A seguire la rassegna con gli articoli più interessanti in tema privacy usciti durante il mese trascorso. Cliccate sull’indice per andare direttamente al contenuto.

Indice:

  1. Clausole contrattuali standard tra titolari e responsabili del trattamento dei dati personali
  2. Più che la rete, sono i dati che devono essere protetti contro gli attacchi informatici
  3. Attività a cura degli interessati al perimetro di sicurezza nazionale cibernetica
  4. I dati personali trattati dalla app “IO” sono gestiti anche fuori dell’ambito UE
  5. Il Data Protection Officer non può essere un “tuttologo”
  6. Non è sufficiente appellarsi vagamente al danno per la privacy per ottenere un risarcimento
  7. Violazioni dei dati personali e sanzioni
  8. Si deve garantire che i dispositivi utilizzati per lavoro siano sempre aggiornati!
  9. Promemoria per l’applicazione dei principi di Privacy by Default e Privacy by Design

 

Clausole contrattuali standard tra titolari e responsabili del trattamento dei dati personali

L’articolo Dalla Commissione Ue le clausole contrattuali tipo per titolari e responsabili del trattamento, che si integra con il successivo Nuove Clausole Contrattuali Standard per il trasferimento di dati verso Paesi terzi, un passo nella giusta direzione, fa riferimento all’approvazione del 04/06/2021, da parte della Commissione UE, della nuova versione delle Clausole Contrattuali Standard (“SCC”) da applicarsi quando un’azienda (titolare del trattamento) si rivolge ad un fornitore esterno (responsabile del trattamento) per un servizio che implichi la gestione di dati personali (es. l’elaborazione delle paghe dei dipendenti). Questo rapporto deve essere necessariamente regolato da un contratto scritto (in caso contrario vi sono sanzioni).

In questa versione delle SSC è precisata la possibilità per il titolare di eseguire ispezioni presso il fornitore, purché con preavviso. Sono indicate inoltre le informazioni da inserire negli allegati al contratto:

– descrizione dei dati,

– indicazione degli interessati,

– periodo di conservazione,

– misure tecnico-organizzative.

Invece eventuali clausole di limitazione della responsabilità e di manleva rispetto a richieste danni degli interessati sono lasciate alla libertà di accordo tra le parti contraenti.

Quando una delle parti non ha potere contrattuale, può solo sperare che le SSC siano correttamente redatte dalla controparte; è questo il caso di un titolare che utilizza un servizio cloud messo a disposizione da un provider. 

Nelle SSC si prende in esame anche il trasferimento dei dati personali presso paesi terzi non supportati da una decisione di adeguatezza (Art. 45 del GDPR). Vengono prese in esame quattro diverse possibilità di trasferimento: da Titolare a Titolare, da Titolare a Responsabile, da Responsabile a Responsabile e, infine, da Responsabile a Titolare. E viene ribadito che deve essere accertato che non vi siano condizioni, quali leggi e regolamenti, applicabili al paese terzo che gli impediscano di rispettare le SCC. [Questo appare ancora una volta di improba applicazione, salvo che possa garantirlo il fornitore dei servizi IT. Dato che le nuove SSC dovranno obbligatoriamente essere attuate a 15 mesi dall’entrata in vigore della decisione della Commissione UE, la speranza è che nel frattempo i provider si adeguino. Per es. che Google possa realmente conservare in ambito UE tutti i dati degli utenti europei; Ndr].

 

Più che la rete, sono i dati che devono essere protetti contro gli attacchi informatici

Partendo dal fatto che c’è una crescente sensibilità delle aziende verso la sicurezza informatica, ma che i criminali globali hanno spesso tecniche di hackeraggio più avanzate rispetto alle metodologie difensive (prova ne sono i data breach avvenuti a scapito di milioni di clienti di grossi provider), l’autore Pierguido Iezzi (di Swascan) dell’articolo Sicurezza dei dati aziendali: l’approccio è fondamentale mette l’accento sulla necessità di preoccuparsi della sicurezza dei dati, piuttosto che di quella della rete.

