Prosegue, con questa newsletter, la sintesi degli articoli di recente pubblicazione online, in particolare sul sito di Federprivacy, che potrebbero essere di vostro interesse in materia di protezione del dati personali.
E’ ben noto ormai che, con la sigla GDPR, che utilizzeremo nel seguito, ci si riferisce al Regolamento UE 2016/679 “General Data Protection Regulation”, in vigore ormai dal maggio 2018.
I link sotto riportati riferiscono agli articoli online originali, cui si può accedere per una più approfondita lettura.
Indice
- La Gran Bretagna è divenuta un Paese Terzo, per il GDPR
- La statistica relativa alle sanzioni delle Autorità garanti della privacy degli stati dell’UE per il 2020
- Prende forma la sicurezza nazionale cibernetica
- Ruoli e responsabilità nel trattamento dei dati affidati ai fornitori di software
- I data breach spaventano più della pandemia per coronavirus
- Quanto può pesare una sanzione per una violazione dei dati personali?
- Guida per la notifica delle violazioni dei dati personali
- L’etica per il rispetto dei dati personali
La Gran Bretagna è divenuta un Paese Terzo, per il GDPR
Come precisato dall’articolo Brexit: in extremis messa una toppa per il trasferimento dei dati, riguardo al Regolamento 2016/679 , dal 1° gennaio 2021 il Regno Unito è a tutti gli effetti un Paese Terzo e il trasferimento dei dati personali non può avvenire al pari di quanto non sia per i paesi appartenenti all’UE.
Al di là di tutti i passaggi relativi a precedenti periodi di transizione e alle specificità di leggi e regolamenti britannici (quali il Data Protection Act 2018 e il così detto UK GDPR), ci interessa sapere come stanno le cose adesso.
Nell’accordo tra UK ed UE, così come da annuncio dell’ICO (l’autorità indipendente del Regno Unito), è stato previsto un ulteriore periodo transitorio di sei mesi nel corso del quale il trasferimento dei dati, tra i paesi SEE (paesi UE più paesi EFTA) ed il Regno Unito, potrà ancora avvenire liberamente sino a quando non verranno adottate le decisioni di adeguatezza, ammesse dal GDPR. Qualora queste non arrivassero in tempo, si dovrà far ricorso a clausole contrattuali standard e norme vincolanti di impresa, che, comunque, non esonerano il titolare dei dati che, nel trasferimento, riveste il ruolo di mittente, dall’effettuare la valutazione di impatto. Tale requisito è a carico dell’eventuale provider utilizzato (quale Google o Microsoft o quant’altro).
Per inciso, l’EFTA è l’Associazione europea di libero scambio (AELS è l’acronimo in italiano) che include anche Islanda, Liechtenstein, Norvegia e Svizzera [ndr].
La statistica relativa alle sanzioni delle Autorità garanti della privacy degli stati dell’UE per il 2020
L’articolo Il pugno duro delle maxi sanzioni per le violazioni della privacy non è solo un fenomeno europeo riferisce sull’argomento anche riguardo a paesi extra UE, ma limitiamoci alla statistica per il 2020 per i soli stati della Comunità Europea.
Una media di oltre 10 milioni di Euro applicata da ciascuno stato della UE. L’Autorità garante italiana si è piazzata al secondo posto per numero di provvedimenti (35).
Le violazioni sanzionate:
- trattamenti illeciti di dati per scarsa trasparenza e a causa della mancanza di consenso o di un’altra valida base giuridica, quasi il 60%;
- l’insufficienza delle misure di sicurezza, che spesso è emersa a seguito di eventi di data breach, il 20%;
- il mancato rispetto dei diritti dell’interessato, 9%,
- le informative sulla privacy, meno del 4%.
Si rileva che l’Autorità italiana è fra le più attive, che la mancanza delle basi legali del trattamento rappresenta la più frequente causa di sanzione e che le violazioni dei dati personali, che vanno comunicate al Garante, fan sì che vengano da questo rilevate misure di sicurezza insufficienti, ciò che non vuol dire che in assenza di occorrenza e comunicazione di data breach dette misure siano adeguate [ndr].
La Francia si rivela un caso particolare, poiché da sola ha comminato sanzioni per quasi 140 milioni di Euro, corrispondenti al 45% del valore delle sanzioni di tutti gli stati, e con solo 8 provvedimenti. Ma già da articoli precedenti si era visto che l’obiettivo principale erano le multinazionali, organizzazioni in grado di permettersi enormi esborsi e, guarda caso, da corrispondere a fronte di capitali non francesi [ndr].
Prende forma la sicurezza nazionale cibernetica
Una buona notizia è la pubblicazione, il 21 ottobre scorso, del DPCM 131/2020, che stabilisce il “Perimetro di Sicurezza Nazionale Cibernetica”, definendo modalità e criteri procedurali di individuazione dei soggetti pubblici e privati inclusi in tale “Perimetro”, i principi attraverso i quali questi soggetti dovranno predisporre e aggiornare un elenco delle reti, i sistemi informativi e i rispettivi servizi informatici.
