Perchè adeguarsi ?IL PACCHETTO PRIVACY SU MISURA PER TE
Ti offriamo un pacchetto chiavi in mano per l’attuazione ed il mantenimento di un sistema per la conformità della tua struttura aziendale al GDPR Regolamento Europeo 2016/679. Contatta lo Staff, facciamo tutto noi!
Loading…
Consulenza gratuita
Richiedi la nostra consulenza gratuita, il nostro staff organizzerà una riunione preliminare per individuare aree critiche e stabilire gli obiettivi
Analisi e mappatura
Una prima analisi per individuare i dati ed i rischi dell'attività, con valutazione dell'impatto sulla privacy, analisi delle lacune e problematiche
Obiettivi e Roadmap
Si provvede a definire le competenze ed i ruoli con la nomina delle figure preposte, definizione delle priorità ed azioni da intraprendere per raggiungere la conformità
Attuazione GDPR
Operatività incarichi, predisposizione documentazione, registro trattamenti, check-up sicurezza, consulenza e formazione dedicata in azienda
GDPR PRIVACY MAGAZINE
TUTTE LE NEWS E GLI AGGIORNAMENTI SULLA PRIVACY IN ITALIA
Loading…
Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso. All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti. Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti. Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari. Roma, 23 giugno 2022
2. Lug 2022
La dismissione dei componenti hardware a norma di Gdpr
Primo PianoMartedì, 21 Giugno 2022 07:57 Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati. (Nella foto: Monica Perego, docente al Corso ‘Sistemi di Gestione della sicurezza delle informazioni‘) In questo articolo vogliamo approfondire alcuni aspetti organizzativi, considerando che i supporti elettronici, indipendentemente dalla presenza di dati, devono essere smaltiti secondo quanto previsto dal Decreto Legislativo 49/14 modificato dal Decreto Legislativo 118/2020. Smaltire hardware al termine del loro ciclo di vita (EOL) – La dismissione dell’HW ha alla base molteplici motivazioni: – necessità di disporre di sistemi informativi più performanti in linea con le politiche di sviluppo delle organizzazioni;– il caso in cui l’HW non possa più essere adeguatamente aggiornato, via via che vengono identificate nuove vulnerabilità o minacce alla sicurezza, ovvero quando l’uso di controlli (es. la segregazione da altre risorse informative) non è un’opzione praticabile. In termini generali, devono essere stabiliti processi e politiche, documentati attraverso procedure, per l’uso e lo smaltimento sicuro delle apparecchiature mantenute e utilizzate all’interno ed all’esterno dell’organizzazione. Questo prevede la messa a punto di misure specifiche, che possono essere: – dirette (ovvero che impattano direttamente sui processi), come ad esempio: “Gestione degli asset (programma di asset management) “che copra l’intero ciclo di vita dall’acquisto alla dismissione delle apparecchiature e “Migrazione dei sistemi”;– indirette, ovvero relative ai processi di supporto, come ad esempio “Criteri di scelta e qualifica dei fornitori” (compresi quelli di noleggio/smaltimento HW). Per tali procedure, e più in generale per le prassi adottate, devono essere considerati dei punti di attenzione: Aspetti generali – identificare il responsabile della gestione dello smaltimento dell’HW;– indipendentemente dalla tipologia di hardware esso non deve ovviamente essere smaltito come un comune rifiuto, ma devono essere seguite le normative previste per la gestione dei rifiuti elettronici. La gestione degli asset da dismettere – gli asset da considerare comprendono sia quelli presenti internamente all’organizzazione, sia quelli consegnati ai dipendenti (smart-working) e ad altri soggetti, tra cui agenti e collaboratori esterni, ed anche quelli presenti presso altre organizzazioni (es. clienti, fornitori, partner di progetto, contitolari);– la gestione deve considerare le varie tipologia di HW da dismettere (server, portatili affidati al personale, memorie presenti nelle multifunzione, supporti di backup, supporti contenenti dati biometrici, ecc.) per le quali possono essere previste procedure diverse;– devono essere documentati i luoghi di stoccaggio dell’HW da dismettere, i periodi di stoccaggio, le strutture di contenimento, i criteri di ispezione quando le apparecchiature sono in attesa dello smaltimento;– devono essere documentate le informazioni relative ai sistemi dismessi (verbali), ed a quelli che vengono conservati in attesa di valutazione (es. eliminare, riparare, cedere, rivendere, ridistribuire, restituire). Le politiche devono, se del caso, prevedere modalità e criteri di cancellazione degli archivi (ad esempio, software di eliminazione, distruzione fisica delle unità di memoria a stato solido – SSD – e di quelle a disco fisso – HDD), anche tramite l’eventuale coinvolgimento di fornitori certificati, in relazione ai dati contenuti negli archivi; modalità e criteri possono riguardare anche gli aspetti relativi al riutilizzo, ritiro, vendita, cessione/regalo, ai dipendenti o a terzi, o ancora trasferimento ad un altro soggetto (es. società di leasing/noleggio); ciò in alternativa alla dismissione sicura dell’HW;– deve essere valutata la necessità di effettuare controlli anticontraffazione, che devono comprendere la gestione dell’obsolescenza delle parti elettroniche (ricambi);– è necessaria la rimozione dei tag dagli asset prima della loro dismissione (es. etichette con lo stato di classificazione ed altre informazioni che possono permettere di risalire al contenuto, al proprietario, alla configurazione e più in generale ad ogni informazione che possa permettere di risalire all’utilizzo originale dell’apparecchiatura). Fornitori di servizi di smaltimento/noleggio– selezionare i fornitori del servizio di smaltimento sulla base dei criteri di qualifica, effettuare valutazioni ad intervalli di tali fornitori;– selezionare i fornitori del servizio di noleggio HW e riparazione, sulla base dei criteri di qualifica, effettuare valutazioni ad intervalli di tali fornitori. Impatto su altri processi – la destinazione finale dell’HW (cessione, distruzione, ecc.) deve essere comunicata all’amministrazione, in modo che aggiorni l’inventario (HW e SW); misura analoga nel caso di furto/smarrimento dell’HW; lo stesso per quanto concerne le licenze SW;– prima dell’eliminazione dell’HW deve essere valutata, in relazione ai tempi di conservazione definiti, l’eliminazione/archiviazione dei dati e delle informazioni che sono presenti; se è prevista una migrazione di dati, devono essere definiti piani e procedure adeguati per garantire la disponibilità ed integrità dei dati;– le procedure devono contemplare anche l’eliminazione del SW (in particolare quello disponibile con licenze) e l’aggiornamento dell’inventario delle licenze, compresa l’eventuale comunicazione ai fornitori di SW;– se del caso, le regole per lo smaltimento devono considerare anche: accordi di licenza o altri accordi con gli sviluppatori, contratti con i clienti e/o normative applicabili; se l’HW è di proprietà del cliente e lo smaltimento fosse regolato da istruzioni (ad esempio come parte integrante dell’atto di designazione a responsabile), queste devono essere applicate e, se del caso, documentate;– nel caso in cui fosse prevista la dismissione di una serie di apparati o di un’intera sala server è necessario mettere a punto un piano mirato. Ovviamente laddove dovesse essere smantellato un intero datacenter le procedure divengono estremamente più complesse, ma non sono oggetto di questo articolo. In base al principio dell’accountability previsto dal GDPR, un’analisi dell’impatto eseguita sull’intera rete è un passaggio fondamentale del processo di dismissione nella sua accezione più ampia, per comprendere tutti gli effetti che la rimozione avrà sulla rete e su altre applicazioni. A seconda delle dimensioni dell’organizzazione e della scelta di internalizzare o esternalizzare le attività afferenti alla gestione dell’HW, le procedure possono assumere diversi livelli di complessità, richiedendo anche soluzioni personalizzate. Se del caso deve essere garantita la catena di custodia. Conclusione – Le procedure di dismissione dell’HW prevedono una serie di misure che, per quanto debbano essere proporzionate alla tipologia di dati presenti nelle memorie, sono ben più complesse di quanto si possa genericamente ipotizzare. Fondamentale, nei casi più critici, è il presidio della catena di custodia.
22. Giu 2022
Le app possono mettere a rischio la riservatezza dei nostri dati personali. I consigli per tutelare la privacy
Primo PianoMercoledì, 08 Giugno 2022 19:38 Le applicazioni per smartphone, Tablet, smart watch, ecc. (c.d. “app”) sono divenute parte integrante della nostra vita al punto che trovare, oggi, qualcuno che non abbia mai avuto a che fare con un “app” è sicuramente un’impresa ardua. Questa diffusione e massivo utilizzo delle app non è però scevro da rischi privacy. Infatti, come evidenziato dall’Autorità Garante i servizi che offrono (consultazioni home banking, monitoraggio delle condizioni di salute, controllo domotico delle nostre abitazioni, gestione video e fotografie, prenotazione viaggi, ecc.) possono mettere a rischio la riservatezza dei nostri dati personali. Per queste ragioni nella gestione delle app è opportuno adottare alcuni semplici ma efficaci accorgimenti. In primis, prima di effettuare il download dallo store è bene capire quali dati personali tratterà l’app prescelta e accedere all’informativa privacy del fornitore. Proprio quest’ultimo elemento è importante perché dalla chiarezza, trasparenza e completezza dell’informativa (articoli 12 e 13 Regolamento UE 2016/679) possiamo trarre il primo e più importante feedback sulla cura dedicata dal fornitore ai dati personali. Tra le sezioni dell’informativa interessanti vi è quella della comunicazione e diffusione dei dati personali. Altro elemento fondamentale è verificare se l’app per funzionare ha la necessità di accedere alle nostre fotografie e ai dati di geolocalizzazione e tendenzialmente concederne l’accesso solo se l’app ha ad oggetto proprio servizi che richiedono queste tipologie di informazioni. Si tenga presente che molte app social condividono i dati di ubicazione (geolocalizzazione) con terze parti. Sulle app che gestiscono le fotografie si deve fare attenzione al fenomeno del deepfake (creazione di fotografie false partendo da immagini vere) utilizzando specifici algoritmi di intelligenza artificiale. In tema di fotografie è sempre bene accertarsi che le persone fotografate siano d’accordo a diffondere online la propria immagine. Un discorso particolare va fatto per le app che gestiscono dati particolari come i dati sulla salute. Anche in questo caso si deve fare attenzione alla eventuale comunicazione a terzi di dati personali particolari (es. battito cardiaco, risultati dell’ECG sulla fibrillazione atriale, ecc.). Inoltre, si segnala su questo tema l’avvio di una istruttoria a fine 2021 da parte del Garante nei confronti di una associazione che tratta, tramite una app, dati sullo stato di salute di pazienti ed esercenti le professioni sanitarie (per approfondimenti si veda il doc. web. N. 9733320). Circa un decennio fa (24.09.2013) si leggeva nella Dichiarazione di Varsavia sulla “appificazione” della società: “Le applicazioni per dispositivi mobili (app) sono ormai onnipresenti. Le troviamo negli smartphone e nei tablet, sulle auto, in casa e fuori casa: sono sempre più numerosi gli oggetti che dispongono di interfacce-utente connesse ad Internet. Ammontano ad oltre 6 milioni le app oggi disponibili nel settore pubblico e privato, ed è un numero che aumenta di oltre 30.000 unità al giorno. Le app facilitano e vivacizzano molte delle attività che svolgiamo giornalmente; allo stesso tempo, le app raccolgono anche una grande mole di informazioni personali. Tutto ciò permette un monitoraggio digitale permanente, mentre gli utenti spesso non ne hanno consapevolezza né ne conoscono i fini ultimi.” Oggi, è praticamente impossibile conoscere quante app esistano al mondo, considerato che solo lo store di Mountain View a febbraio 2021 contava 3.011.916 applicazioni (Fonte: Appbrain 07.02.2021).
11. Giu 2022
Videosorveglianza, solo l’8% delle telecamere sono segnalate da un regolare cartello, ma a chi le installa la privacy interessa poco o niente
Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il via libera per accedere ai contributi economici dovranno affrettarsi a preparare i relativi progetti tecnici esecutivi in linea con tutte le prescrizioni delle leggi vigenti. Tra le normative da rispettare, i comuni dovranno prestare particolare attenzione a quelle riguardanti la tutela della privacy e la protezione dei dati personali, e non si tratta di un compito di poco conto che può essere considerato un mero adempimento burocratico da gestire sbrigativamente, non solo per la complessità delle stesse norme, ma soprattutto perché in Italia il 71% delle sanzioni per violazioni del GDPR sono state irrogate proprio nei confronti di enti pubblici, i quali si trovano quindi a camminare su un terreno che per loro è tipicamente scivoloso. E se nel secondo semestre del 2021 il Garante aveva già puntato la lente sulla conformità dei trattamenti di dati personali effettuati attraverso le telecamere, non è certamente un caso che per il secondo semestre consecutivo, anche nel piano delle attività ispettive della prima metà del 2022 l’Authority abbia di nuovo inserito il controllo dei sistemi di videosorveglianza, denotando così le proprie intenzioni di continuare a monitorare attentamente quello che è ormai uno degli ambiti più invasivi per la privacy dei cittadini. A destare particolare preoccupazione, sono adesso i risultati che emergono da uno studio condotto da Federprivacy in collaborazione con Ethos Academy con l’obiettivo di fornire un quadro realistico sul rispetto della privacy nel mondo della videosorveglianza, esaminandone gli scenari da varie angolazioni con la mira di comprendere le tendenze e le percezioni di addetti ai lavori e cittadini, individuare i gap che ostacolano la conformità alla normativa in materia di protezione dei dati personali, ed essere così in grado di individuare più facilmente i fabbisogni per tracciare la corretta traiettoria verso un’espansione coerente dei sistemi di videosorveglianza, con particolare riguardo allo sviluppo sostenibile delle smart city. Il Rapporto “Videosorveglianza & Privacy tra cittadino, professionisti e imprese”, articolato in diverse fasi e indirizzato a tre distinte categorie di soggetti presi in esame, è stato effettuato un sondaggio su un campione di circa 2.000 cittadini chiedendo loro cosa osservano quando entrano in un esercizio pubblico dotato di un impianto di videosorveglianza: solo nell’8% dei casi risulta essere esposto un regolare cartello di informativa minima che avverte in modo chiaro e trasparente la presenza di telecamere con l’indicazione dei corretti riferimenti normativi e delle informazioni complete che devono essere fornite all’interessato. Per il 38% delle telecamere non c’è invece nessun cartello che ne mette a conoscenza il cittadino, a indicare che chi le ha installate non si è neanche posto il problema di dover rispettare una normativa in materia di privacy. E anche se nel restante 54% dei casi l’interessato prende atto che è esposto un cartello, tuttavia questo risulta poi del tutto inadeguato a causa di riferimenti normativi obsoleti o sbagliati o privo delle informazioni che vi dovrebbero essere riportate. Nonostante le Linee guida n. 3/2019 elaborate dal Comitato Europeo per la protezione dei dati (Edpb) abbiano provveduto da più di due anni un nuovo modello di cartello per segnalare la presenza di un sistema di videosorveglianza in conformità al GDPR, sono infatti ancora diffusissimi vecchi cartelli che fanno riferimento all’abrogato art.13 del Dlgs 196/2003, che spesso non risultano neppure compilati con le indicazioni del titolare del trattamento e delle finalità delle telecamere lasciate negligentemente in bianco. Sul fronte delle imprese, l’Osservatorio di Federprivacy ha invece effettuato una approfondita disamina di tutte le oltre mille sanzioni comminate dall’introduzione del Regolamento europeo, e ben 161 di queste (15,2%) sono direttamente riferite a violazioni commesse attraverso telecamere e impianti di videosorveglianza, per un ammontare complessivo di circa 3,9 milioni di euro che imprese private e pubbliche amministrazioni hanno dovuto sborsare a causa della loro noncuranza delle regole sulla tutela della privacy. Rileva il fatto che ben 130 di tali sanzioni (pari all’80% del totale) sono state elevate negli ultimi due anni, a significare un aumento esponenziale che si registra per le violazioni derivanti dall’uso illecito di telecamere. Cartello Errato Molti cartelli di informativa sulla videosorveglianza riportano ancora i riferimenti normativi della vecchia Legge 675/1996 (Come quello di cui sopra) Nel panorama europeo, lo studio ha inoltre evidenziato che in Spagna viene comminato il maggior numero di sanzioni in materia di videosorveglianza. Dall’entrata in vigore del GDPR, l’autorità per la protezione dei dati spagnola (AEPD) ha infatti adottato ben 82 provvedimenti per questo tipo di infrazioni. E se autorità di paesi come Italia, Austria, Germania, Romania, e Lussemburgo fanno la loro parte, vi sono però diversi altri garanti che evidentemente al momento si concentrano su altre tipologie di violazioni, oppure in quelle nazioni il fenomeno dell’inosservanza delle regole sulla privacy afferenti i sistemi di videosorveglianza è più contenuto rispetto alla nostra realtà. Se imprese e pubbliche amministrazioni risultano spesso non conformi alla normativa in materia di protezione dei dati personali quando si dotano di sistemi di videosorveglianza, a quanto pare le principali cause sono però da rinvenire nelle mani a cui si affidano. Infatti, nella parte dello studio rivolta agli installatori e agli operatori della sicurezza fisica, sono emerse notevoli carenze e mancanza di consapevolezza che spiegano in buona parte i pessimi risultati di cui la maggior parte dei cittadini intervistati si rende conto. Su un campione di 1.127 operatori tra progettisti e installatori che hanno accettato di partecipare al sondaggio dopo aver partecipato a una sessione formativa, il 23% di questi reputano di essere soggetti a un rischio basso in materia di privacy e videosorveglianza, e il 31% pensa che vi sia un rischio medio, mentre sono solo meno della metà (46%) a rendersi conto di avere a che fare con temi complessi che comportano rischi elevati, denotando ancora scarsa sensibilità alle problematiche della protezione dei dati personali, specialmente nelle aree geografiche del sud Italia, dove è addirittura risultato che solo il 3% delle aziende di appartenenza dei professionisti intervistati sono dotate di un Data Protection Officer o di un’altra figura dedicata alle tematiche della privacy, e dalla stessa area geografica sono stati solo il 15% dei professionisti ad avvertire la necessità di ulteriori approfondimenti in un corso di formazione strutturato. Meno della metà (46%) di progettisti e installatori di sistemi di videosorveglianza si pongono in concreto problemi sui rischi in materia di privacy Altro elemento che denota superficialità degli addetti ai lavori della videosorveglianza nell’approccio alla privacy, ha riguardato i temi d’interesse per eventuali approfondimenti, che sono risultati prevalentemente rivolti alla redazione di un cartello di informativa conforme, ai tempi di conservazione delle immagini, e alle misure di sicurezza, mentre praticamente nessuno ha menzionato importanti criticità come la necessità di comprendere come e quando fare una valutazione d’impatto ai sensi dell’art.35 del Regolamento UE, e in quali casi occorra fare una consultazione preventiva presso il Garante ai sensi dell’art.36 per accertare se un trattamento sia lecito o meno. Allo stesso modo, nessuno si è posto problemi legati all’installazione di telecamere intelligenti, al ricorso a tecnologie di intelligenza artificiale, o sui trasferimenti di dati all’estero che, con ormai quasi tutte le telecamere collegate alla rete internet, possono avvenire più o meno consapevolmente da parte del titolare del trattamento, specialmente se chi progetta e installa un impianto di videosorveglianza tralascia di interessarsi al rispetto della privacy. Il rapporto con i risultati completi dello studio saranno presto resi disponibili da Federprivacy ed Ethos Academy, ma il quadro che si è delineato indica chiaramente che la direzione intrapresa non è quella che può favorire un’espansione sostenibile di telecamere sempre più sofisticate che stanno invadendo sempre più la società moderna. Benché i moderni sistemi di videosorveglianza siano utili, e spesso salvifici, nei loro molteplici utilizzi, occorre però evitare che un diritto fondamentale come quello alla privacy venga sacrificato in nome della sicurezza, e il rischio che ciò accada senza una reale giustificazione è concreto, e non perché rispettare le regole sia troppo gravoso, ma piuttosto perché tra gli stessi addetti ai lavori c’è ancora scarsa consapevolezza di quanto quelle regole siano importanti per il buon funzionamento di qualsiasi società civile. di Nicola Bernardi (Sec Solution Magazine N.20 aprile 2022)
11. Giu 2022
Dall’European Data Protection Board le Linee Guida 04/2022 con l’obiettivo di armonizzare le sanzioni per le violazioni del Gdpr
Flash NewsGiovedì, 19 Maggio 2022 09:54 Il 12 maggio 2022 il Comitato europeo per la protezione dei dati ha adottato le Linee Guida 04/2022 che hanno l’obiettivo di armonizzazione le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) all’interno dell’area UE. Infatti, dall’entrata in vigore del Gdpr, alcune autorità europee si sono rivelate più severe nell’irrogare sanzioni, mentre altre hanno calcato meno la mano, e se in alcuni paesi è stato registrato un numero elevato di provvedimenti; invece, in altri le multe comminate sono state pochissime, o addirittura nessuna. Secondo i criteri delle nuove linee guida, il calcolo dell’importo della sanzione è a discrezione dell’autorità di controllo, nel rispetto delle norme previste dal GDPR. In tal senso, rileva l’art. 83 comma 1 del Regolamento europeo, che prevede che le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso: – effettive;– proporzionate;– dissuasive. Inoltre, continua lo European Data Protection Board, nel fissare l’importo della sanzione, le autorità di vigilanza devono tenere in debita considerazione un elenco di circostanze che si riferiscono a gravità e caratteristiche della violazione o all’autore (articolo 83, paragrafo 2, del GDPR), e per quanto riguarda i massimali, si tengono fermi i limiti dell’importo delle sanzioni previsti dall’articolo 83, paragrafi 4, 5 e 6 del GDPR. Le linee guida stabiliscono quindi una metodologia di calcolo in 5 fasi: 1. in primo luogo, le autorità per la protezione dei dati devono stabilire se il caso in questione riguarda uno o più casi di condotta sanzionabile e se questi hanno portato a una o più violazioni;2. in secondo luogo, le autorità valutano la base di calcolo della sanzione secondo un modello armonizzato definito dal Comitato per la Protezione dei Dati3. in terzo luogo, le autorità di controllo devono considerare i fattori aggravanti o attenuanti che possono aumentare o diminuire l’importo della sanzione;4. la quarta fase consiste nel determinare i massimali legali delle ammende e garantire che tali importi non vengano superati;5. nella quinta e ultima fase, le autorità devono analizzare se l’importo finale calcolato soddisfa i requisiti di effettività, proporzionalità e dissuasione o se sono necessari ulteriori adeguamenti dell’importo. Le presenti linee guida integrano le precedenti Linee Guida WP253 sulle circostanze rilevanti per l’applicazione e la previsione delle sanzioni, e rimarranno in consultazione pubblica fino al 27 giugno 2022 con la possibilità di inviare i propri commenti allo European Data Protection Board.
24. Mag 2022
Trasformazione digitale: perché Privacy, Data Protection e Cybersecurity giocano un ruolo fondamentale
Il punto di vistaVenerdì, 06 Maggio 2022 14:23 Il fenomeno della trasformazione digitale è un processo che coinvolge aspetti materiali ed organizzativi del mondo delle aziende: Machine Learning, Cloud Technology, Internet of Things, Artificial Intelligence, Big Data diventano i termini protagonisti di un nuovo vocabolario, di un nuovo modello di business, di un nuovo approccio al lavoro. La trasformazione all’interno delle aziende riflette il profondo mutamento del sistema di interazione e connessione tra le persone fisiche, c.d. smart system, un sistema fluido in cui, nelle abitudini di vita e di consumo, sfumano sempre più i confini tra fisico e virtuale. In tale contesto, la corretta applicazione della normativa di Privacy/Data Protection e Cybersecurity costituisce un pilastro centrale per la corretta impostazione e protezione del sistema di Digital Transformation nel suo complesso. È noto a tutti che il mancato rispetto del Regolamento 679/2016 (“GDPR”) da parte delle aziende comporta elevati rischi non soltanto in termini di sanzioni da parte dell’Autorità Garante della Privacy (fino a 20milioni di euro o al 4% del fatturato), ma anche in termini di inutilizzabilità del database, di danno reputazionale, di calo dei profitti e di perdita di quote di mercato. Non solo: la normativa in materia di cybersicurezza internazionale e nazionale ha avuto importanti sviluppi soprattutto nell’ultimo biennio, definendo precisi requisiti per determinate categorie di fornitori e di sistemi tecnologici, nell’ottica di offrire alle aziende concrete garanzie di riservatezza, integrità e disponibilità dei dati aziendali; sussiste peraltro un accordo di collaborazione tra dell’Autorità Garante della Privacy e l’Agenzia per la Cybersicurezza Nazionale. Oggi l’adozione un corretto modello di Privacy/Data Protection e Cybersecurity è indispensabile non soltanto per la conformità normativa ma per la concreta efficacia del processo di trasformazione digitale: quali, dunque, i focus? Nella foto: l’Avv. Giovanna Boschetti, Counsel presso lo Studio CBA 1) Valutazione dei processi nella fase di progettazione lato privacy by design e privacy by default – Gli aspetti di trattamento di dati personali devono essere incorporati nel processo di trasformazione tecnologica sin dall’inizio secondo i principi di privacy by design (definizione dell’architettura informatica, verifica dell’interazione dei flussi in considerazione della tipologia dei dati trattai) e privacy by default (attivazione dei processi per impostazione predefinita). In difetto, taluni aspetti del processo possono risultare in corso d’opera superflui o dannosi. 2) Valutazione della sicurezza dell’infrastruttura tecnica e dei flussi di lavoro – La sicurezza è un aspetto fondamentale dei sistemi su cui si regge la trasformazione tecnologica e costituisce sinonimo di business continuity: la normativa interna ed internazionale è in costante evoluzione e ogni sistema deve essere verificato secondo più aggiornati requisiti normativi di sicurezza dei sistemi tecnologici e dei provider. Una valutazione non attenta sul punto espone a gravi responsabilità e conseguenze anche dirette sotto il profilo del risarcitorio. 3) Acquisizione delle necessarie garanzie/certificazioni da parte dei fornitori – La verifica dei contratti con i fornitori di servizi permette di ottenere tutte le opportune attestazioni di conformità che sono richieste dalle normative vigenti e di avere, in concreto, le necessarie garanzie in riferimento alle prestazioni della tecnologia implementata. In assenza di questa valutazione, effettuare correttivi in un secondo momento determina ingenti costi per le aziende. 4) Mappatura dei flussi dei dati – La mappatura dei flussi di dati garantisce il controllo delle attività di processo svolte in azienda e permette la corretta redazione del registro delle attività di trattamento, che costituisce il cardine del sistema di rendicontazione per l’Autorità Garante della Privacy. In difetto di tale mappatura i processi di business non possono dirsi validati. 5) Valutazione del rischio e valutazione d’impatto del trattamento nei confronti degli interessati – La valutazione del rischio determina la misura di responsabilità del titolare; la valutazione d’impatto si estende alla misurazione del rischio del trattamento per i diritti e le libertà sulle persone fisiche interessate dal trattamento. Omettere tale valutazione significa, in concreto, non effettuare una corretta programmazione e quantificazione dei vantaggi del processo 6) Implementazione di tutti gli opportuni meccanismi di garanzia nei confronti dei consumatori/utenti/social users – La “Carta dei Diritti” dei consumatori e degli utenti, e di tutti gli stakeholders, che costituisce un requisito fondamentale delle informative, non è lettera morta: occorre avere implementato gli opportuni meccanismi atti a garantire l’esercizio dei diritti ed il tempestivo riscontro agli interessati in azienda. La mancata implementazione di tali meccanismi espone a concreti rischi nell’incapacità dell’azienda di far fronte a istanze o segnalazione di interessati, che costituiscono la prima fonte di innesco delle attività ispettive dell’Autorità Garante della Privacy. 7) Adozione di un modello di organizzazione e gestione dei dati personali – Il modello di organizzazione e gestione dei dati personali [MOP] permette di analizzare, pianificare e strutturare in azienda un sistema efficace che preveda la corretta attribuzione dei ruoli e l’allocazione delle responsabilità interne. In assenza di tale modello, il titolare del trattamento non è in grado di controllare il processo e di valutare gli eventuali gap. 8) Implementazione dei controlli e delle procedure a presidio del sistema – Nessun sistema è utilmente concepito senza un sistema di controlli e di procedure che possa costituire presidio del sistema. L’assenza di un sistema di controllo e presidio espone l’azienda a danni derivanti dall’inosservanza delle regole tecniche e operative di sistema. 9) Formazione delle nuove competenze in azienda – La formazione del personale in azienda, con particolare riguardo anche alla formazione privacy, data protection e cybersecurity integra una misura di sicurezza ai sensi del GDPR. Un’azienda priva delle necessarie competenze perde una fondamentale leva di sviluppo e competitività. Il processo di trasformazione digitale costituisce una priorità strategica per qualsiasi azienda: questo processo non può limitarsi a toccare gli strumenti operativi aziendali ma deve necessariamente includere un corretto modello organizzativo di Privacy [MOP], Data Protection e Cybersecurity. di Giovanna Boschetti (Fonte: Il Sole 24 Ore)
24. Mag 2022
Ransomware, due aziende su tre sono colpite dal malware che prende i dati in ostaggio. Colpita anche Coca-Cola con richiesta di maxi-riscatto
Flash NewsMercoledì, 27 Aprile 2022 16:55 Il 66% delle aziende sono state colpite da un attacco ransomware nell’ultimo anno. Lo evidenzia il nuovo rapporto “State of Ransomware 2022” realizzato a cura di Sophos. Quintuplicato rispetto allo scorso anno il riscatto medio pagato per recuperare i dati, che si attesta sui 812.360 dollari, e il 46% delle aziende i cui dati sono stati criptati a seguito dell’attacco ha deciso di pagare il riscatto. Il Rapporto di Sophos, leader globale nella sicurezza informatica, analizza l’impatto che il ransomware ha avuto su 5.600 aziende in 31 paesi nel mondo, Italia compresa. Nel nostro Paese, il 61% del campione di aziende prese in esame nel rapporto è stato colpito da ransomware nell’ultimo anno mentre il 27% si aspetta di essere colpito in futuro. Delle aziende italiane colpite da ransomware, il 63% ha subìto la crittografia dei file, mentre il 26% è riuscito a bloccare l’attacco prima che i dati venissero criptati. Il 43% ha pagato il riscatto e ha recuperato i propri dati, mentre il 78% dichiara di essere riuscito a recuperare i dati grazie al proprio backup. Tra le aziende italiane che hanno pagato il riscatto, il 24% ha recuperato circa la metà dei propri dati e solo il 3% è riuscito a recuperare la totalità dei dati sottratti dai cybercriminali. L’entità del riscatto pagato si attesta nella maggior parte dei casi (37% del campione) tra i 100.000 e i 249.999 dollari. Il 55% delle aziende italiane colpite ha dichiarato che l’impatto sulla propria operatività di business è stato molto alto e che il recovery time è stato fino a 1 settimana per il 36%, fino a un mese per il 34%, mentre solo l’11% del campione ha ripristinato la normalità in meno di un giorno. Per quanto riguarda l’assicurazione dai rischi cyber, il 47% del campione dichiara che la propria polizza copre anche i danni causati da un attacco ransomware, il 7% pur avendo un’assicurazione cyber non ha copertura per questa tipologia di attacco e il 5% del campione dichiara che la propria azienda non ha un’assicurazione contro i rischi cyber. Nello scenario internazionale, proprio nelle ultime ore è stata data notizia che il gruppo ransomware Stormo us ha annunciato di aver colpito la multinazionale Coca-Cola Company, e di aver esfiltrato oltre 160 GB di dati. Il riscatto richiesto all’azienda sarebbe di oltre 64 milioni di dollari statunitensi, ovvero 1,6467000 Bitcoin. A quanto pare, il gruppo di criminali informatici avrebbe anche lanciato prima un sondaggio sul proprio gruppo Telegram chiedendo agli utenti di scegliere il prossimo bersaglio, e la Coca-Cola Company avrebbe “vinto” con oltre il 70% di preferenze. Consapevole degli enormi rischi che comporta per le imprese che vengono colpite da questo pericoloso tipo di malware, il Gruppo di Lavoro per la sicurezza delle informazioni che opera in seno a Federprivacy nelle scorse settimane ha realizzato una specifica infografica a scopo informativo e divulgativo, che è liberamente scaricabile dal sito dell’associazione, e che ha già registrato oltre 1.000 download.
3. Mag 2022
GDPR, bello e impossibile
Il punto di vistaMercoledì, 27 Aprile 2022 10:16 Quasi impossibile rispettare il GDPR al 100%, ma le imprese devono cercare in buona fede la strada migliore per rispettare la privacy. Così Secondo Sabbioni, Data Protection Officer dal 2012 del Parlamento europeo, per il quale la collaborazione tra istituzioni e operatori economici è la chiave del successo delle norme sulla protezione dei dati, che non mancano, però, di chiaroscuri. A un quarto di secolo dall’inizio dell’era italiana della privacy (l’8 maggio 1997 entrava in vigore il grosso della legge 675/1996, la prima legge sulla riservatezza) è tempo di fare il punto della situazione. Ma in una prospettiva europea. Per fare ciò ItaliaOggi ha incontrato Sabbioni, che è un osservatore privilegiato, avendo visto nascere il GDPR (General data protection regulation)nelle stanze di Strasburgo. Con il GDPR (operativo dal 2018), infatti, la disciplina della protezione dei dati è tendenzialmente unica in tutta l’Ue e non si può stimare il futuro della applicazione della privacy se non abbracciando tutto il Vecchio Continente. A Sabbioni chiediamo, dunque, un punto di vista sull’attualità e sui possibili sviluppi del GDPR. Domanda: Il GDPR è riuscito a unire l’Europa nella protezione dei dati? Risposta: Penso solo in parte. Ricordo che nelle fasi di stesura del Gdpr una delle principali critiche sosteneva che era una direttiva camuffata ed, in effetti. ci sono materie in cui il singolo stato può fare la differenza. Ci sono disposizioni del Regolamento che rinviano alla legislazione dei singoli stati. Probabilmente l’esempio più clamoroso riguarda l’età per l’espressione del consenso da parte dei minori. In effetti fin da quando è entrato in vigore, è stato chiaro che il GDPR lascia molti spazi di manovra alle autonomie nazionali. Domanda: Un quadro con molte ombre, si potrebbe dire. Risposta: Si, ma anche con molte cose positive. La cultura della privacy è cresciuta moltissimo dopo il GDPR. La privacy è diventata più visibile. Le imprese se ne preoccupano di più, magari anche solo per gestire costi indotti. Il GDPR ha, poi, avuto il grosso merito di essere il grimaldello per cominciare a obbligare le big five o GAFAM (Google, Amazon, Facebook, Apple, e Microsoft), a rispettare la privacy dei cittadini europei e a pagare il giusto contributo fiscale sui lauti guadagni che derivano dal suo trattamento. Il GDPR ha squarciato un velo e scoperchiato questo settore. Certo ci sono, ovviamente, situazioni in cui manca la consapevolezza, ma coltivo la speranza che il diritto alla privacy possa in un futuro non lontano essere trattato alla pari del diritto alla salute o alla sicurezza. (Nella foto: Secondo Sabbioni, Data Protection Officer del Parlamento Europeo) Domanda: In generale, però, si continua ad andare in ordine sparso? Risposta: È un dato oggettivo che in questi quattro anni di operatività è emerso che l’applicazione del GDPR non è uniforme in tutta l’Unione europea. Ci sono alcuni stati in cui ormai la disciplina del GDPR è quasi completamente integrata, come la Germania, e altri in cui la sensibilità è ai minimi termini. La cultura della protezione dei dati è ancora molto diversa nei paesi dell’Unione. Domanda: Ma allora cosa bisogna pensare di questo GDPR? Risposta: Il GDPR è stata un’ottima cosa. Avere un regolamento direttamente applicabile ha avuto un effetto trainante della privacy. A chi dice che ormai è vecchio posso rispondere che è ancora utile e, probabilmente, il suo più grosso merito è stato di avere codificato un approccio basato sul rischio, così da permettere agli operatori economici di scriversi la regola adeguata al proprio rischio. Domanda: Eppure non manca chi critica il GDPR proprio perché lascia spazio a incertezze nell’interpretazione e nell’attuazione. È ancora uno strumento utile? Risposta: Il GDPR ha successo ed è ancora utile se tutti fanno il loro dovere. Ci vogliono Garanti che danno risposte concrete, elaborano modelli, formulari e template. Ci vogliono, dall’altro lato, operatori economici che si dotano di esperti preparati e in grado di rapportarsi con le autorità. A questo proposito, ritengo che responsabilizzare gli operatori affinché elaborino regole per la propria organizzazione nel rispetto dei principi del GDPR è lungimirante, perché in un testo rigido non si può tenere conto degli sviluppi della tecnologia e dell’intelligenza artificiale. È il singolo operatore che deve interrogarsi, fare un esame di coscienza ed assumere le scelte di tutela degli interessati. Domanda: Imprese ed operatori avrebbero bisogno di essere un po’ più aiutati. Risposta: Sono d’accordo che ci vorrebbero linee guida delle autorità garanti, che non devono limitarsi a mere parafrasi delle norme di principio, ma, al contrario, diano risposte concrete e rapide agli operatori. Ma sono anche convinto che bisogna avere pazienza e che bisogna ragionare su tempi lunghi. Nel frattempo, gli operatori devono agire con buona fede, anche perché è quasi impossibile osservare al 100% l’impianto normativo, soprattutto dopo la sentenza della Corte di Giustizia europea “Schrems II”. Residua sempre un margine di rischio giuridico. L’importante è dimostrare come si è arrivati a un certo risultato e giustificare tutti i passaggi. (Intervista di Antonio Ciccia Messina, fonte Italia Oggi)
3. Mag 2022
Accesso alla valutazione dei rischi ed al Registro dei trattamenti
Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Se il Registro è ben strutturato, gli autorizzati hanno quindi accesso a varie informazioni: durata del trattamento, modalità di cancellazione/distruzione dei dati, ragioni sociali dei Responsabili designati, ecc. Possono quindi anche segnalare eventuali errori o modifiche (ad esempio la variazione di un Responsabile), in modo da far sì che il documento sia costantemente aggiornato.Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato, di norma sotto la Responsabilità del Privacy Officer. Quest’ultimo dovrà informare gli Autorizzati dell’emissione di una nuova versione del documento rendendola disponibile, ad esempio sulla intranet aziendale. In ogni caso i contenuti del Registro non devono essere comunicati all’esterno dell’Organizzazione. La Valutazione dei rischi – La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Un esempio po’ aiutare a comprendere: Per il trattamento X effettuato tramite un software è documentata, come misura di mitigazione, l’accesso regolamentato da password in possesso solo degli autorizzati che ricoprono il ruolo ALFA e BETA. Sulla base di tale informazione, un malintenzionato potrebbe: – dedurre che i dati presenti nel software non sono criptati e questo evidenzia una debolezza– contattare gli autorizzati che ricoprono il ruolo ALFA e BETA attivando tecniche di social engineering per carpire la password o per ricattarli al fine di poter accedere ai dati Inoltre, il malintenzionato, analizzando le minacce descritte dalla Valutazione dei rischi, potrebbe dedurre che alcune non sono state “considerate” o meglio “documentate”. Ciò peraltro non implica necessariamente che non siano state approntate delle misure in relazione a tali minacce. Alla luce di quanto sopra, la Valutazione di rischi dovrebbe essere un documento con un accesso molto limitato, e dovrebbero essere poste in atto ulteriori misure per rendere difficoltosa la consultazione, come ad esempio: – archiviazione del documento in un’area non accessibile dall’esterno– criptazione del documento– suddivisione del documento in più parti, in modo che l’accesso ad una sola di esse non ne permetta la comprensione La problematica assume ancora più rilevanza nel caso in cui l’Organizzazione agisca come Responsabile del trattamento e quindi le misure che pone in capo debbano essere poste a tutela del Titolare. Quest’ultimo potrebbe indicare, nell’ambito dell’atto di designazione, anche il livello di accesso e di protezione della Valutazione dei rischi per la parte dei dati che deve trattare il Responsabile. Considerazioni simili a quelle effettuate per la Valutazione dei rischi possono essere svolte per quanto riguarda il MOP – Modello Organizzativo Privacy che, per quanto non contenga, di norma, elementi vulnerabili come nel caso della Valutazione dei rischi, è opportuno resti riservato. Il caso della Pubblica amministrazione – Per le Pubbliche amministrazioni vi è anche l’esigenza di bilanciare le informazioni contenute nel Registro dei trattamenti e nella Valutazione dei rischi, a fronte delle seguenti normative: – Decreto legislativo 14 marzo 2013, n. 33 – amministrazione trasparente– Legge n. 241/1990 – accesso agli atti La disponibilità/accesso a tali documenti, dovrebbe essere attentamente valutata in quanto sono molte le vulnerabilità a cui l’Amministrazione si espone permettendo la consultazione in rete o l’accesso a seguito di una richiesta (vari esperti hanno peraltro posizioni diverse a riguardo). Riguardo alla normativa sull’amministrazione trasparente, è stata effettuata una ricerca nel sito dell’Anac per verificare quali documenti riguardanti la protezione dei dati sono presenti; risulta presente solo l’elenco: “Banche dati Anac Autorità Nazionale Anticorruzione”. Per quanto riguarda invece il diritto di accesso si rimanda alla definizione di “documento amministrativo”, vedi legge n. 241/1990. L’art. 22, lettera d) e successivamente modificato dalla legge n. 15/2015. Si definisce documento amministrativo “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Il Titolare quindi determinerà, secondo il principio di autotutela, se la Valutazione dei rischi collide con il principio di trasparenza, dato il rischio di utilizzo delle informazioni in modo lesivo degli interessi della Pubblica Amministrazione. Analoga considerazione può essere effettuata per quanto riguarda l’esercizio del diritto di accesso. Conclusioni – Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente
22. Mar 2022
Chi è e cosa fa il Privacy Officer?
Il privacy officer (in inglese, “agente della privacy”) è una figura professionale con competenze giuridiche, informatiche e gestionali, la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’organizzazione, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti. Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla di chief privacy officer (CPO), figura strategia di gestione “C-level” che si è diffusa negli USA e nei paesi anglosassoni a partire dagli anni ’90, istituita dalle grandi società per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. (Per approfondimenti, vedasi “Il Privacy Officer storia ed evoluzioni della figura professionale) A motivo dei compiti che deve svolgere, il privacy officer deve possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel paese in cui opera. Deve dunque poter offrire ai propri vertici aziendali la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza. In Europa invece il Regolamento UE 2016/679 ha introdotto il Responsabile della Protezione dei Dati (Data Protection Officer), con competenze analoghe, ma che si distingue dal privacy officer dei paesi anglosassoni come figura non operativa e autonoma, che espleta le proprie funzioni di controllo in piena indipendenza senza ricevere alcuna istruzione o impartizione gerarchica, e che deve riferire sul suo operato direttamente ai vertici aziendali, i quali, per l’ esecuzione dei suoi compiti devono fornirgli personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti. L’art.38 del Regolamento europeo sulla protezione dei dati personali, descrive la posizione del “responsabile della protezione dei dati”: Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del titolare del trattamento o del responsabile del trattamento. Il titolare del trattamento o il responsabile del trattamento sostiene il responsabile della protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 39 del regolamento. L’art.39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Il regolamento unico sulla protezione dei dati personali (c.d. GDPR, acronimo di “General Data Protection Regulation”) ha abrograto la direttiva 95/46/CE ed è direttamente applicabile dal 25 maggio 2018 in tutti gli Stati membri UE, obbligando tutti gli enti pubblici e tutte le aziende che rientrano nelle previsioni dell’art. 37 a nominare un data protection officer. Sempre l’art. 37 prescrive che la designazione del DPO debba essere fatta in base alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 39, assicurandosi che la posizione della persona nominata non dia adito a conflitto di interessi. Il nominativo e le coordinate del Responsabile della Protezione dei Dati designato devono essere comunicati all’autorità di controllo e al pubblico, in Italia il Garante per la protezione dei dati personali. Già diversi anni prima dell’introduzione del Regolamento UE, Federprivacy ha promosso la certificazione con Tϋv Italia la figura professionale del Privacy Officer e Consulente della Privacy, dando così un riconoscimento ai professionisti che si occupano di privacy, ma che prima non avevano una connotazione definita. Secondo le Statistiche, dell’Osservatorio di Federprivacy, nel 2018 i professionisti che avevano intrapreso il percorso di certificazione come Privacy Officer erano più di 2.000, di cui più di 400 lo avevano già concluso sostenendo l’esame con Tϋv. (Vedasi anche il video “Come si svolge l’esame di certificazione“)
19. Mar 2022
Interruzione ed eliminazione di un trattamento di dati personali secondo il principio della ‘Privacy by Design’
L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) – l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento– l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento Le due attività possono coincidere, ad esempio nel caso in cui il Titolare decida di non pubblicare più una newsletter, per cui interromperà la raccolta delle adesioni alla newsletter ed eliminerà contestualmente i dati di coloro che la ricevevano, eventualmente previa comunicazione; oppure, interruzione ed eliminazione possono avvenire in momenti differenti, a distanza di tempo, come nel caso in cui il Titolare non abbia più necessità di raccogliere il casellario giudiziale dei propri dipendenti perché è cambiata la normativa che lo imponeva, ma deve comunque conservare per un certo periodo di tempo il casellario giudiziale dei dipendenti in essere. Alla luce di ciò è opportuno, soprattutto in realtà complesse, definire una procedura che descriva anche le modalità e responsabilità per la gestione delle due fasi, il che diventa anche criterio in fase di audit. Quello che segue è un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO supportato dal Privacy Officer. Ovviamente, come tutti gli esempi, dovrà essere integrato e adeguato al contesto specifico delle singole realtà, e non ha alcuna pretesa di essere esaustivo. L’eliminazione di un trattamento avviene quindi in due step: 1. interruzione del trattamento, ovvero sospensione della raccolta dei dati relativi al trattamento;2. eliminazione del trattamento, ovvero dei documenti – cartacei e/o elettronici – che contengono dati relativi al trattamento. Step 1: prende avvio dopo che il Titolare ha valutato di interrompere l’acquisizione di nuovi dati degli interessati già presenti nei propri archivi, o l’acquisizione dei dati relativi a nuovi interessati. (In alcuni casi l’interruzione potrebbe essere momentanea e riprendere dopo un periodo di sospensione). Il Titolare si trova quindi a trattare solo dati già presenti negli archivi, fino alla loro eliminazione definitiva, secondo la tempistica indicata nel Registro e comunicata agli interessati tramite l’informativa Step 2: si concretizza quanto il Titolare elimina in modo definitivo i dati degli interessati; tale attività può essere contestuale allo step 1 o avvenire a distanza di tempo Le fasi previste dallo step 1, in seguito alla decisione del trattamento, a carico del Titolare, coadiuvato dal Privacy Officer, sono: – comunica al DPO la decisione di interruzione del trattamento (vedi flussi verso il DPO);– informa gli autorizzati a trattare i dati, circa la decisione di sospendere il trattamento stesso;– blocca l’accesso da parte degli autorizzati ai dati degli interessati, con l’esclusione di quelli necessari per poter dare riscontro ad una eventuale richiesta di esercizio dei diritti;– aggiorna il Registro dei Trattamenti indicando che il trattamento è sospeso;– ritira tutta la documentazione (es. modelli di informative) afferenti al trattamento;– valuta se sono in essere misure relative al trattamento che non sono più necessarie e nel caso le elimina;– valuta se sono in essere procedure – o parti di procedure – relative al trattamento che sono da modificare, nel qual caso procede alla loro modifica/eliminazione;– aggiorna il Modello Organizzativo Privacy (MOP) indicando l’interruzione del trattamento. Nell’intervallo di tempo (se previsto) tra lo step 1 e lo step 2 il Titolare deve dare riscontro agli interessati, quando ciò è applicabile, ad eventuali richieste dell’esercizio dei loro diritti. Le fasi previste dallo step 2, a carico del Titolare, coadiuvato dal Privacy Officer, sono: – comunica al DPO la decisione dell’eliminazione del trattamento (vedi flussi verso il DPO);– incarica gli autorizzati dell’eliminazione dei dati afferenti al trattamento, considerando che le modalità di trattamento saranno, di norma, quelle definite nel Registro dei Trattamenti;– se del caso mette a punto procedure specifiche per l’eliminazione dei dati (ad esempi nel caso di grandi quantità di dati da eliminare), coinvolgendo ed incaricando, se opportuno, anche fornitori nel ruolo di Responsabili del trattamento;– procede all’eliminazione dei dati afferenti al trattamento;– redige un verbale dell’eliminazione del Trattamento e lo conserva nella documentazione afferente alla protezione dei dati;– aggiorna il Registro dei Trattamenti eliminando il Trattamento;– valuta se sono in essere misure relative al Trattamento che non sono più necessarie, e in quel caso le elimina;– valuta se sono in essere procedure – o parti di procedure – relative al Trattamento che sono da eliminare; nel qual caso procede alla loro eliminazione;– aggiorna il MOP indicando l’eliminazione del trattamento. A valle dello step 2 il Titolare deve, a seguito dell’eventuale richiesta di un interessato per l’esercizio di un diritto, specificare che il trattamento è stato eliminato ed il Titolare non è più in possesso di alcun dato relativo all’interessato. Qualora ciò non si rivelasse esatto (a seguito ad esempio di prove fornite dall’interessato o indagini interne), il Titolare deve: – analizzare il caso;– rimuovere i dati eccedenti relativi all’interessato;– comprendere se possono essere disponibili dati di altri interessati, relativi al trattamento in oggetto e in quel caso eliminarli;– comprendere le cause dell’errore e rimuoverle (azione correttiva) affinché non si ripresentino. L’esempio di procedura riportata – che potrebbe essere resa ulteriormente complessa a seconda del contesto in cui opera l’organizzazione, prevedendo, ad esempio, anche comunicazioni mirate agli interessati – permette di comprendere la complessità intrinseca di questa fase del processo di ciclo di vita del trattamento, che è spesso trascurata. Ciò mette in luce che quanto afferisce alla protezione dei dati ha sempre un livello di complessità maggiore di quanto apparentemente possa risultare.
19. Mar 2022
L’evoluzione delle automobili connesse ed i rischi in tema di sicurezza e privacy
Primo PianoGiovedì, 10 Febbraio 2022 10:56 Negli ultimi tempi la tecnologia ha fatto davvero passi da gigante ed ormai sta cambiando progressivamente il nostro modo di lavorare, di interagire e quindi di vivere nella nostra società grazie all’avvento di sofisticati dispositivi tecnologici che sfruttano le innumerevoli potenzialità che li contraddistinguono. Indubbiamente negli ultimi tempi il settore dei trasporti è tra i più interessati sul fronte dell’innovazione tecnologica, tant’è vero che si parla sempre di più di trasporto intelligente, obiettivo fondamentale anche dell’agenda digitale europea. (Nella foto: l’Avv. Michele Iaselli, Coordinatore del Comitato Scientifico) Il punto di riferimento principale, dal punto di vista normativo, è rappresentato dalla direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010 che sostiene l’importanza dei sistemi di trasporto intelligente al fine di contribuire ad un sistema di trasporto più pulito, più sicuro e più efficiente. La stessa direttiva fornisce un quadro per l’attuazione coordinata di queste innovative tecnologie di trasporto in tutta l’Unione europea (UE). Essa mira a stabilire servizi ITS interoperabili ed efficienti, lasciando decidere autonomamente i paesi dell’UE su quali sistemi investire. Tra i principali settori di intervento da intendersi come gli obiettivi prioritari per la diffusione e l’utilizzo, in modo coordinato e coerente, di sistemi di trasporto intelligenti sul territorio si annoverano: a) uso ottimale dei dati relativi alle strade, al traffico e alla mobilità;b) continuità dei servizi ITS di gestione del traffico e del trasporto merci;c) applicazioni ITS per la sicurezza stradale e la sicurezza del trasporto;d) collegamento telematico tra veicoli e infrastruttura di trasporto.Nell’ambito di tali settori i sistemi di trasporto intelligenti devono garantire sul territorio:a) la predisposizione di servizi di informazione sulla mobilità multimodale;b) la predisposizione di servizi di informazione sul traffico in tempo reale;c) i dati e le procedure per la comunicazione gratuita agli utenti, ove possibile, di informazioni minime universali sul traffico connesse alla sicurezza stradale;d) la predisposizione armonizzata di un servizio elettronico di chiamata di emergenza (eCall) interoperabile;e) la predisposizione di servizi d’informazione per aree di parcheggio sicure per gli automezzi pesanti e i veicoli commerciali;f) la predisposizione di servizi di prenotazione per aree di parcheggio sicure per gli automezzi pesanti e i veicoli commerciali. Appare evidente che l’introduzione di questi elementi innovativi è perfettamente compatibile, anzi ne rappresenta la logica conseguenza, alle automobili connesse che grazie a tutta una serie di dispositivi come radar, telecamere, sensori di diagnostica e altri strumenti telematici sofisticati sono in grado di dialogare fra loro e con infrastrutture stradali. Tali automobili, quindi, sono caratterizzate dalla connessione e comunicazione con il mondo esterno. Si tratta indubbiamente di un ulteriore passaggio che dovrà portare in futuro alle sempre più pubblicizzate automobili a guida autonoma che, però, in questo momento storico hanno subito un certo rallentamento a livello di sviluppo di mercato per il verificarsi di tutta una serie di incidenti imprevisti (si pensi, ad esempio, all’indicente della Model X della Tesla del 23 marzo 2018 con decesso del conducente oppure all’incidente che sempre nel marzo 2018 ha coinvolto una macchina a guida autonoma di Uber con la morte di un pedone). Previsioni, quindi, estremamente ottimistiche che devono tener conto anche della nascita e dello sviluppo delle c.d. autostrade intelligenti. Difatti, la mobilità sostenibile non è fatta soltanto di automobili: è necessario che anche le infrastrutture a esse collegate siano più tecnologiche ed ecologiche. Per questo l’autostrada del futuro sarà “intelligente”, ma soprattutto integrerà pannelli solari grazie a cui ricaricare i pali della luce (e persino le abitazioni circostanti) e ricaricherà le auto elettriche mentre la percorrono. Altro importante elemento che compone il concetto di autostrada 2.0 o 3.0 è l’utilizzo di sensori e dei dati raccolti dalle varie auto elettriche per una serie di servizi più precisi. Per esempio, il monitoraggio del traffico oppure mappe per la navigazione che siano aggiornate meglio e con maggiore regolarità. Magari utilizzando anche gli algoritmi automatici. Naturalmente in questo specifico campo sarà di grande utilità la tecnologia 5G: una tecnologia che è in grado di assicurare non solo una velocità maggiore nel trasferimento dei dati ed un minor tempo di attesa tra l’invio di un segnale e la sua ricezione, ma anche di gestire molti più dispositivi connessi contemporaneamente. Con questa tecnologia le automobili connesse potranno “dialogare” in maniera ancora più veloce ed efficace con altre automobili, infrastrutture e reti, scambiandosi dati e informazioni ad esempio sulla loro posizione, sulla situazione del traffico e sul meteo. L’introduzione di questi nuovi strumenti creerà inevitabilmente non pochi problemi dal punto di vista sia etico che giuridico poiché normative eccessivamente rigide potrebbero soffocare l’innovazione, ma la mancanza di chiarezza giuridica lascerebbe tutti gli operatori nel buio. Un contesto normativo trasparente è visto come un elemento chiave per lo sviluppo di nuovi dispositivi tecnologici e di sistemi autonomi di mercato, in cui prodotti e servizi possono essere distribuiti senza problemi. C’è il forte timore da parte di molti che una legislazione prematura ed invadente possa ostacolare il progresso scientifico ed annullare potenziali vantaggi o peggio ancora causare inefficienze economiche o altro. Allo stesso tempo, in qualche modo paradossalmente, si ammette che la mancanza di un ambiente giuridico affidabile e sicuro possa ugualmente ostacolare l’innovazione tecnologica. Tale difficile situazione mina sicuramente la certezza del diritto ed induce la gente ad agire in un settore ambiguo in cui i diritti e le responsabilità non sono preventivamente individuabili. Ma l’uso di dispositivi connessi potrebbe far nascere maggiori problemi anche in tema di sicurezza e di privacy. Si pensi, ad esempio, all’utilizzo di questi sistemi per tracciare informazioni inerenti viaggi, itinerari percorsi, abitudini di guida. Il tutto per avere preziosi dati ai fini di una profilazione sempre più mirata e quindi di un controllo sempre più sistematico. Non bisogna mai dimenticare che le nozioni di digital footprint, identità e profilazione degli utenti nell’ambito della comunicazione digitale e telematica, sono concetti tra loro strettamente collegati. In tal caso appare evidente l’importanza dell’approccio tipico della privacy by design già disciplinata dall’art. 25 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR). Ovviamente al fine di proteggere tali sistemi da illecite interferenze o attività di trattamento dei dati personali è necessario prevedere adeguate misure tecniche ed organizzative e quindi implementare efficaci sistemi di sicurezza informatica. Alla luce anche di quando disciplinato dal GDPR all’art. 32 diventa necessario: 1. prevedere le minacce ed adattarsi ad esse;2. identificare ed eliminare le vulnerabilità esistenti;3. rilevare ed arrestare cyber attacchi con una velocità ed efficienza che non è sempre possibile ottenere con l’analisi umana.
10. Feb 2022
Password vulnerabili? un assist agli hacker. Le regole per sceglierne una robusta
SpecialiLunedì, 17 Gennaio 2022 10:53 Le password meno sicure sono le più usate. E basta meno di un secondo per scoprirle. Al mondo, nel 2021, la parola chiave più usata è stata «123456». Tra le altre password più gettonate: «qwerty», «password» e «1q2w3e» e anche «111111», «123123» e «iloveyou». Passando ai nomi di persona svetta «Micheal», tra i marchi di automobile primeggiano «Ferrari» e «Porsche», tra gli appartenenti alla fauna «Dolphin» ha la posizione più alta (tutte le graduatorie sono rintracciabili sul sito https://nordpass.com). In Italia anche le squadre di calcio scalano la classifica e tra le compagini del football «juventus» conquista questo non invidiabile scudetto. Considerate da altro punto di vista gli analisti riferiscono dati allarmanti per la vulnerabilità dei dispositivi usati tutti i giorni a chiunque: l’84,5% delle credenziali è scoperto, con l’uso di appositi applicativi, in meno di un secondo. E il dato si è aggravato rispetto a quello, 73%, registrato nel 2020. Esistono tra l’altro tabelle riepilogative sul tempo necessario alla intercettazione della password e anche siti che misurano questo lasso di tempo. Per esempio, accedendo a https://www.security.org/how-secure-is-my-password/ è possibile ottenere immediatamente un riscontro sul tempo che è necessario a un malfattore cibernetico per svelare le credenziali. Diventa, quindi, cruciale sapere come scegliere una buona password. Anzi, poiché la vita, anche nei suoi aspetti quotidiani si svolge in rete, una efficace scelta delle password è necessaria come chiudere la porta di casa quando si esce. È paradossale oltre che autolesionista, quindi, un comportamento lassista o di sottovalutazione, che pur di assecondare la pigrizia e l’inerzia, accetti di correre rischi così alti. Rischi che il sistema di protezione pubblica non dimostra di essere in grado di arginare. Insomma, in rete bisogna aiutarsi da sé a partire dalle parole chiave. A questo riguardo un vademecum divulgativo è stato steso dal Garante della privacy. Impostazione corretta – Stando ai consigli del Garante una buona password deve essere abbastanza lunga: almeno 8 caratteri, anche se più aumenta il numero dei caratteri più la password diventa «robusta» (si suggerisce intorno ai 15 caratteri). La credenziale, poi, deve contenere caratteri di almeno 4 diverse tipologie, da scegliere tra: lettere maiuscole, lettere minuscole, numeri, caratteri speciali (cioè punti, trattino, underscore, ecc.). Non si devono inserire riferimenti personali facili da indovinare (nome, cognome, data di nascita, e così via). La parola chiave non deve nemmeno contenere riferimenti al nome utente (detto anche user account, alias, user id, user name). Inoltre, è meglio evitare che contenga parole «da dizionario», cioè parole intere di uso comune: è meglio usare parole di fantasia oppure parole «camuffate» per renderle meno comuni, magari interrompendole con caratteri speciali (per esempio: caffè può diventare caf-f3). Il Garante informa che esistono infatti software programmati per tentare di indovinare e rubare le password provando sistematicamente tutte le parole di uso comune nelle varie lingue, e con questa accortezza si può rendere il loro funzionamento più complicato. Il Garante ricorda anche che la password andrebbe periodicamente cambiata, soprattutto per i profili più importanti o quelli che si usano più spesso (e-mail, e-banking, social network). Gestione precisa – Il Garante avverte che bisogna utilizzare password diverse per account diversi (e-mail, social network, servizi digitali di varia natura). In caso di furto di una password si evita così il rischio che anche gli altri profili che appartengono alla stessa persona possano essere facilmente violati. Altra accortezza importante è quella di non utilizzare password già utilizzate in passato. Occorre poi ricordare che le eventuali password temporanee rilasciate da un sistema o da un servizio informatico vanno sempre immediatamente cambiate, scegliendone una personale Meccanismi multi-fattore – Il Garante consiglia, per stare più tranquilli, di utilizzare (non sempre disponibili) meccanismi di autenticazione multi-fattore (come codici Otp one-time-password), che rafforzano la protezione offerta dalla password. Conservazione – Per garantire un livello di sicurezza bisogna pensare a scegliere bene le password e, poi, a conservarle ancor meglio: le password non vanno mai scritte su biglietti che poi magari si conservano nel portafoglio o in borsa, o che si possono distrattamente lasciare in giro, oppure in file non protetti sui dispositivi personali (computer, smartphone o tablet). Bisogna evitare sempre di mettere altri a conoscenza delle password via e-mail, sms, social network, instant messaging. Anche se comunicate a persone conosciute, le credenziali potrebbero essere diffuse involontariamente a terzi o rubate da malintenzionati. Se si usano pc, smartphone e altri dispositivi che non ci appartengono, va evitato sempre di lasciare conservate in memoria le password utilizzate. Valutare i gestori – Si tratta di programmi specializzati che generano password sicure e consentono di appuntare in formato digitale tutte le password salvandole in un database cifrato sicuro. Ce ne sono di vario tipo, gratuiti o a pagamento. Il Garante lascia ai singoli la valutazione se usarli o non usarli. di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 17 gennaio 2022)
20. Gen 2022
Regolamenti & Policy: il concetto di ‘responsabilizzazione’ come fulcro del sistema di gestione della privacy
Primo PianoMercoledì, 13 Ottobre 2021 11:38 Il Regolamento generale sulla Protezione dei Dati ha evidenziato la centralità di un elemento chiave per ciò che attiene alla tutela della privacy nella realtà aziendale: quello di “responsabilizzazione”, o accountability. Un concetto che diviene dunque dirimente nel processo di trattamento e imprescindibile per tutte le varie fasi che ne costituiscono la dinamica. In via preliminare, la “responsabilizzazione” – assioma capace di coinvolgere dunque interi settori professionali – sottolinea come chiunque si trovi a trattare i dati debba necessariamente adeguarsi alla vigente normativa sulla protezione delle informazioni personali. (Nella foto: Stefano Pacitti, delegato Federprivacy a Campobasso e membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale) Da un punto di vista pratico, invece, la correttezza delle procedure in questione si esplica sostanzialmente in una operatività rispettosa dei principi e delle disposizioni presenti nel Regolamento, nella consapevolezza dei rischi che il trattamento può comportare, ma anche nella adozione di misure tecnico-organizzative (anche certificate) che consentano di garantire procedimenti conformi alle prescrizioni, così come di prevenire i possibili pericoli in termini di adeguata sicurezza. Proprio a questo proposito si esprimono, in particolare, gli artt. 5, par. 2, 24 del GDPR ed il Considerando n. 74, i quali individuano una vera e propria forma di responsabilità giuridica posta in capo al Titolare del trattamento, con riferimento all’attuazione dei principi fondamentali di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza e aggiornamento, limitazione della conservazione, integrità e riservatezza ed all’adozione delle misure e delle politiche idonee alla protezione dei dati trattati. Ecco perché, se il Titolare è in grado di dimostrare la propria responsabilizzazione, riduce appunto il rischio di incorrere in violazioni e, soprattutto, nelle pesanti sanzioni amministrative pecuniarie contemplate dall’art. 83, parr. 4 e 5, GDPR oltre che in quelle penali. Ma il processo di responsabilizzazione passa anche attraverso tutti i soggetti che – all’interno dell’organizzazione aziendale – sono deputati alla gestione ed al trattamento dei dati personali per conto del Titolare: tutti costoro devono essere opportunamente “istruiti”, come previsto dal Regolamento, nell’ottica di una corretta operatività. È facile quindi comprendere, di conseguenza, l’importanza di specifici regolamenti o policies aziendali che vadano ad integrare il modello organizzativo in tema di privacy. I primi sono volti a individuare dettami e norme (che si sovrappongono a quelle contrattualcollettive) al fine di proceduralizzare e rendere chiare alla totalità dei dipendenti le istruzioni e le regole comportamentali per una corretta gestione di specifici aspetti. Le policies, invece, individuano tutte le possibili casistiche che possono coinvolgere il dipendente (in quanto figura attiva al trattamento) con i relativi processi di rischio, in modo da renderlo edotto sul da farsi ed evitando così errori, violazioni o trattamenti illeciti. Strumenti, questi, capaci di garantire un fedele adeguamento alle normative nazionali ed europee, ma anche di tutelare il Titolare da eventuali contestazioni rinvenibili a più livelli, interni ed esterni alla propria struttura. Dal sito di Federprivacy
22. Ott 2021
Formalizzazione dei ruoli previsti dal Gdpr: per imprese e p.a. è bene mettere nero su bianco chi fa cosa
SpecialiLunedì, 27 Settembre 2021 11:25 Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l’articolo dell’11 settembre 2021). In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta sembra semplice, tutt’altro che facile è l’individuazione in concreto. Il titolare decide finalità e modalità del trattamento; i contitolari, invece, decidono insieme le predette finalità e modalità; il responsabile del trattamento è un fornitore esterno, che tratta dati per conto del titolare e, quindi, agisce per le finalità e nell’ambito delle modalità decise dal titolare. Queste le definizioni generali, che però vanno calate nella realtà dei rapporti commerciali e istituzionali, che non sono mai così netti e, anzi, vi è quasi sempre promiscuità nelle posizioni e nei compiti. Per agevolare il percorso, non si può fare altro, dunque, che elaborare alcuni criteri indiziari, ciascuno non decisivo, ma utilizzabili in maniera sistematica per optare per una o l’altra qualifica. L’impresa, il professionista, l’associazione e l’ente pubblico potranno rispondere ai quesiti proposti nella pagina e individuare almeno con una valutazione di prevalenza, se orientarsi verso la titolarità oppure verso il rapporto tra titolare e responsabile. In quest’ultimo caso è d’obbligo la redazione di un contratto seguendo lo standard dell’articolo 28 del Gdpr. Se, invece, ci si sposta verso l’asse del rapporto di contitolarità, è necessario sottoscrivere un accordo ai sensi dell’articolo 26 Gdpr. di Antonio Ciccia Messina (Italia Oggi del 27 settembre 2021)
14. Ott 2021
Sicurezza informatica in outsourcing: vantaggi e soluzioni per PMI
di Redazione odisseoprivacy.it scritto il 27 agosto 2021 Garantire la cybersecurity in azienda con un piano strategico e competenze specifiche: affidarsi a un Security Provider qualificato in outsourcing può fare la differenza. Le piccole e medie imprese, esattamente come le aziende di grandi dimensioni, subiscono continuamente attacchi che hanno come bersaglio la sicurezza informatica. La digitalizzazione che ormai coinvolge la stragrande maggioranza delle imprese, inoltre, sta rendendo ancora più cogente e concreto questo pericolo. Anche le piccole attività che si affacciano al digitale devono fare uno sforzo in più per proteggersi in modo sicuro, efficace e conforme al Regolamento Europeo sulla privacy 2016/679 (DGPR). Qual è la strategia più efficace per proteggere i dati dei propri clienti, fornitori e dipendenti, le risorse, i sistemi e le reti aziendali? Questo quesito pone le PMI davanti a una scelta che richiede impegno, ponderatezza e conoscenza dell’importanza del problema. La maniera più semplice sembra essere quella di incaricare della cybersecurity e della privacy chi già si occupa della manutenzione e aggiornamento delle infrastrutture informatiche aziendali. Questo soggetto può essere sia una figura interna all’azienda sia un consulente esterno. Questa decisione è legata a problemi di natura economica, dettate da possibili carenze di risorse. Non tutte le imprese, infatti, hanno la possibilità di assumere un responsabile interno della sicurezza informatica o il cosiddetto DPO previsto dal Regolamento UE 2016/679 o il meno impegnativo Responsabile interno incaricato per la privacy. Considerare la sicurezza della privacy e la manutenzione ed aggiornamento del sistema IT aziendale come un’unica responsabilità, può rivelarsi una scelta negativa, deleteria e controproducente in quanto può impedire che la sicurezza privacy venga svolta in modo conforme alla norma e nel migliore dei modi. Anche perché bisogna “costruire” tutto un sistema, affidare gli incarichi fra i soggetti adibiti al trattamento dei dati (ufficio acquisti, ufficio vendite, ufficio del personale, videosorveglianza, ecc.). Verificare quali sono i possibili rischi fisici (incendio, cortocircuito, furto, danni atmosferici, ecc.) e quelli informatici veri e propri e trovare le soluzioni idonee e conformi alle disposizioni normative. Verificare, infine, con audit interni o esterni se il sistema funziona adeguatamente e secondo le regole o continuare con corsi di formazione rivolti agli addetti per sanare i difetti e garantire il funzionamento del sistema. Periodicamente, almeno annualmente, va ripetuta la ricerca di possibili rischi e soluzioni per porvi rimedio. A sottolineare l’importanza di avere un sistema autonomo di gestione della cyber security e della privacy, interno o in outsourcing (esterno) sono anche gli standard di settore (ISO 27001:2013 e NIST CSF e Regolamento UE 2016/679 sulla privacy). Ostacolo per dare l’incarico all’interno al responsabile della sicurezza ed aggiornamento del sistema IT potrebbe essere l’insufficiente conoscenza da parte del soggetto o dei soggetti di quelle importanti norme che regolano il tutto e che si riferiscono a temi tanto impegnativi che potrebbero comportare sanzioni pecuniarie e financo penali per il Titolare dell’azienda. Per rendere realmente efficace una simile strategia, infatti, è basilare ed indispensabile rivolgersi a competenze specifiche e nel continuo aggiornamento delle stesse, che devono individuare le possibili minacce in continua evoluzione e trovare le soluzioni idonee per controbatterle. Le priorità dei soggetti addetti alla manutenzione ed aggiornamento del sistema IT che supporta il business, inoltre, possono non adeguarsi alle necessità di chi deve garantire la massima protezione ai dati, ai sistemi e ai dipendenti, generando una disputa ed un mancato allineamento alle norme che può nuocere alla stessa azienda. Un piano strategico di sicurezza informatica e della privacy, idoneo nel lungo periodo, dovrebbe prevedere l’opportunità di rivolgersi a uno specialista da assumere all’interno o in outsourcing o un’azienda specializzata in materia, in grado di supportare la ditta nella gestione del rischio e nel trovare le soluzioni in ogni direzione. La sicurezza informatica comprende funzioni e necessità che non riguardano solo gli aspetti hardware e software di un sistema, ma anche i pericoli legati ai dati che sono gestiti e conservati nei sistemi tecnologici. La nostra azienda (odisseoprivacy.it) ha nel suo organico specialisti nella materia che provvedono a predisporre tutto quanto necessario per essere conforme alle norme ed in particolar modo al Regolamento europeo sulla privacy 2016/679 (GDPR) per la sicurezza fisica e la sicurezza informatica per PMI e grandi imprese private e pubbliche: L’impatto di una minaccia informatica può essere importantissimo per un’azienda dal punto di vista economico (oltre che penale). È quindi necessario che la strategia di contrasto a questi potenziali rischi debba essere riconducibile a una decisione ai massimi livelli aziendali. La mancata cognizione comporta che la decisione nelle piccole aziende vengano affidate ai manutentori ed aggiornamento dei sistemi IT.A cura di Odisseoprivacy.it
27. Ago 2021
Videosorveglianza e data breach sotto la lente del Garante Privacy
Flash News FederprivacyDomenica, 22 Agosto 2021 14:3 Meglio non trascurare le regolarità dei sistemi di videosorveglianza pubblici e privati, valutando attentamente la base giuridica del trattamento, la durata della conservazione delle immagini, le informative, e facendo particolare attenzione ai data breach e al trattamento eventuale di dati biometrici. Con deliberazione 22 luglio 2021 [doc.web 9689657], lo ha chiarito il Garante per la protezione dei dati personali, che ogni semestre fornisce indicazioni generali sui controlli da effettuare di propria iniziativa o tramite il Nucleo Speciale Privacy e Frodi Telematiche della Guardia di finanza. Per il secondo semestre del 2021 sotto osservazione saranno soprattutto gli impianti di videosorveglianza pubblici e privati. In particolare quelli che trattano dati biometrici per il riconoscimento facciale. Anche la videosorveglianza aziendale richiede quindi l’installazione di un cartello con tutte le informazioni minime ed il rinvio ad una idonea informativa di secondo livello che può essere pubblicata anche sul sito web aziendale oppure fornita in modalità ordinarie, come ha chiarito lo stesso Garante con l‘ordinanza ingiunzione n. 191 del 13 maggio 2021, in cui il nucleo tutela del lavoro dei carabinieri di Ferrara ha accertato il posizionamento di alcune telecamere all’interno di un’azienda senza il posizionamento in loco di alcun cartello o informativa. Al ricevimento della segnalazione il Garante ha attivato una procedura sanzionatoria che si è conclusa con l’applicazione di una sanzione amministrativa. L’art. 13 del regolamento europeo n. 679/2016, il Gdpr, prevede l’applicazione di un cartello sintetico con rinvio ad informazioni di dettaglio sulle finalità del trattamento e sui diritti dell’interessato. In considerazione della particolare attenzione che il Garante pone sui sistemi di videsorveglianza, nell’ultima parte del 2021 Federprivacy ha promosso due eventi formativi dedicati a questi delicati temi, rispettivamente il “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” di quattro ore in agenda per il 25 settembre, e anche il “Corso Specialistico per Privacy Officer nel settore Videosorveglianza” di 16 ore, con lezioni di quattro ore ciascuna in programma il 14, 21, 28 ottobre e l’ultima il 4 novembre. Oltre gli impianti di videosorveglianza, nel secondo semestre del 2021 sotto la lente dell’Autorità vi saranno anche i trattamenti effettuati dalle società di marketing e di profilazione, dai data broker e dalle banche dati reputazionali, e anche i trattamenti effettuati dagli istituti di ricovero e cura e dalle società rientranti nel settore del food delivery e ai data breach.
26. Ago 2021
I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default
FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”
26. Ago 2021
Il consenso va acquisito per ciascun passaggio dei dati tra più titolari.
Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren, infatti, aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren. L’ammontare della sanzione applicata dal Garante è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha, infine, rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria. Lo Staff IusPrivacy è pronto per offrire ulteriori informazioni. https://www.iusprivacy.eu/contatti.jsp
30. Giu 2021
Privacy dipendenti, violazione con sanzione duplice: penale ed amministrativa.
Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e l’adozione di un adeguato sistema di protezione dei dati dall’altra. Il sistema di gestione privacy con l’obiettivo della salvaguardia dei diritti fondamentali assume, non dimentichiamolo, una doppia valenza per le imprese: sicurezza informativa e sviluppo digitale; corretta gestione dei dati nelle dinamiche del diritto del lavoro. E’ proprio in questa ottica che l’adozione di un modello adeguato di protezione dei dati si inserisce perfettamente nell’ambito della responsabilità sociale di impresa. Questo perché etica, sostenibilità e responsabilità sono i pilastri non solo del GDPR ma anche di quelle imprese che guardano al futuro ed a un mondo del lavoro che sta cambiando (smart working, in primis). È proprio in questa ottica che va guardata la vicenda che ha visto intervenire il Garante. Il caso Ai fini di un procedimento disciplinare contro un lavoratore, in un caso dei mesi scorsi che ha fatto scalpore per l’entità della sanzione comminata (40mila euro), la società aveva utilizzato informazioni recuperate dal proprio sistema informatico violando i limiti di conservazione e registrazione stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Come ha ricordato il Garante: in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300). La norma di settore, richiamata espressamente dalla disciplina in materia di protezione dei dati personali, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento. È evidente, quindi, che proprio nella prospettiva dell’integrazione delle due normative che occorre approcciarsi al sistema di protezione e gestione dati, in quanto ciò permetterà di evidenziare tutti gli eventuali limiti e debolezze delle procedure aziendali. L’imprenditore, prima di procedere alla formale contestazione, avrebbe ben dovuto tener conto che il proprio sistema informatico di monitoraggio, diversamente da quanto comunicato all’Ispettorato del lavoro e da quanto indicato nell’informativa, permetteva la raccolta illegittima di informazioni sull’attività lavorativa dei dipendenti. Non solo, dall’istruttoria è anche emerso che quei dati (che comunque non si sarebbero dovuti raccogliere) erano anche stati utilizzati per finalità ulteriori e non previste dalle medesime informative e autorizzazioni. Tra le finalità di trattamento non rientra né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, né, tanto meno quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato. A ciò deve pure aggiungersi che sono state riscontrate irregolarità anche nei tempi di conservazione. Dalla lettura del provvedimento, infatti, sembrerebbe che vi sia sta confusione tra dato anonimizzato, che ha tempi di conservazione pressoché illimitati, e dati pseudonimizzati (come quelli dell’azienda sanzionata) che proprio perché riconducibili a soggetti determinati in associazione ad altre informazioni (di cui il datore di lavoro era in possesso), impongono tempi di conservazione non superiori al conseguimento delle finalità di trattamento perseguite. Pertanto ancora una volta è imporrante sottolineare come l’adozione di un sistema di gestione GDPR, lungi da mettere freni allo sviluppo dell’attività imprenditoriale, deve essere utilizzato come adeguato strumento di sviluppo e tutela: la questione non è se compiere una scelta o meno, ma – nei limiti del rispetto dei diritti fondamentali – come metterla in atto. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ha ingiunto il pagamento della sanzione. Si conclude riportando la rilevante precisazione che il Garante offre a conclusione del proprio provvedimento, laddove l’Autorità osserva, infine, che il proprio accertamento non costituisce una duplicazione rispetto alla decisione del giudice penale, considerato che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Rimane aperta la strada, quando il Legislatore riterrà di ritornare sui propri passi (a mio giudizio scelta auspicabilmente), dell’inserimento dei reati di illegittimo trattamento dei dati personali nell’ambito dei reati presupposto di cui alla legge 231/01. Avv. Emiliano Vitelli
16. Giu 2021
Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo
Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che fanno venir meno uno dei tre sostegni, così anche il DPO che non possiede ulteriori qualità caratteriali necessarie per affrontare e gestire situazioni di stress potrebbe naufragare alla prima tempesta, anche con gravi ripercussioni per il titolare del trattamento che lo ha nominato. A conferma di come, specialmente nelle organizzazioni strutturate, il DPO debba essere una persona assertiva ( nota di OdisseoPrivacy.com: di persona capace di farsi valere pur nel rispetto del diritto degli altri) e resiliente ( nota di OdisseoPrivacy.com: adattarsi in maniera positiva ad una condizione negativa e traumatica) sotto il profilo psicologico, basti pensare al fatto che l’art.38 del Regolamento europeo richiede che “il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”, ma che d’altra parte “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti”. Ciò significa, che il DPO deve quindi sapersi relazionare tanto con dirigenti del top management quanto con il pensionato o la casalinga di turno che intende reclamare il rispetto della propria privacy. Solo un Data Protection Officer che ha la capacità di rimanere lucido e mantenere i nervi saldi davanti a situazioni emotivamente provanti, può affrontare in modo efficace una inattesa ispezione da parte dell’Autorità per la protezione dei dati personali o da parte dei finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, e solo un DPO che ha certe caratteristiche può essere un vero supporto per il titolare del trattamento al verificarsi di scenari tanto imprevisti quanto imprevedibili come quello che si è delineato durante l’emergenza sanitaria da Covid-19, quando tutte quelle che erano state fino ad allora le normali prassi quotidiane della protezione dei dati sono state improvvisamente rimesse in discussione (se non stravolte) con la necessità di fornire risposte immediate a richieste di pareri riguardanti la misurazione della temperatura corporea ai lavoratori, l’utilizzo di termoscanner negli esercizi commerciali, la rilevazione dello stato di positività dei dipendenti, poi successivamente la gestione delle campagne vaccinali in azienda, e tutta una serie di continue questioni da dirimere urgentemente che hanno puntualmente messo sotto pressione il DPO. Tutto questo contesto potenzialmente frenetico, pone pertanto la necessità di verificare attentamente certe caratteristiche caratteriali e professionali, che di fatto costituiscono una quarta gamba del tavolo contribuendo a renderlo più stabile e più robusto, prima di effettuare una nomina del Data Protection Officer, anche relativamente alla sua elasticità mentale e fattiva disponibilità, in quanto né il Garante concorda il giorno e l’ora per effettuare un’ispezione, né il temuto data breach prende appuntamento; anzi gli addetti ai lavori sanno bene come purtroppo certi eventi dannosi accadono inaspettatamente spesso proprio nel week end o nelle ore notturne, se non durante i periodi di ferie, che potrebbero quindi essere infelicemente guastate a chi ricopre questo ruolo chiave previsto dal Gdpr. E se l’art.37 del Regolamento ammette che un gruppo imprenditoriale possa nominare un unico responsabile della protezione dei dati, non allevia certo l’ansia a chi assume tale incarico sapere, come precisa lo stesso articolo, che ciò è possibile solo “a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Per evitare quindi di trovarsi la persona sbagliata nel momento sbagliato nelle varie casistiche che sono state esemplificate in modo non esaustivo, è pertanto fondamentale non basarsi esclusivamente sulle primarie competenze professionali e su quello che viene dichiarato nel curriculum dal candidato, che potrebbe peraltro essere del tutto autoreferenziale, ma approfondire anche con valutazioni ulteriori attraverso test attitudinali, documentazione di referenze pregresse, ripetuti colloqui conoscitivi, ed ogni altro metodo lecito che possa essere utile a determinare se il professionista che si intende nominare come DPO sia davvero quello giusto.
31. Mag 2021
Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso
NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative. È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto. Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari. Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.
20. Mag 2021
Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione
Lunedì, 10 Maggio 2021 09:36 Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più. Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione – cioè scadenza del tempo di conservazione o venir meno del motivo che legittima la stessa: per esempio, la revoca del consenso del soggetto all’uso dei propri dati a fini marketing – occorre procedere: se il materiale è su supporto cartaceo, la cancellazione consiste nella distruzione della carta, preferibilmente con macchinari trita-documenti, per evitare di ripetere quanto capitato a una farmacia che gettò nei contenitori dei rifiuti pacchi di prescrizioni mediche, dando luogo a un grave data breach, sanzionato. Affidarsi a terzi – Se il materiale è voluminoso, magari sistemato in un archivio, è preferibile affidarsi a ditte specializzate, previa verifica del loro processo di smaltimento, meglio se certificato e con rilascio di un attestato di avvenuta distruzione. Se il materiale da cancellare è su supporto informatico, vanno distinti i dati che sono da cancellare riguardo a determinate finalità ma che continuano a essere necessari per altre, dai dati che non servono più in assoluto. Nel primo caso, la cancellazione si traduce in una forma di blocco permanente di quei dati riguardo a quelle specifiche finalità, nel senso che le regole informatiche ne inibiscono l’uso (inclusa la visualizzazione). La certificazione – Attenzione va prestata alla corretta gestione di questo processo per evitare di cadere nel medesimo errore di una banca spagnola che per l’apertura di un nuovo conto corrente da parte di un vecchio cliente che aveva già richiesto la cancellazione dei suoi dati causa fine del rapporto, ha condizionato la pratica a una dichiarazione di revoca della cancellazione da parte dell’interessato. La cancellazione, infatti, non ammette revoca: occorre richiedere di nuovo i dati, per cui la banca è stata sanzionata. Se i dati da cancellare sono tutti su un unico supporto informatico, questo può essere o distrutto materialmente (in modo da renderlo inutilizzabile) oppure può essere lavorato con appositi software di sovrascrittura che non permettono la ricostruzione di quanto in precedenza memorizzato. In tutti questi casi, in base al principio di accountability che richiede al professionista di provare il suo adempimento, è bene documentare le operazioni effettuate. di Rosario Imperiali (Fonte: Il Sole 24 Ore del 10 maggio 2021)
13. Mag 2021
Anche la mia attività deve adeguarsi ?
Dal 25 maggio 2018 è in vigore il GDPR sulla privacy, le prescrizioni riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano ad aziende con meno di 250 dipendenti, se non in alcuni casi che sono ben specificati nel Regolamento. Anche un piccolo studio professionale è chiamato a rispettare il regolamento qualora tratti dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività. Anche una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) è tenuta a verificare la propria compliance. Una serie di prescrizioni dipendono dall’attività svolta Ruolo importante è costituito dal tipo di dati con cui l’attività svolta entra in contatto, o dalla necessità o meno di nominare la figura del responsabile del trattamento dei dati in azienda. E’ importante quindi effettuare una valutazione del rischio di impatto del vostro trattamento dati in relazione alla loro tutela, non affidarti al caso contatta il nostro staff per un appuntamento, facciamo tutto noi !
13. Lug 2019
Controlli sul pc del dipendente: la finalità difensiva non esonera il datore dal rispettare i limiti imposti dalla normativa sulla privacy
SpecialiLunedì, 14 marzo 2022 21:59 La vicenda trae origine dal licenziamento di una dipendente alla quale era stata contestata la trasmissione a terzi di e-mail contenenti informazioni altamente riservate della società datrice di lavoro. La giurisprudenza torna a pronunciarsi sulla legittimità dei controlli del datore di lavoro sulla posta elettronica del dipendente. Questa volta è il Tribunale di Genova ad affrontare la questione, con sentenza resa lo scorso 14 dicembre, richiamando e facendo propri i principi recentemente elaborati dalla giurisprudenza di legittimità in tema di controlli difensivi alla luce dell’attuale formulazione dell’art. 4 dello Statuto dei Lavoratori, così come modificato dall’articolo 23 del Dlgs. n. 151 del 2015. La vicenda trae origine dal licenziamento di una dipendente alla quale era stata contestata la trasmissione a terzi di e-mail contenenti informazioni altamente riservate della società datrice di lavoro. La dipendente aveva quindi impugnato il licenziamento disciplinare intimatole, eccependo in via preliminare l’illegittimità del controllo effettuato dal datore di lavoro sulla sua posta elettronica e la conseguente inutilizzabilità dei dati così acquisiti. Senza nemmeno entrare nel merito dei fatti contestati, il Giudice del Lavoro ha disposto l’annullamento del licenziamento e la reintegrazione della lavoratrice nel posto di lavoro, sulla base di un rilievo puramente formale, avendo accertato che, nel caso al suo esame, non era stata fornita alla dipendente alcuna informativa sui possibili controlli che il datore di lavoro avrebbe potuto effettuare sulla posta elettronica, né erano state indicate le specifiche finalità e i limiti di tale controllo. Era del tutto assente, inoltre, la prova dell’esistenza di un fondato sospetto da parte del datore di lavoro circa la commissione di illeciti da parte della lavoratrice licenziata. Il Giudice perviene a tale conclusione partendo dall’assunto che i controlli difensivi, quelli cioè diretti ad accertare la commissione di eventuali illeciti da parte del dipendente, sebbene non richiedano ai fini della loro legittimità l’osservanza degli obblighi procedurali di cui all’art. 4 dello Statuto dei Lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del Lavoro), soggiacciono ad altri limiti imposti dal nostro ordinamento giuridico e segnatamente dalla normativa sulla privacy. In particolare, il principio che può trarsi dalla pronuncia in questione è che, affinché un controllo difensivo possa ritenersi legittimo, occorre che al lavoratore sia stata fornita una preventiva informativa circa la raccolta dei dati e la possibilità di controllo degli stessi da parte del datore di lavoro, con indicazione della finalità e dei limiti di tale controllo. È necessario altresì che il controllo muova da un fondato e concreto sospetto del datore di lavoro sulle anomalie riferibili al dipendente, che le verifiche attengano a dati raccolti dopo l’insorgenza di tale sospetto e che il controllo avvenga previo bilanciamento fra dignità e riservatezza del lavoratore ed esigenze aziendali. I controlli, per essere legittimi, devono quindi essere attuati nel rispetto dei principi di ragionevolezza, proporzionalità e di pertinenza e devono essere strettamente necessari a garantire l’esercizio del diritto di difesa in capo al datore di lavoro. Ove tali cautele non fossero rispettate, i dati acquisiti dal datore di lavoro nell’ambito dei controlli difensivi non potranno essere validamente utilizzati nemmeno ai fini disciplinari, restando preclusa la prova dei fatti posti a fondamento del licenziamento. La pronuncia del Tribunale di Genova, che si pone in linea con la più recente giurisprudenza in tema di controlli difensivi del datore di lavoro, offre quindi l’occasione per rimarcare quanto sia importante per i datori di lavoro predisporre ed implementare una adeguata informativa sul possibile utilizzo dei dati acquisiti attraverso i controlli del pc del lavoratore. Fonte: Il Sole 24 Ore del 14 marzo 2022 – di Giuseppe Merola
19. Mar 2022
Privacy online e dati personali a rischio con l’avvicinarsi del giorno di San Valentino
Privacy & SocietàMartedì, 08 Febbraio 2022 19:06 Privacy digitale e dati personali a rischio con le app e siti di dating online in occasione del giorno di San Valentino. A segnalarlo, è il noto produttore di software antivirus Kaspersky, che fornisce anche alcuni consigli per proteggersi. Secondo un recente studio della stessa Kaspersky, il 67% degli italiani ha paura di subire stalking da persone conosciute online, mentre il 14% è stato vittima di doxing. Ad oggi, molte di queste app richiedono agli utenti di registrarsi attraverso i loro profilo Facebook o l’account di un altro social network, modalità che automaticamente compila i nuovi campi nel profilo della app di dating online con foto e informazioni personali come il luogo di lavoro o di studio, ma questi dati che sono memorizzati sul proprio profilo social consentono ad un potenziale doxer di trovare utenti online e scoprire informazioni sul loro conto. Inoltre, i ricercatori di Kaspersky hanno notato che le attività di scamming si intensificano proprio a ridosso del 14 febbraio, giorno di San Valentino, e quest’anno non sembra essere un’eccezione. Oltre ad imitare le popolari app di dating per raccogliere informazioni personali sulle vittime, i cybercriminali hanno iniziato a diffondere e-mail fingendosi donne alla ricerca di un partner. La truffa prevede l’invio di una mail contenente un link diretto ad una pagina di phishing che imita un sito web di incontri e chiede alla vittima di completare un form indicando le proprie preferenze. Infine, viene chiesto all’utente di inserire le proprie credenziali bancarie. Superfluo dire che alla fine la vittima perde dati, soldi e la possibilità di conoscere nuove persone. Per contrastare i rischi che si corrono utilizzando le app di dating online, compresi quelli del phishing e del furto d’identità, Kaspersky ha stilato alcuni consigli, tra cui quello di non collegare il proprio account Instagram o di altri social al profilo dell’app di dating, non condividere il proprio numero di cellulare o altri contatti di messaggistica, fare attenzione se in fase di registrazione viene chiesto di scaricare e installare un’applicazione, visitare un sito web, diffidare dai bot, e se possibile modificare le impostazioni delle app per rendere visibili i dati sensibili solo alle persone con cui si fa “match”, e così da limitare l’accesso ad un numero ristretto di persone e riducendo le probabilità che i dati del profilo finiscano nelle mani sbagliate.
10. Feb 2022
L’Istat in prima linea nella ricerca e sperimentazione di tecnologie per il miglioramento della privacy
Privacy & SocietàMercoledì, 09 Febbraio 2022 16:41 Nei giorni scorsi è stato annunciato al Dubai Expo 2020 il progetto delle Nazioni Unite di un laboratorio di sperimentazione di tecnologie di miglioramento della privacy denominato “Privacy-Enhancing Technologies -PETs”. Si tratta di tecnologie che aiutano gli utenti e i fornitori di dati a condividere le informazioni in modo sicuro, utilizzando la crittografia e protocolli che consentono di produrre dati di output utili senza “vedere” i dati di input. Tra gli Istituti Nazionali di Statistica coinvolti nel progetto, oltre a Statistics Netherlands, UK National Statistical Office e Statistics Canada, c’è anche Istat rappresentato dal team composto da Mauro Bruno, Fabrizio De Fausti, Massimo De Cubellis e Monica Scannapieco, che da circa due anni nell’ambito di un importante progetto UNECE su Input Privacy Preserving Techniques sta lavorando allo studio di tecnologie e tecniche di input privacy preserving, sviluppando prototipi applicati a casi di studio della statistica ufficiale. Fonte: Istat
10. Feb 2022
FAQ
Di seguito alcune risposte alle domande più frequenti poste dalla nuova normativa
E’ già diventato operativo da Maggio 2018 il regolamento europeo 679, approvato dalla Ue nella primavera del 2016, noto come Gdpr (General Data protection regulation). A chi si applica il regolamento?
Quali dati personali riguarda? Quali figure servono in azienda?
Cosa è il GDPR ?
È il Regolamento europeo n. 2016/679 in materia di protezione e sicurezza dei dati personali che introduce nuove regole in materia di privacy.
Il Regolamento è direttamente applicabile in tutti i 28 Stati membri dell’Unione europea.
Ogni trattamento, dalla raccolta all’elaborazione, dalla conservazione alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto al GDPR.
Chi si deve adeguare ?
Tutti i soggetti che compiono attività commerciali, dal libero professionista alla piccola (o piccolissima) azienda fino alla grande Azienda, che trattano dati personali attraverso processi tradizionali (cartacei) o automatizzati (personal computer). Non rientrano invece le attività a carattere personale o domestico senza connessione con un’attività commerciale o professionale.
Come si applica in azienda ?
L’attuazione del regolamento europeo sulla privacy è una azione complicata che esige una attenta analisi della struttura aziendale. Trattare in maniera approssimativa il GDPR può essere molto azzardato soprattutto per i responsabili ed il titolare.
Non trascurare la privacy e non ritenere di essere in regola quando non lo sei; innanzitutto non credere, in modo sbagliato, che tutto si riduca a qualche fascicoletto da riempire, affidati a degli esperti
Quali sono i rischi ? le Sanzioni ?
Si rischia infatti di incappare in sanzioni economiche: fino al 4% del fatturato annuale dell’azienda e fino a 20 milioni di euro. Per i casi più gravi ci sono anche conseguenze penali.
Le sanzioni saranno inflitte in modo graduale sulla base di vari fattori, come la specie, la rilevanza e la durata dell’inosservanza della non conformità. Non Rischiare invano, adeguati subito
Cosa ti offriamo ?
Un “Pacchetto GDPR chiavi in mano” – comodo ed agevole perchè pensiamo a tutto noi – è un servizio di Odisseoprivacy.com che grazie al suo gruppo di esperti qualificati offre soluzioni su misura e assistenza in ogni fase dell’adeguamento per ogni realtà (professionisti, PMI, Grandi Aziende).
Il “Pacchetto GDPR chiavi in mano” include:
- Informative indispensabili per dipendenti, clienti e fornitori;
- Lettere di nomina dei soggetti responsabili o designati al trattamento dei dati;
- Corso di formazione in azienda;
- Analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Registro del Titolare che comprende cronologicamente tutte le attività di trattamento dei dati, delle analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Informative sui trattamenti dei dati effettuati sul sito web aziendale e sui cookie utilizzati
- Vademecum contenente le procedure (dall’assunzione al licenziamento di un dipendente; dall’acquisto alla dismissione di hardware e software e molte altre) e le istruzioni in materia di analisi e valutazione dei rischi, delle misure di sicurezza e dell’obbligo, ove esistente, di nomina del Responsabile per la protezione dei dati (DPO)
CONTATTA LO STAFF
RICHIEDI MAGGIORI INFORMAZIONI O LA VISITA DI UN INCARICATO