Anche in agosto non si fermano le attività di Federprivacy: vediamo insieme gli articoli più interessanti.

Indice:

  1. Attacco informatico alla Regione Lazio: un disastro annunciato
  2. Le decisioni di adeguatezza per i paesi terzi avranno una scadenza
  3. Valutazione di impatto, quale prerequisito per la privacy by design e by default, nella gestione del whistleblowing
  4. Dati dei clienti TIM a rischio per un data breach
  5. Videosorveglianza: sorvegliato speciale
  6. Una guida per progettare e gestire un sistema di videosorveglianza GDPR-compliant
  7. Violazioni di dati personali e sanzioni, in breve

 

Attacco informatico alla Regione Lazio: un disastro annunciato

[Neanche a farlo apposta il precedente articolo Cybersicurezza, un approccio che confligge con il buon senso del generale Umberto Repetto, citato nella nostra newsletter relativa agli estratti del mese di luglio da Federprivacy, riportava i suoi gravi dubbi sull’efficacia organizzativa degli istituti messi in piedi dal governo, dubbi espressi senza mezzi termini nella sua audizione alla Camera. La recente violazione, a tutti nota, del sistema informatico della Sanità della Regione Lazio è una conferma delle sue perplessità. Ndr]

Nell’articolo Gli hacker alla Regione Lazio e l’Agenzia per la Cybersicurezza Nazionale…, si auspica (ma nel contempo si dubita) che si riesca a capire che cosa ha provocato l’incidente, cosa non ha permesso di bloccare l’attacco hacker, o cosa gli ha consentito di essere perpetrato con efficacia (specie se trattasi di ransomware), quali raccomandazione tecniche e organizzative abbia preventivamente dato il Dipartimento per le Informazioni per la Sicurezza a responsabili e utenti dei sistemi informatici.

Dovrà entrare in esercizio anche l’Agenzia Cyber e ancora una volta l’autore si domanda se i soggetti che dovranno difendere i nostri dati e il funzionamento di applicazioni essenziali come quella di gestione delle vaccinazioni, saranno scelti in base a idoneità, capacità e competenza.

 

Le decisioni di adeguatezza per i paesi terzi avranno una scadenza

L’articolo Trasferimento dati all’estero: la ‘sunset clause’ nella decisione di adeguatezza del Regno Unito ci informa che il 28 giugno scorso è stata emessa una nuova decisione di adeguatezza, relativa al trasferimento di dati personali tra UE e UK, giusto prima dello scadere del periodo di validità ammesso in regime di transizione.

Rispetto a meccanismi di controllo continuo e corrispondenti eventuali azioni di sospensione, modificazione o abrogazione, qualora si rilevi che non sussistano più le condizioni sulle quali si basa la decisione di adeguatezza, adesso è previsto anche che questa scada comunque dopo un periodo di quattro anni (“sunset clause”); a meno che non intervenga un’azione positiva volta a rinnovare ed estenderne il periodo di efficacia.

Questa clausola, estesa a tutti i paesi terzi soggetti a decisione di adeguatezza, comporterà una pesante attività di controllo, da parte degli organi competenti, e la necessità di tempestivi interventi nel caso di una mancanza di rinnovo.

 

Valutazione di impatto, quale prerequisito per la privacy by design e by default, nella gestione del whistleblowing 

[Il  whistleblowing riguarda la denuncia di illeciti o irregolarità nell’ambito di organizzazioni pubbliche e private e comporta la difesa della riservatezza dei dati di chi effettua tale denuncia; ndr.]

L’articolo Una corretta e precisa valutazione d’impatto rappresenta uno strumento idoneo per il rispetto dei principi di privacy by design e by default trae spunto da una sanzione comminata ad un titolare del trattamento per aver implementato una piattaforma, ai fini della gestione del whistleblowing, senza una valutazione di impatto privacy, in violazione dei principi della privacy by design e by default.

Nello specifico, l’applicativo, esposto su rete Internet, non utilizzava un protocollo di rete sicuro (quale il protocollo https) e non era prevista la cifratura dei dati personali relativi alle segnalazioni (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel relativo database.

La gestione del whistleblowing, oltre ad essere soggetta ai princìpi generali del GDPR relativi a “integrità e riservatezza”, “protezione dei dati fin dalla progettazione”, “protezione dei dati per impostazione predefinita” e analisi dei rischi, è soggetta anche alle raccomandazioni dell’ANAC (Autorità nazionale anticorruzione). Vedasi Determinazione n. 6 del 28 aprile 2015

“Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower)”.

 

Dati dei clienti TIM a rischio per un data breach

L’articolo Attacco hacker a Tim: cosa rischiano i clienti e cosa fare riporta che Tim ha reso noto di essere stata colpita da un attacco hacker, che mette a rischio le credenziali dei propri clienti per l’accesso alla sezione MyTIM.

Pur escludendo che i dati trafugati possano essere utilizzati per abilitare funzioni di pagamento, TIM ha raccomandato di prestare attenzione allo phishing [tentativi di estorcere password tramite email contraffatte; ndr] e di usare un buon antivirus, ha reso obbligatorio il cambio password al primo accesso a MyTIM ed ha suggerito di non usare più, anche per altri accessi, la vecchia password o password simili.

Le password dovrebbero comunque essere composte da lettere, numeri e caratteri speciali ed essere modificate periodicamente.

[Quanto sopra è riportato per i clienti TIM che non avessero ricevuto o letto l’email che il provider ha inviato in merito all’argomento. Ndr]

 

Videosorveglianza: sorvegliato speciale

L’articolo Videosorveglianza e data breach sotto la lente del Garante Privacy informa che tra i controlli da effettuare a cura del Garante per la Privacy o tramite il Nucleo Speciale Privacy e Frodi Telematiche della Guardia di finanza, nel secondo semestre 2021, vi sono gli impianti di videosorveglianza pubblici e privati, in particolare quelli che trattano dati biometrici per il riconoscimento facciale.

Aziende sono già state sanzionate per aver posizionato telecamere al proprio interno, senza la presenza di alcun cartello o informativa

[Agli interessati all’argomento, potrà tornare utile l’articolo seguente. Ndr]

 

Una guida per progettare e gestire un sistema di videosorveglianza GDPR-compliant

Ci viene in aiuto l’articolo I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default.

Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, su questo si applicano comunque i principi della protezione by design e by default dell’Art. 25. Questi argomenti sono affrontati dalle linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020, che fanno riferimento alla norma CEI EN 62676-1-1.

I blocchi funzionali tipici dei sistemi di videosorveglianza definiti da tale norma sono:

  • L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.
  • La gestione del sistema, per le attività di collegamento con l’operatore e con altri sistemi, comprendenti i comandi e le procedure di allarme.
  • La sicurezza del sistema relativa all’integrità dei dati e del sistema, alla segnalazione dei guasti e alla protezione da manomissioni.

Le misure tecniche ed organizzative di protezione dei dati personali, in ordine alla loro riservatezza, integrità e disponibilità, riguardano tutte le fasi di trattamento: la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”).

La valutazione di impatto relativa ai dati deve definire:

  • la responsabilità della gestione e del funzionamento del sistema;
  • la finalità e l’ambito di applicazione del progetto di videosorveglianza;
  • gli utilizzi consentiti in relazione alle finalità (ad esempio, la registrazione audio);
  • le informative brevi e complete da rendere agli interessati prima dell’ingresso in area videosorvegliata;
  • la durata delle registrazioni video;
  • le modalità di conservazione delle videoregistrazioni;
  • la formazione per gli operatori addetti all’utilizzo del sistema;
  • i casi in cui è consentito l’accesso alle registrazioni video e le relative modalità;
  • le procedure da utilizzare in caso di data breach;
  • le procedure per i casi di richieste di accesso, da parte di terzi, alle immagini;
  • le procedure per la manutenzione e aggiornamento del sistema.

Per quanto riguarda la sicurezza fisica di tutti i componenti del sistema, la protezione della loro integrità e la realizzazione della loro resilienza, possono adottarsi le seguenti misure tecniche:

  • protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti;
  • protezione dei canali di trasmissione;
  • cifratura dei dati;
  • firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici;
  • rilevamento di guasti di componenti, software e interconnessioni;
  • strumenti per ripristinare la disponibilità dei dati personali e il loro accesso in caso di problemi fisici o tecnici.

L’adozione di un regolamento interno, infine, oltre a ratificare le procedure definite, contribuirà alla formazione del personale addetto e alla dimostrazione dell’accountability del titolare dei dati personali.

 

Violazioni di dati personali e sanzioni, in breve

  • L’Autorità per la protezione dei dati del Lussemburgo (CNPD) ha sanzionato Amazon per 746 milioni di euro (settecentoquarantasei, non è un errore di digitazione), a causa di violazioni della privacy correlate alle sue pratiche pubblicitarie. Amazon naturalmente farà ricorso. [Un bel finanziamento per il “piccolo” Lussemburgo, se la sua Autorità Garante vincerà la causa. Sarebbe l’ora che i proventi delle sanzioni costituissero un risarcimento per i soggetti che hanno subito le violazioni, anziché per il Garante nazionale, o quantomeno che fossero redistrubuiti in tutti gli stati UE i cui cittadini sono stati in qualche modo penalizzati dallo stesso tipo di infrazione che ha generato la sanzione. Ndr]
  • Un istituto scolastico è stato sanzionato per aver pubblicato i dati sanitari di una dipendente nella sezione “Trasparenza Amministrativa” del proprio sito internet.
  • Sanzione di 2 milioni e 500 mila euro comminata dal Garante italiano a Deliveroo Italy (piattaforma di food delivery) per aver trattato in modo illecito i dati personali di circa 8000 rider.
  • Sono stati sanzionati la società Aeroporto Guglielmo Marconi di Bologna per 40.000 euro e il suo fornitore di software per 20.000 euro, per non aver protetto adeguatamente i dati degli interessati, nell’ambito di segnalazioni di illeciti (whistleblowing).
  • Sanzionato Facebook, per 5 milioni di euro, dalla Repubblica di San Marino, per aver sottratto dati personali di migliaia di sammarinesi ed a causa degli inadeguati criteri di accertamento dell’età dei minori richiedenti l’iscrizione.
  • Sanzionato un Comune per aver implementato un sistema di controllo della navigazione in internet, teso a rilevare utilizzi estranei all’attività lavorativa, senza aver reso ai lavoratori una informativa. Il procedimento è scattato nonostante il tracciamento fosse dichiarato in un accordo sindacale e negli stessi moduli di richiesta di accesso ad internet, per finalità di sicurezza dei dati.
  • Uno schema di D.Lgs, conseguente la direttiva comunitaria del 2019 di riforma del whistleblowing, prevede sanzioni fino a 50’000 Euro, per chi ostacola le denunce.
  • L’Autorità Garante austriaca ha sanzionato per 2 milioni di Euro l’azienda Jö Bonus Club per violazione del Gdpr nella profilazione di circa 2,3 milioni di utenti nell’ambito del proprio programma di fidelizzazione dei clienti dei propri partner.
  • La Regione Toscana ha inconsapevolmente diffuso un valido QR Code impossibile, senza poterlo revocare, acquistabile online per pochi euro su un sito di vendita online di immagini.
  • La multinazionale di consulenza Accenture è stata oggetto di un attacco ransomware. L’azienda ha dichiarato che l’incidente è stato prontamente contenuto ed i server colpiti immediatamente isolati e ripristinati completamente i sistemi interessati dal backup.
  • La Asl di Asti ha inviato l’elenco delle persone contagiate ad un indirizzo email del municipio pubblicato nella pagina dei contatti del sito del comune, accessibile a tutti i dipendenti. Ciò è stato oggetto di un provvedimento di ammonizione da parte del Garante per la Privacy.
  • Il quotidiano francese “Le Figaro” è stato sanzionato per 50.000 euro, poiché sul suo sito web del noto quotidiano sarebbero stati installati cookie pubblicitari e di profilazione di terze parti senza il consenso degli interessati.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys