy nel mondo della videosorveglianza, esaminandone gli scenari da varie angolazioni con la mira di comprendere le tendenze e le percezioni di addetti ai lavori e cittadini, individuare i gap che ostacolano la conformità alla normativa in materia di protezione dei dati personali, ed essere così in grado di individuare più facilmente i fabbisogni per tracciare la corretta traiettoria verso un’espansione coerente dei sistemi di videosorveglianza, con particolare riguardo allo sviluppo sostenibile delle smart city. Il Rapporto “Videosorveglianza & Privacy tra cittadino, professionisti e imprese”, articolato in diverse fasi e indirizzato a tre distinte categorie di soggetti presi in esame, è stato effettuato un sondaggio su un campione di circa 2.000 cittadini chiedendo loro cosa osservano quando entrano in un esercizio pubblico dotato di un impianto di videosorveglianza: solo nell’8% dei casi risulta essere esposto un regolare cartello di informativa minima che avverte in modo chiaro e trasparente la presenza di telecamere con l’indicazione dei corretti riferimenti normativi e delle informazioni complete che devono essere fornite all’interessato. Per il 38% delle telecamere non c’è invece nessun cartello che ne mette a conoscenza il cittadino, a indicare che chi le ha installate non si è neanche posto il problema di dover rispettare una normativa in materia di privacy. E anche se nel restante 54% dei casi l’interessato prende atto che è esposto un cartello, tuttavia questo risulta poi del tutto inadeguato a causa di riferimenti normativi obsoleti o sbagliati o privo delle informazioni che vi dovrebbero essere riportate. Nonostante le Linee guida n. 3/2019 elaborate dal Comitato Europeo per la protezione dei dati (Edpb) abbiano provveduto da più di due anni un nuovo modello di cartello per segnalare la presenza di un sistema di videosorveglianza in conformità al GDPR, sono infatti ancora diffusissimi vecchi cartelli che fanno riferimento all’abrogato art.13 del Dlgs 196/2003, che spesso non risultano neppure compilati con le indicazioni del titolare del trattamento e delle finalità delle telecamere lasciate negligentemente in bianco. Sul fronte delle imprese, l’Osservatorio di Federprivacy ha invece effettuato una approfondita disamina di tutte le oltre mille sanzioni comminate dall’introduzione del Regolamento europeo, e ben 161 di queste (15,2%) sono direttamente riferite a violazioni commesse attraverso telecamere e impianti di videosorveglianza, per un ammontare complessivo di circa 3,9 milioni di euro che imprese private e pubbliche amministrazioni hanno dovuto sborsare a causa della loro noncuranza delle regole sulla tutela della privacy. Rileva il fatto che ben 130 di tali sanzioni (pari all’80% del totale) sono state elevate negli ultimi due anni, a significare un aumento esponenziale che si registra per le violazioni derivanti dall’uso illecito di telecamere. Cartello Errato Molti cartelli di informativa sulla videosorveglianza riportano ancora i riferimenti normativi della vecchia Legge 675/1996 (Come quello di cui sopra) Nel panorama europeo, lo studio ha inoltre evidenziato che in Spagna viene comminato il maggior numero di sanzioni in materia di videosorveglianza. Dall’entrata in vigore del GDPR, l’autorità per la protezione dei dati spagnola (AEPD) ha infatti adottato ben 82 provvedimenti per questo tipo di infrazioni. E se autorità di paesi come Italia, Austria, Germania, Romania, e Lussemburgo fanno la loro parte, vi sono però diversi altri garanti che evidentemente al momento si concentrano su altre tipologie di violazioni, oppure in quelle nazioni il fenomeno dell’inosservanza delle regole sulla privacy afferenti i sistemi di videosorveglianza è più contenuto rispetto alla nostra realtà. Se imprese e pubbliche amministrazioni risultano spesso non conformi alla normativa in materia di protezione dei dati personali quando si dotano di sistemi di videosorveglianza, a quanto pare le principali cause sono però da rinvenire nelle mani a cui si affidano. Infatti, nella parte dello studio rivolta agli installatori e agli operatori della sicurezza fisica, sono emerse notevoli carenze e mancanza di consapevolezza che spiegano in buona parte i pessimi risultati di cui la maggior parte dei cittadini intervistati si rende conto. Su un campione di 1.127 operatori tra progettisti e installatori che hanno accettato di partecipare al sondaggio dopo aver partecipato a una sessione formativa, il 23% di questi reputano di essere soggetti a un rischio basso in materia di