Infatti una protezione del complesso della rete, che non comprometta però le sue prestazioni, non garantisce un livello di sicurezza accettabile per le informazioni. Meglio quindi adottare un approccio di crittografia dei dati, così nel caso in cui un cyber criminale riesca ad accedere all’interno di una rete non potrebbe comunque sfruttare i dati resi totalmente illeggibili e indecifrabili.

[Tuttavia, salvaguardare la riservatezza dei dati non è sufficiente, perché un attacco ransomware potrebbe sempre crittografarli di nuovo. E’ necessario proteggere anche l’integrità e la disponibilità dei dati, o quantomeno disporre di copie recenti, su supporti diversi (per ridurre la probabilità che siano violati contemporaneamente), per poterli ripristinare all’occorrenza. NdR].

 

Attività a cura degli interessati al perimetro di sicurezza nazionale cibernetica

L’articolo Perimetro di sicurezza nazionale cibernetica: richiesti analisi dei rischi, controllo su acquisti tecnologici, e notifica di attacchi hacker entro 6 ore segue al precedente articolo Perimetro di sicurezza nazionale cibernetica, il regolamento in vigore dall’8 maggio ed informa che è stata definita una lista riservata di circa 150 enti nell’ambito di energia, trasporti, telecomunicazioni, pubbliche amministrazioni e tutti i servizi essenziali che dipendono dalle tecnologie informatiche e digitali.

A loro carico, una serie di obblighi, tesi alla salvaguardia della sicurezza nazionale. Tra questi, i seguenti.

  • Censire gli strumenti, impianti e le reti, controllare gli acquisti di beni e servizi ICT e, in caso di un attacco cibernetico, comunicarlo entro sei ore agli organismi incaricati della gestione della crisi.
  • Aggiornare almeno una volta l’anno il censimento di cui sopra, con analisi dei rischi e valutazione dell’impatto.
  • Produrre ed inviare alle autorità competenti un elenco con l’architettura e la componentistica relative ai beni ICT.
  • Informare preventivamente, fornendo la valutazione del rischio, il Centro di valutazione e certificazione nazionale, in merito agli acquisti di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti e/o sui sistemi informativi.

 

Un successivo articolo (In Gazzetta Ufficiale il decreto che istituisce l’Agenzia per la Cybersicurezza Nazionale) riprende il tema della recente Agenzia per la Cybersicurezza Nazionale (ACN), con ampi dettagli circa come sia strutturata  e qualis siano i suoi compiti. Se ne fornisce il link per i lettore che desidera approfondire l’argomento.

L’agenzia è stata istituita il 15 giugno 2021 e a 120 giorni ne dovrà essere approvato il Regolamento [Ci sarà da attendersi ulteriori articoli in merito. Ndr]

 

I dati personali trattati dalla app “IO” sono gestiti anche fuori dell’ambito UE

L’articolo La app “IO” della Pubblica Amministrazione spedisce i tuoi dati personali all’estero ci può interessare come semplici cittadini, in quanto buona parte di noi avrà scaricato ed utilizzato questa applicazione, divenuta pressoché indispensabile per usufruire di pubblici servizi e bonus, quali transazioni cashback, strumenti di pagamento, bonus vacanze.

L’autore, gen. Umberto Rapetto, ci informa che a app “IO” spedisce i dati degli utenti a diverse piattaforme straniere (Google, Mixpanel e Instabug) e, di fatto quindi, presso paesi “terzi”, quali USA, India ed Australia.

La notizia deriva da un provvedimento del Garante, il quale, nonostante una dichiarazione di smentita da parte di PagoPA SpA (la quale ha collaborato con il Dipartimento per la trasformazione digitale per la realizzazione della app), avendo contestato il mancato rispetto dei requisiti del GDPR ha intimato la sospensione dei trattamenti di dati effettuati che prevedono l’interazione con i servizi di Google e Mixpanel, effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso.

[Personalmente, come redattore di questo riassunto, trovo sconfortante quanto segue:

  • l’intervento del Garante giunge dopo parecchi mesi di utilizzo della app, la quale non ha trattato solo dati personali di tipo comune, ma anche quelli relativi alle transazioni bancarie;
  • se si dovessero bloccare tutte le applicazioni che in qualche modo sono realizzate e utilizzate attraverso Google o altri provider internazionali, dovremmo rinunciare ad una molteplicità di servizi;
  • se tutto si deve risolvere con il consenso informato degli interessati, alla fine non si aggiunge alcuna garanzia, essendo questi quasi sempre praticamente obbligati a darlo per poter usufruire del servizio.

Sarebbe quindi più utile (ma si resta nell’ambito del parere personale del redattore) che l’Autorità Europea della Privacy mettesse in atto strategie per vincolare e controllare periodicamente i provider principali riguardo alla sicurezza dei dati, in termini di integrità, disponibilità e riservatezza, fornendo quindi agli utenti e agli sviluppatori una lista di aziende sicure, invece di limitarsi tardivamente a dire che non lo sono, avendo lasciato questo onere ai singoli privati.]

 

Il successivo articolo App IO per le certificazioni verdi, via libera del Garante Privacy dopo le modifiche apportate da PagoPA riporta l’evoluzione della vicenda. Adesso Adesso il Garante ha svincolato la app, a fronte degli interventi effettuati da PagoPA per risolvere gli inconvenienti sulla privacy, tra cui la possibilità, per gli utenti, di disattivare il il servizio “Certificazione Verde Covid-19” e la richiesta del consenso al trasferimento dei dati a Mixpanel (società statunitense che dovrà comunque osservare un periodo di conservazione dei dati non superiore alla loro raccolta).

[Come previsto la richiesta e l’acquisizione dei consensi sono divenuti un punto chiave per il rispetto del GDPR, anche se inefficace di fronte ad eventuali problemi di riservatezza che dovessero caso mai sorgere per la trasmissione dei dati a paesi terzi. Ndr]

 

L’articolo Il Data Protection Officer e l’errore sulla interdisciplinarietà delle sue conoscenze prende spunto, descrivendolo nel dettaglio, dal fatto che un ateneo italiano ha installato un sistema di videosorveglianza senza autorizzazione, né accordo con le parti interessate (l’ateneo è stato per questo sanzionato dal Garante). E questo, nonostante la disponibilità del DPO (Responsabile della Protezione dei Dati), così come d’obbligo per le amministrazioni pubbliche.

La considerazione generale che ne è scaturita è che, ai fini dell’accountability del Titolare, che deve essere adeguatamente supportata dal DPO, è necessaria una conoscenza di regole e materie in una molteplicità di campi, che trova difficile applicazione nella pertinenza di una singola persona, potendosi dover applicare a casi specifici anche molto diversi tra loro. Si fa quindi riferimento ad una prospettiva organizzativa che sappia coniugare differenti professionalità, di diversi soggetti, tutti con la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati (art. 35 del GDPR), ma ciascuno per una precisa disciplina.

[Da ciò, estremizzando, parrebbe conseguire che il DPO, per quanto necessario o, ove previsto, mandatorio, non sarebbe sufficiente a supportare il Titolare, e quindi l’organizzazione, dovendosi ricorrere nei vari casi ad ulteriori specialisti, quale un esperto nella legislazione sulla materia del lavoro, come nel caso di un’azienda che pensasse di sorvegliava i dipendenti. Ndr]

 

Non è sufficiente appellarsi vagamente al danno per la privacy per ottenere un risarcimento

L’articolo Risarcimento del danno in ambito privacy: se la violazione è minima deve prevalere il principio della tolleranza informa che la Corte di Cassazione, la quale si è espressa in relazione ad un caso specifico, ha sancito un principio di carattere generale: perché sia riconosciuto un risarcimento per lesione della privacy è necessario che siano dimostrate le sue conseguenze, così come è per ogni danno non patrimoniale. Inoltre, deve prevalere il principio della tolleranza quando la lesione è minima.