L’obiettivo è introdurre le misure di sicurezza informatica per tutti gli obiettivi strategici che possono subire minacce e possibili attacchi provenienti non solo dal mondo del web, ma anche per quel che riguarda il loro controllo e gestione. Il decreto stabilisce le macro categorie dei destinatari (soggetti che esercitano una funzione essenziale dello Stato e soggetti che prestano un servizio essenziale per gli interessi dello Stato), i settori rilevanti per la sicurezza nazionale cibernetica e i criteri procedurali di individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.
Adesso c’è da augurarsi che si faccia presto e che si definiscano e attuino con tempestività misure efficaci ed efficienti. Per chi fosse interessato ai particolari, si rimanda al dettagliato articolo originale Perimetro di sicurezza nazionale cibernetica: dalla forma alla sostanza.
Ruoli e responsabilità nel trattamento dei dati affidati ai fornitori di software
L’articolo I trattamenti dei dati da parte dei fornitori di servizi software specifica che si possono individuare diversi casi a seconda dell’aspetto che si prende in considerazione.
Il servizio software può essere erogato “in cloud” o “on premise” (fornitura di software installato e gestito attraverso computer locali, ndr).
Nel primo caso, il fornitore si avvale di un data center per erogare tramite web a uno o più clienti il servizio software. Oltre al fornitore sono coinvolti nel trattamento i gestori del data center e l’eventuale organizzazione, se diversa dal fornitore, che fornisce assistenza all’uso del software. A meno che non sia il fornitore principale a garantire un trattamento dati per tutti conforme al GDPR, sarà necessario che le misure di sicurezza siano disciplinate per i diversi soggetti.
Nel secondo caso, il fornitore installa l’applicazione sul server del titolare: si dovranno disciplinare le modalità e garanzie del trattamento dei dati da parte del fornitore e dell’eventuale organizzazione che fornisce assistenza, mentre sarà compito del titolare attuare direttamente, o tramite una struttura appaltatrice, tutte le necessarie misure di sicurezza a tutela dei dati.
Inoltre, possono verificarsi diverse situazioni dal punto di vista operativo.
Non è raro che il cliente, utilizzatore del software, manchi di nominare il fornitore come responsabile del trattamento dei dati personali, secondo quanto invece espressamente previsto dal GDPR. In base al codice civile, è comunque a carico del fornitore del software la responsabilità di informazione verso il cliente, nonché quella di cooperare e collaborare con il titolare affinché questo possa usufruire di un servizio a norma. E la conformità al GDPR deve essere assicurata dal fornitore anche mediante l’applicazione dei principi del data protection by default and by design. D’altra parte il fornitore non è responsabile se il cliente non utilizza in modo lecito l’applicazione o non osserva le regole di sicurezza a suo carico, essendo fra l’altro in capo al titolare del trattamento il principio di accountability (responsabilizzazione) previsto dal GDPR. Anche per questo comunque è utile che le attività e ai trattamenti dei dati connessi con i servizi software siano definiti mediante un contratto o un atto giuridicamente vincolante.
I data breach spaventano più della pandemia per coronavirus
L’articolo Alle aziende i data breach e le interruzioni di attività fanno più paura del Covid-19 riferisce dell’indagine del gruppo Allianz Global Corporate & Specialty sui rischi maggiormente percepiti per il 2021 dalle aziende italiane. Ebbene, al primo posto compaiono gli incidenti informatici, precedendo interruzione di attività e pandemia. In uno scenario catastrofico estremo, i tre rischi sono fortemente interconnessi.
La diffusione dell’attività lavorativa da remoto ha accresciuto le opportunità per i pirati informatici. Ma c’è da aspettarsi che la giusta proiezione verso una più spinta digitalizzazione [indipendentemente dalle attuali esigenze di smart working, ndr] e la capacità di adattamento ed evoluzione dei criminali informatici rendano più sensibili le imprese agli attacchi cyber che sfruttano le vulnerabilità IT.
Trascrizione testuale: “I cyber-criminali si stanno evolvendo: utilizzano la scansione automatica per identificare le lacune nel sistema di sicurezza, attaccano i router scarsamente protetti o addirittura utilizzano i ‘deepfake‘, ovvero contenuti multimediali realistici modificati o falsificati dall’intelligenza artificiale. Allo stesso tempo la protezione dei dati, la regolamentazione della privacy e le multe per le violazioni dei dati continuano la loro tendenza al rialzo”.
[Ndr.: scaturiscono due considerazioni. Subire una violazione di dati personali è un doppio danno, poiché a quello diretto si aggiungono le sanzioni del Garante della privacy e le eventuali richieste di risarcimento degli interessati. Secondo, se è concesso il paragone con il coronavirus, il rimedio più efficace è il vaccino: misure di prevenzione adeguate e rimodulate con l’evolversi dell’aggressività, piuttosto che curare le conseguenze.]
Quanto può pesare una sanzione per una violazione dei dati personali?
[Se da una parte il GDPR è visto come una spinta positiva a lavorare meglio, in modo più organizzato e consapevole, l’articolo Con il Gdpr a rischio il diritto di difesa, dell’avv. Ciccio Messina, prospetta un aspetto negativo, al quale non c’è modo di sfuggire. Ndr]
Il GDPR prevede una forbice molto ampia per le sanzioni economiche applicabili in caso di violazioni della privacy: da 0 (un semplice ammonimento o una richiesta di adeguamento) sino a 20 milioni di Euro [salvo incrementi entro il 4% del fatturato, ndr], ma non prevede alcuna gradualità prefissata nell’impianto sanzionatorio. Le conseguenze sono più d’una.
Un’impresa non può prevedere la gravità di un provvedimento dell’Autorità garante nei propri confronti. Alcuni requisiti sono troppo generici; l’Art. 5, ad esempio, richiede che i dati siano trattati con correttezza, ciò che dà ampio spazio al giudizio soggettivo del verificatore. Dove sono indicati principi e obiettivi senza che siano indicati comportamenti obbligatori e comportamenti vietati, può diventare improba la dimostrazione di non colpevolezza [si pensi alla vaghezza del principio di responsabilizzazione, ndr]. Infine, l’imprevedibilità della quantificazione delle sanzioni coinvolge anche le violazioni che adesso, con il GDPR, dall’ambito penale ricadono in quello amministrativo.
Guida per la notifica delle violazioni dei dati personali
L’articolo Data Breach: il Garante della Privacy lancia un nuovo servizio online per semplificare gli adempimenti, riferito nella newsletter della rassegna stampa sulla Privacy per il dicembre 2020, già trattava la materia delle comunicazioni da inviare nel caso di violazioni dei dati personali e citava il modulo interattivo predisposto in merito dall’Autorità Garante.
L’articolo Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati informa circa l’emissione delle “Guidelines 01/2021 on Examples regarding Data Breach Notification“. Queste riportano, per una estesa casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi sono obbligatorie le notifiche della violazione all’Autorità Garante e agli interessati. Tuttavia la guida è ancora sottoposta a consultazione pubblica, sino al 02/03/2021, per cui potrebbe anche subire degli aggiornamenti.
La guida cita, tra gli argomenti più rilevanti per un data breach:
- l’omessa cifratura dei dati, che consente agli hacker di accedere a informazioni riservate, con gravi conseguenze in settori come quello bancario,
- la gestione non corretta o non sicura dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro,
- le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un riscatto) in ambienti sensibili, come può essere il settore sanitario,
- persino una semplice e-mail spedita ai destinatari sbagliati.
La guida, inoltre, analizza le misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati. E propone una lista di misure di prevenzione relativamente ai vari problemi rilevati.
L’etica per il rispetto dei dati personali
L’avv. Ciccio Messina, con l’articolo L’unica strada per la tutela effettiva della privacy è quella dell’etica torna sull’argomento, relativo alla vaghezza del GDPR, di cui si è riferito al precedente item “Quanto può pesare una sanzione per una violazione dei dati personali?”. Si arriva adesso a palesare una certa inefficacia della legge e una mancanza di una tutela effettiva della riservatezza.
Da un lato, al titolare dei trattamenti è lasciato, in base al principio di accountability, l’onere di definire a suo giudizio vincoli e misure [con il rischio concreto che non siano considerati adeguati dall’Autorità garante, o viceversa siano sproporzionati alle necessità; ndr]; dall’altro, gli interessati non sono di fatto tutelati. I dati personali sono propagati ovunque nel web, all’insaputa degli utenti, i data breach si sono moltiplicati, le fake news hanno invaso i media, i social network fanno incetta di informazioni ad uso proprio o di terzi, gli algoritmi per le profilazioni sono tenuti segreti, i cyber attacchi insidiano aziende pubbliche e private e persino i risultati elettorali, il cyberbullismo affligge gli adolescenti, e chi più ne ha più ne metta.
Sembra che il legislatore non abbia saputo o non abbia voluto affrontare gli argomenti specifici, con i risultati che sono sotto i nostri occhi.
Secondo l’autore dell’articolo la sostanza all’accountability la dovrebbe dare l’etica: chi tratta i dati dovrebbe chiedersi semplicemente se il trattamento viene eseguito a favore delle persone o per sfruttare i dati a loro discapito. Servirebbero allora dei codici di condotta, da redigere senza aspettare i tempi o la voglia del legislatore.
[Ndr: Purtroppo, però, viene così prospettato un mondo ideale, in cui si presuppone che i principi morali siano patrimonio universale, mentre la realtà è invece quella delle negatività che emergono proprio perché troppi non rispettano né l’etica, né le leggi. I titolari onesti, quindi, devono condurre la loro azione effettuando trattamenti corretti ed applicando, per quanto pertinente, possibile e adeguato, le misure di protezione contro chi ha fatto dell’hackeraggio una professione].
ing. Michele Lopardo
Responsabile Qualità @ Wondersys