privacy e videosorveglianza, e il 31% pensa che vi sia un rischio medio, mentre sono solo meno della metà (46%) a rendersi conto di avere a che fare con temi complessi che comportano rischi elevati, denotando ancora scarsa sensibilità alle problematiche della protezione dei dati personali, specialmente nelle aree geografiche del sud Italia, dove è addirittura risultato che solo il 3% delle aziende di appartenenza dei professionisti intervistati sono dotate di un Data Protection Officer o di un’altra figura dedicata alle tematiche della privacy, e dalla stessa area geografica sono stati solo il 15% dei professionisti ad avvertire la necessità di ulteriori approfondimenti in un corso di formazione strutturato. Meno della metà (46%) di progettisti e installatori di sistemi di videosorveglianza si pongono in concreto problemi sui rischi in materia di privacy Altro elemento che denota superficialità degli addetti ai lavori della videosorveglianza nell’approccio alla privacy, ha riguardato i temi d’interesse per eventuali approfondimenti, che sono risultati prevalentemente rivolti alla redazione di un cartello di informativa conforme, ai tempi di conservazione delle immagini, e alle misure di sicurezza, mentre praticamente nessuno ha menzionato importanti criticità come la necessità di comprendere come e quando fare una valutazione d’impatto ai sensi dell’art.35 del Regolamento UE, e in quali casi occorra fare una consultazione preventiva presso il Garante ai sensi dell’art.36 per accertare se un trattamento sia lecito o meno. Allo stesso modo, nessuno si è posto problemi legati all’installazione di telecamere intelligenti, al ricorso a tecnologie di intelligenza artificiale, o sui trasferimenti di dati all’estero che, con ormai quasi tutte le telecamere collegate alla rete internet, possono avvenire più o meno consapevolmente da parte del titolare del trattamento, specialmente se chi progetta e installa un impianto di videosorveglianza tralascia di interessarsi al rispetto della privacy. Il rapporto con i risultati completi dello studio saranno presto resi disponibili da Federprivacy ed Ethos Academy, ma il quadro che si è delineato indica chiaramente che la direzione intrapresa non è quella che può favorire un’espansione sostenibile di telecamere sempre più sofisticate che stanno invadendo sempre più la società moderna. Benché i moderni sistemi di videosorveglianza siano utili, e spesso salvifici, nei loro molteplici utilizzi, occorre però evitare che un diritto fondamentale come quello alla privacy venga sacrificato in nome della sicurezza, e il rischio che ciò accada senza una reale giustificazione è concreto, e non perché rispettare le regole sia troppo gravoso, ma piuttosto perché tra gli stessi addetti ai lavori c’è ancora scarsa consapevolezza di quanto quelle regole siano importanti per il buon funzionamento di qualsiasi società civile. di Nicola Bernardi (Sec Solution Magazine N.20 aprile 2022)

SpecialiLunedì, 17 Gennaio 2022 10:53 Le password meno sicure sono le più usate. E basta meno di un secondo per scoprirle. Al mondo, nel 2021, la parola chiave più usata è stata «123456». Tra le altre password più gettonate: «qwerty», «password» e «1q2w3e» e anche «111111», «123123» e «iloveyou». Passando ai nomi di persona svetta «Micheal», tra i marchi di automobile primeggiano «Ferrari» e «Porsche», tra gli appartenenti alla fauna «Dolphin» ha la posizione più alta (tutte le graduatorie sono rintracciabili sul sito https://nordpass.com). In Italia anche le squadre di calcio scalano la classifica e tra le compagini del football «juventus» conquista questo non invidiabile scudetto. Considerate da altro punto di vista gli analisti riferiscono dati allarmanti per la vulnerabilità dei dispositivi usati tutti i giorni a chiunque: l’84,5% delle credenziali è scoperto, con l’uso di appositi applicativi, in meno di un secondo. E il dato si è aggravato rispetto a quello, 73%, registrato nel 2020. Esistono tra l’altro tabelle riepilogative sul tempo necessario alla intercettazione della password e anche siti che misurano questo lasso di tempo. Per esempio, accedendo a https://www.security.org/how-secure-is-my-password/ è possibile ottenere immediatamente un riscontro sul tempo che è necessario a un malfattore cibernetico per svelare le credenziali. Diventa, quindi, cruciale sapere come scegliere una buona password. Anzi, poiché la vita, anche nei suoi aspetti quotidiani si svolge in rete, una efficace scelta delle password è necessaria come chiudere la porta di casa quando si esce. È paradossale oltre che autolesionista, quindi, un comportamento lassista o di sottovalutazione, che pur di assecondare la pigrizia e l’inerzia, accetti di correre rischi così alti. Rischi che il sistema di protezione pubblica non dimostra di essere in grado di arginare. Insomma, in rete bisogna aiutarsi da sé a partire dalle parole chiave. A questo riguardo un vademecum divulgativo è stato steso dal Garante della privacy. Impostazione corretta – Stando ai consigli del Garante una buona password deve essere abbastanza lunga: almeno 8 caratteri, anche se più aumenta il numero dei caratteri più la password diventa «robusta» (si suggerisce intorno ai 15 caratteri). La credenziale, poi, deve contenere caratteri di almeno 4 diverse tipologie, da scegliere tra: lettere maiuscole, lettere minuscole, numeri, caratteri speciali (cioè punti, trattino, underscore, ecc.). Non si devono inserire riferimenti personali facili da indovinare (nome, cognome, data di nascita, e così via). La parola chiave non deve nemmeno contenere riferimenti al nome utente (detto anche user account, alias, user id, user name). Inoltre, è meglio evitare che contenga parole «da dizionario», cioè parole intere di uso comune: è meglio usare parole di fantasia oppure parole «camuffate» per renderle meno comuni, magari interrompendole con caratteri speciali (per esempio: caffè può diventare caf-f3). Il Garante informa che esistono infatti software programmati per tentare di indovinare e rubare le password provando sistematicamente tutte le parole di uso comune nelle varie lingue, e con questa accortezza si può rendere il loro funzionamento più complicato. Il Garante ricorda anche che la password andrebbe periodicamente cambiata, soprattutto per i profili più importanti o quelli che si usano più spesso (e-mail, e-banking, social network). Gestione precisa – Il Garante avverte che bisogna utilizzare password diverse per account diversi (e-mail, social network, servizi digitali di varia natura). In caso di furto di una password si evita così il rischio che anche gli altri profili che appartengono alla stessa persona possano essere facilmente violati. Altra accortezza importante è quella di non utilizzare password già utilizzate in passato. Occorre poi ricordare che le eventuali password temporanee rilasciate da un sistema o da un servizio informatico vanno sempre immediatamente cambiate, scegliendone una personale Meccanismi multi-fattore – Il Garante consiglia, per stare più tranquilli, di utilizzare (non sempre disponibili) meccanismi di autenticazione multi-fattore (come codici Otp one-time-password), che rafforzano la protezione offerta dalla password. Conservazione – Per garantire un livello di sicurezza bisogna pensare a scegliere bene le password e, poi, a conservarle ancor meglio: le password non vanno mai scritte su biglietti che poi magari si conservano nel portafoglio o in borsa, o che si possono distrattamente lasciare in giro, oppure in file non protetti sui dispositivi personali (computer, smartphone o tablet). Bisogna evitare sempre di mettere altri a conoscenza delle password via e-mail, sms, social network, instant messaging. Anche se comunicate a persone conosciute, le credenziali potrebbero essere diffuse involontariamente a terzi o rubate da malintenzionati. Se si usano pc, smartphone e altri dispositivi che non ci appartengono, va evitato sempre di lasciare conservate in memoria le password utilizzate. Valutare i gestori – Si tratta di programmi specializzati che generano password sicure e consentono di appuntare in formato digitale tutte le password salvandole in un database cifrato sicuro. Ce ne sono di vario tipo, gratuiti o a pagamento. Il Garante lascia ai singoli la valutazione se usarli o non usarli. di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 17 gennaio 2022)

Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso.  A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren, infatti, aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren. L’ammontare della sanzione applicata dal Garante è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha, infine, rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria. Lo Staff IusPrivacy è pronto per offrire ulteriori informazioni. https://www.iusprivacy.eu/contatti.jsp

NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative. È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto. Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari. Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

Flash NewsDomenica, 15 Gennaio 2023 12:47 Ogni persona ha il diritto di sapere a chi vengono comunicati i propri dati personali. Lo ha affermato il 12 gennaio 2023 la Corte di giustizia dell’Ue con la sentenza nella Causa C-154/21, aggiungendo che il titolare del trattamento può tuttavia limitarsi a indicare le categorie di destinatari qualora sia impossibile identificare questi ultimi, o nel caso la richiesta sia manifestamente infondata o eccessiva. Con una seconda decisione adottata sempre lo scorso 12 gennaio nella Causa C-132/21, i giudici della Corte UE hanno inoltre affermato che il ricorso amministrativo e il ricorso civile previsti dal GDPR possono essere esercitati in modo concorrente e indipendente. Spetta, infatti, agli Stati membri garantire che l’esercizio parallelo di tali ricorsi non pregiudichi l’applicazione coerente e omogenea del Regolamento europeo sulla protezione dei dati personali. Nel primo caso, un cittadino austriaco aveva chiesto alla Österreichische Post di conoscere a chi avesse trasmesso i suoi dati personali. Le poste austriache si erano limitate ad affermare che utilizzavano i dati personali nei limiti consentiti dalla legge nell’ambito della propria attività di editore di elenchi telefonici, e che forniva tali dati ai partner commerciali a fini di marketing. A seguito di ricorsi vari, la Corte suprema austriaca aveva chiesto alla Corte di Giustizia dell’UE di sapere se il GDPR lasciasse al titolare del trattamento dei dati la libera scelta di comunicare l’identità concreta dei destinatari oppure unicamente le categorie dei destinatari, e se l’interessato avesse il diritto di conoscere la loro identità concreta. Con la sentenza nella Causa C-154/21, la Corte di Giustizia ha affermato che qualora i dati personali siano stati o saranno comunicati a dei destinatari, il titolare del trattamento è obbligato a fornire all’interessato, su sua richiesta, l’identità stessa di tali destinatari. Solo nel caso in cui il titolare dimostri che la richiesta è manifestamente infondata o eccessiva, o che non sia (ancora) possibile identificare tali destinatari, allora il titolare del trattamento può limitarsi a indicare unicamente le categorie di destinatari a cui vengono comunicate i dati. La Corte sottolinea che tale diritto di accesso è necessario per esercitare gli altri diritti riconosciuti dal Regolamento UE 2016/679, come il diritto di rettifica, il diritto alla cancellazione, il diritto di limitazione di trattamento, il diritto di opposizione al trattamento o, il diritto di agire in giudizio nel caso in cui subisca un danno. Il secondo caso trattato dalla Corte UE riguardava invece il diverso tema del rapporto tra il ricorso amministrativo e civile in tema di tutela dei dati personali, e parte dalla richiesta di accedere alla registrazione del proprio intervento, da parte di un azionista, ed alle relative risposte (che invece erano state negate) nel corso di una assemblea societaria. Il Tribunale di Budapest aveva quindi chiesto alla Corte di giustizia UE se, nell’ambito dell’esame della legittimità della decisione dell’autorità nazionale di controllo, essa sia vincolata dalla sentenza passata in giudicato dei giudici civili relativa agli stessi fatti e alla stessa pretesa violazione del GDPR da parte della società interessata. Inoltre, poiché un esercizio parallelo di ricorsi amministrativi e civili può portare a decisioni contrastanti, il giudice ungherese voleva verificare se esistesse un’eventuale priorità di un ricorso rispetto all’altro. Con la sentenza nella Causa C-132/21, la Corte dell’UE ricorda che il GDPR non prevede alcuna competenza prioritaria o esclusiva, né alcuna regola di prevalenza della valutazione effettuata dall’autorità di controllo o da un tribunale relativa all’esistenza di una violazione dei diritti in questione. Di conseguenza, il ricorso amministrativo e il ricorso civile previsti dal Regolamento europeo sulla protezione dei dati personali possono essere esercitati in modo concorrente e indipendente. Per quanto riguarda il rischio di decisioni contrastanti, la Corte UE sottolinea che spetta a ciascuno Stato membro assicurare, adottando le norme procedurali necessarie a tal fine e nell’esercizio della propria autonomia procedurale, che i ricorsi concorrenti e indipendenti previsti dal GDPR non pregiudichino né l’effetto utile e la tutela effettiva dei diritti garantiti dallo stesso Regolamento europeo, né l’applicazione coerente e omogenea delle sue disposizioni né, infine, il diritto a un ricorso effettivo dinanzi a un giudice.

Primo PianoMercoledì, 13 Luglio 2022 12:22 La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell’informazione – Requisiti”, tratta anche del tema dello smaltimento dei supporti che contengono dati, nello specifico il controllo A.8.3.2 – dismissione dei supporti (nella ISO/IEC 27002:2022 controllo 7.10), ove si specifica che la dismissione deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali.  (Nella foto: Monica Perego, docente del Corso di alta formazione sui Sistemi di Gestione della Privacy) Ovviamente, la dismissione dei supporti si riferisce non solo a quelli elettronici, ma anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. L’articolo si concentra sulla dismissione dei supporti elettronici e cartacei dove di norma sono conservati dati personali, a riprova del fatto che la ISO/IEC 27001:2013 è da considerare come una validissima misura di accountability in relazione alla protezione dei dati personali. Il controllo 7.10 della ISO/IEC 27002:2022 – Il controllo 7.10 “Storage media” – Supporti di memorizzazione – Supporti rimovibili, fornisce misure relative al ciclo di vita dei supporti che contengono dati, misure tra le quali figura la gestione dei supporti ed ovviamente le modalità del loro smaltimento, che deve essere effettuato tenendo conto del livello di classificazione delle informazioni che vi sono contenute (come indicato dal controllo 5.12 “Classification of information”). Lo scopo del controllo è quello di garantire la divulgazione, la modifica, la rimozione o la distruzione, sulla base delle autorizzazioni delle informazioni circa l’archiviazione su tali supporti. Approfondendo quanto riportato nella linea guida ISO/IEC 27002:2022 – controllo 7.10, in relazione agli aspetti relativi al riutilizzo e smaltimento sicuro, sono fornite preziose indicazioni, di seguito riportate, con alcune note integrativa a cura dell’autrice. Linee guida per il riutilizzo e lo smaltimento sicuro dei supporti – Per tali necessità dovrebbero essere stabilite delle procedure, per ridurre al minimo il rischio di accesso ad informazioni riservate da parte di persone non autorizzate. Le procedure dovrebbero essere congruenti con il livello di classificazione delle informazioni contenute. Bisogna considerare i seguenti elementi: Altre informazioni – È importante sottolineare che la distruzione di un supporto non necessariamente implica la distruzione dei dati, che potrebbero essere migrati su altri supporti; ad esempio, un supporto cartaceo può essere digitalizzato per conservare i dati e successivamente distrutto. I controlli 8.10 e 7.14 della ISO/IEC 27001:2022 – Il controllo 7.10 “Storage media” non va confuso con il controllo 8.10 “Information deletion” – Cancellazione delle informazioni -, che tratta del controllo delle informazioni che devono essere cancellate quando non più richieste; informazioni memorizzate nei sistemi informatici, nei dispositivi, o in qualsiasi altro supporto di memorizzazione, Il controllo 8.10 è stato introdotto con la pubblicazione della ISO/IEC 27002:2022; non esiste un controllo corrispondente nella precedente versione della linea guida. Il controllo 7.14 “Secure disposal or re-use of equipment” affronta il tema della verifica delle apparecchiature che contengono supporti di memorizzazione, verifica da effettuare per garantire che “…eventuali dati sensibili ed il software concesso in licenza siano stati rimossi o sovrascritti in modo sicuro prima dello smaltimento o del riutilizzo”. Tale controllo presenta quindi significativi punti in comune con il controllo 7.10, che peraltro lo richiama. Conclusione – Le implicazioni connesse alla dismissione dei supporti contenenti dati (non solo personali) presentano una serie di sfaccettature non sempre evidenti. Ovviamente, le misure da mettere in atto devono considerare i rischi connessi alla perdita dei dati (ad esempio a seguito di una migrazione parziale degli stessi), o quelli collegati ad un’inadeguata gestione dei supporti. In ogni caso, se si hanno dei dubbi, è opportuno attivare procedure che garantiscano la dismissione sicura di tutti i supporti, piuttosto che effettuare un’operazione di censimento dei soli supporti critici da avviare a dismissione sicura. Nota: per le parti della ISO/IEC 27002, libera traduzione ed integrazioni a cura dell’autrice