 

Violazioni dei dati personali e sanzioni

  • E’ stata proposta una sanzione di 350 milioni di € nei confronti di Amazon, da parte del Garante del Lussemburgo, paese in cui Amazon ha la propria sede legale. L’infrazione riguarderebbe l’utilizzo dei dati personali e quindi non il cloud computing di Amazon Web Services.
  • Un tribunale francese ha condannato in via penale (con applicazione della condizionale)  dirigenti dell’IKEA  per aver spiato dipendenti, rappresentanti sindacali e persino clienti. Per fortuna degli imputati è stato escluso il capo di imputazione di “sorveglianza di massa”, altrimenti avrebbero rischiato sino a 10 anno di carcere. [Come si vede, per certe violazioni della privacy, si va oltre alle ammende pecuniarie a carico della ditta. Ndt]
  • Gli attacchi cyber del tipo ransomware sono in crescente aumento e l’Italia risulta preoccupantemente il 4° paese più colpito, dopo Regno Unito, Francia e Germania, in tutta l’area EMEA (Europa, Africa e Medio Oriente).
  • Il comune di Bolzano è stato sanzionato per monitoraggio occulto della navigazione web dei dipendenti; è risultato infatti che gli stessi non erano sufficientemente informati sulle finalità e modalità del trattamento e, soprattutto, il monitoraggio attraverso impianti audiovisivi e altri strumenti può avvenire “esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e non può essere finalizzato al monitoraggio dell’attività lavorativa. Viceversa, sono ammessi i sistemi di blocco automatico della navigazione per certe categorie di siti web.
  • Sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. Infatti, il consenso inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, perde di validità in caso di successive cessioni ad ulteriori titolari.

 

Si deve garantire che i dispositivi utilizzati per lavoro siano sempre aggiornati!

Secondo l’articolo Il 60% dei dipendenti convince i colleghi dell’IT a non aggiornare i dispositivi aziendali, una ricerca statistica di Kaspersky (noto fornitore dell’omonimo antivirus) ha rivelato che il 18% dei dipendenti italiani avrebbe discusso con il dipartimento IT della propria azienda sull’opportunità di provvedere agli aggiornamenti dei dispositivi aziendali. E’ sorprendente che nel 60% dei casi sia stato permesso di non effettuare tali aggiornamenti. Le motivazioni addotte sono che gli aggiornamenti fan perdere tempo, e quindi produttività, e lo stesso apprendimento di nuove features sottrae tempo all’attività lavorativa vera e propria. Ma gli aggiornamenti non si limitano solo a fornire nuove funzionalità e correggere bug, bensì eliminano anche vulnerabilità relative alla sicurezza.

[E’ necessario quindi non cadere nella trappola del ragionamento semplicistico per cui non aggiornare significa essere più produttivi. Si provi a pensare al danno, in termini di tempo e risorse anche economiche, prodotto da una violazione dei dati, non necessariamente personali, quando questo avrebbe potuto essere evitato da una patch del S.O.. Ndt]

 

Promemoria per l’applicazione dei principi di Privacy by Default e Privacy by Design

L’oggetto dell’articolo Privacy by default anche per Google e Facebook? è la disputa tra Google e Facebook circa il fatto che il nuovo S.O. della Apple che permetterebbe agli utenti di scegliere quali app possano raccogliere e divulgare i loro dati personali. Da ciò l’autore trae spunto per una disquisizione circa i temi della “privacy by default” e “privacy by design”.

Per la Privacy by Default, i dati personali devono essere trattati per tipologia e per periodo temporale nella misura strettamente necessaria alla finalità del trattamento [minimizzazione e conservazione, ndr]. E ovviamente queste finalità devono essere definite e comunicate agli interessati.

Per la Privacy by Design, si deve agire secondo criteri di prevenzione e tutela degli interessati, quindi: analisi dei rischi già in fase di progettazione, applicazione della Privacy by Default, attuazione delle misure di protezione dei dati durante tutto il ciclo di vita del progetto, misure per poter individuare tempestivamente eventuali violazioni, garanzia di trasparenza e visibilità.

L’autore accenna anche al principio di proporzionalità, per cui vanno bilanciati il legittimo interesse del titolare (ove ammissibile) e i diritti e le libertà degli interessati, con riguardo sempre alle finalità, ai dati raccolti e al tempo di conservazione.

Inoltre, sottolinea anche come sia controproducente il “fattore pigrizia” [leggi anche mancanza di tempo per cui le azioni dovute per la tutela della privacy vengono rimandate e magari dimenticate; ndt], per cui l’abitudine, invece, ad applicare la Privacy by Default e byDesign diventa fondamentale.

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys