GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Il trasferimento di dati in Russia ricade pur sempre nell’ambito del trasferimento presso paesi terzi

L’articolo Trasferimento di dati in Russia: più deroghe che garanzie adeguate esamina, al proposito della guerra in corso nel continente europeo, l’aspetto della sicurezza dei dati personali.

Con la guerra iniziata lo scorso febbraio, l’Unione Europea ha posto divieti di vendite e/o acquisti, di esportazioni ed importazioni di determinati beni e/o servizi. Qualora sussistessero ancora transazioni non soggette a tali divieti, dal punto di vista della protezione dei dati personali, secondo il GDPR, si pone il problema del trasferimento, diretto o indiretto tramite applicazioni, di dati personali presso un cosiddetto paese terzo.

Per la verità non è la guerra in corso che genera tale questione, perché comunque già presente, in quanto la Federazione Russa, alla stregua, per esempio, della Cina e dell’India, non è un paese che gode della “decisione di adeguatezza” ai requisiti del GDPR, né è di fatto possibile che un titolare del trattamento possa accertare, nonostante eventuali clausole contrattuali standard, che questo paese terzo non permetta alle autorità [o istituzioni paragovernative più o meno segrete] l’accesso ai dati oggetto del trasferimento.

Quindi il trasferimento dei dati dovrebbe ricorrere esclusivamente alle deroghe previste, quali il consenso esplicito degli interessati, o l’esecuzione di attività contrattuali o precontrattuali, necessità per l’esercizio di diritti in sede giudiziaria o per la protezione di interessi vitali degli interessati.

La norma ISO 27001 e i framework cui fare riferimento

L’articolo Sicurezza delle informazioni: i framework di requisiti di controlli e di rischio della Norma ISO 27001:2013 esamina le categorie dei framework che afferiscono alla norma ISO/IEC 27001.

I framework sono “documenti” che inquadrano, nel suo complesso, uno specifico argomento e consentono ad un’organizzazione di sviluppare linguaggi ed approcci comuni per arrivare ad una comprensione condivisa dell’argomento. I framework sono emessi da soggetti autorizzati e vi si può aderire per vari scopi, per esempio per conseguire una certificazione ad una norma, o soddisfare i requisiti per entrare in un certo mercato. Essi possono essere riconducibili a tre categorie.

  1. Framework di controllo – Riguardano soprattutto aspetti di cyber security; non mirano al miglioramento continuo del sistema di gestione delle informazioni. Appartengono a questa categoria il CIS, il SOC 2 e, per ambiti più specifici, il PC DSS ed in NIST.
  2. Framework di requisiti – sono pubblicati dalla ISO e si basano sul modello “High Level Structure”, comune per tutte le norme e le linee guida degli standard dei Sistemi di Gestione; i vantaggi di tale modello sono la standardizzazione del formato delle norme e l’utilizzo di definizioni, testi e requisiti comuni, ciò che facilita la realizzazione di sistemi integrati di gestione. Sono impostati sul modello PDCA e sul miglioramento continuo del sistema di gestione.
  3. Framework di rischio – tutelano non solo le caratteristiche RID [Riservatezza, Integrità, Disponibilità] che possiede un’entità, ma anche altre importanti proprietà:
  • l’autenticità: proprietà di un’entità di essere ciò che dichiara di essere;
  • il non ripudio: capacità di provare l’occorrenza di un evento o di un’azione dichiarati e le loro entità originanti;
  • l’affidabilità: comportamento e risultati intenzionali coerenti.

La ISO/IEC 27001:2013 è una norma certificabile che appartiene a tutte e tre le categorie di framework:

  • framework di controllo: riporta nell’appendice A (ad oggi prima della revisione) 114 controlli suddivisi in 14 categorie [tuttavia oggi, per i controlli, va fatto riferimento alla più aggiornata ISO/IEC 27002:2022; inoltre attenzione, poiché la norma 27001 non è riferita a settori specifici, viene detto cosa fare, non come farlo, quindi sta all’organizzazione che la adotta la messa a punto tecnica delle azioni da svolgere; ndr];
  • framework di requisiti: richiede il soddisfacimento di una serie di requisiti riportati nei capitoli da 4 a 10 secondo il modello HLS;
  • framework di rischio: richiede che le organizzazioni, sulla base del contesto e delle esigenze delle parti interessate, individuino, valutino e trattino i rischi che impattano su: riservatezza, integrità e disponibilità (RID) delle informazioni.

L’analisi dei rischi per contrastare le violazione dei dati personali

L’articolo Lo strumento di analisi dei rischi di Enisa elaborato anche con il contributo del Garante Privacy fa presente che per ridurre il rischi di violazione dei dati, è necessario avere una profonda conoscenza della struttura e dell’organizzazione aziendale. Ciò riguarda sia l’infrastruttura informatica, sia il personale e l’organizzazione dei processi interni. In particolare si deve conoscere il percorso dei dati, dalla loro acquisizione, alla loro conservazione e alla loro eliminazione.

Con l’analisi dei rischi si analizzano le fonti di rischio di un data breach e gli impatti che potrebbero subire gli interessati se il rischio si concretizzasse.

Una violazione dei dati non riguarda solo il caso di attacco hacker o la presenza di un virus nel computer, ma anche la mancata disponibilità dei dati o la divulgazione non autorizzata degli stessi per effetto di altre cause. Quindi, al fattore informatico, come livello di protezione perimetrale della rete o l’effettuazione del backup, si aggiunge il fattore umano, per la possibilità di errori nel trattamento di dati.

Le conseguenze di un data breach per gli interessati possono essere lievi o modeste, ma anche gravi o gravissime (in ambito sanitario potrebbero costare vite umane).

Enisa ha pubblicato nel 2017 un Manuale sulla Sicurezza nel trattamento dei dati personali, tuttora attuale  e utile nella valutazione del rischio di data breach. Incrociando il livello di impatto che un data breach può avere sugli interessati con la valutazione del rischio di probabilità della violazione, si ottiene il livello di rischio dell’organizzazione. Il procedimento riportato nel manuale è attuabile sia a livello di insieme di trattamenti, sia a livello di singolo trattamento o singola area produttiva.

Enisa mette anche a disposizione uno strumento di analisi, on line, il Securing Personal Data: a risk-based approach, utile anche nel campo della protezione dei dati personali, per il soddisfacimento dell’Art. 32 del GDPR, sull’adozione delle misure tecniche ed organizzative idonee alla protezione dei dati, da parte del titolare del trattamento. Con l’analisi dei rischi si individuano i punti deboli (in termini di privacy) e si può definire uno schema di priorità di intervento.

Il social engineering: se lo conosci lo eviti (forse)

L’interessante articolo Le tecniche di social engineering mettono a rischio la privacy, partendo dal fatto che sempre più spesso gli attacchi ai sistemi informatici derivano da comportamenti errati ed inadeguati di dipendenti o utenti, disquisisce sul concetto di euristica. Questa si fonda sul fatto che il sistema cognitivo umano è un sistema a risorse limitate che, non potendo risolvere problemi tramite processi algoritmici, fa uso di “scorciatoie mentali” come efficienti strategie per semplificare decisioni e problemi.

Si tratta quindi in generale di un processo utile, se non indispensabile. Tuttavia è viziato dai cosiddetti pregiudizi cognitivi, errori e giudizi che intervengono nel processo decisionale dell’individuo, modellandone i meccanismi conoscitivi e portando così il soggetto a prendere decisioni e, conseguentemente, a compiere azioni sbagliate e/o inadeguate. E sono proprio questi elementi che, nell’ambito della cyber criminalità, vengono sfruttati dalla social engineering per indurre l’utente ad effettuare azioni che razionalmente non avrebbe svolto [ad esempio rivelare una password].

Il social engineering fà così leva sul fattore tempo e sul fattore emotivo (sotto la minaccia di pericoli fittizi si inducono decisioni pressoché immediate suggerendo false azioni risolutive), sul fattore affaticamento (il phishing arriva magari a fine giornata lavorativa), sul fattore ripetitivo (che può condizionare negativamente il processo decisionale).

Il phishing è appunto la tecnica illecita utilizzata dai malintenzionati, che si presentano sotto forma di un soggetto autorevole (banca, ente pubblico, provider di servizi) per appropriarsi di informazioni riservate relative ad una persona o a un’azienda (credenziali) con l’intento di compiere azioni fraudolente. La truffa avviene solitamente via e-mail, tuttavia possono essere utilizzati anche sms, chat e social media.

Un’altra tecnica malevola è il pretexting, che consiste nel creare una falsa ambientazione, ma familiare per la vittima, con lo scopo di spingerla a divulgare delle informazioni o a commettere azioni inconsuete, a fronte della presentazione di suoi dati reali (data di nascita, identificativo della carta d’identità, ecc.), acquisiti in precedenza.

Con il baiting, viene lasciato incustodito in un luogo strategico all’interno dell’azienda un dispositivo infetto (come una chiavetta USB contenente malware); viene sfruttato il fattore curiosità di un dipendente, che è indotto ad esplorare il contenuto del dispositivo sul pc aziendale, il quale verrà infettato, consentendo al cyber criminale di porre in essere azioni illecite.

Gli attacchi tramite l’ingegneria sociale si sono accresciuti grazie all’utilizzo delle logiche algoritmiche dell’intelligenza artificiale, nonché a fronte del sempre maggior utilizzo, da parte delle aziende, delle tecnologie digitali piuttosto che delle infrastrutture tradizionali.

Quindi sono indispensabili la formazione e la continua sensibilizzazione, ai rischi sull’utilizzo dei sistemi informatici ed ai pericoli di “induzione psicologica”, di dipendenti, collaboratori e, in generale, degli utenti finali. Ma sono necessari anche sistemi avanzati ed efficaci di security, con logiche di incident response e cyber security framework, cioè processi e tecnologie integrati, fondati su metodiche di sicurezza predittiva, sicurezza preventiva e sicurezza proattiva.

 

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

I Dark Pattern di siti e piattaforme

Secondo le “Linee guida 3/2022 sui Dark Patterns nelle interfacce sulle piattaforme dei social media: Come riconoscerle ed evitarle”, pubblicate (pur in versione non definitiva) dall’European Data Protection Board, come riporta l’articolo Dark Pattern e consenso privacy con le nuove Linee Guida 3/2022, i Dark Pattern sono “quelle interfacce ed esperienze utente implementate nelle piattaforme dei social media che inducono gli utenti a prendere decisioni involontarie, non volute e potenzialmente dannose riguardanti il trattamento dei loro dati personali. I Dark Pattern mirano ad influenzare il comportamento degli utenti e possono compromettere la loro capacità di tutelare efficacemente i loro dati personali e di fare scelte informate”.

[Quanto segue deve essere visto da due punti di vista: quello dell’utente che deve difendersi dal concedere consensi al trattamento dei propri dati a seguito di richieste prevaricatrici e quello dello sviluppatore di piattaforme che deve conformarsi a presentare richieste di consenso in modo lecito; ndr.]

Prendendo a riferimento le “Linee guida cookie e altri strumenti di tracciamento” (in vigore dall’08/01/2022) non sono consentite richieste di consenso basate su testi enfatizzati mediante colori e dimensioni dei caratteri, o viceversa con parti scarsamente leggibili, e non è ammesso che il consenso prestato non sia revocabile o lo sia attraverso artifici complicati. In questi casi il consenso dato può ritenersi come non ottenuto validamente e quindi illegali i conseguenti trattamenti.

Dello stesso avviso è il California Privacy Rights Act (CPRA), che entrerà in vigore il 1° gennaio 2023, sostituendo il California Consumer Privacy Act (CCPA).

Costituisce un Dark pattern anche la richiesta di consenso ripetuta continuamente, allo scopo appunto di indurre l’utente a fornirla per interrompere le continue interruzioni del servizio. Le richieste di consenso inoltre devono, come noto, essere anche esplicite e separate per ogni diversa finalità.

Tutto ciò è governato, in appositi paragrafi, dagli Art. 4, 5 e 7 del GDPR.

I Responsabili del trattamento devono essere convalidati anche periodicamente

L’articolo Criteri di valutazione dinamica del responsabile del trattamento ricorda che i Responsabili del trattamento cui sono affidati i dati del Titolare e spesso anche i dati dei clienti del Titolare, devono essere oggetto di una valutazione iniziale ed anche di valutazioni periodiche, in genere annuali, o estemporanee se intervengano interventi, quali un data breach, che ne possano mettere in discussione le capacità.

La valutazione periodica o “dinamica” o “ad intervalli” è prevista da diverse norme:

  • ISO 9001:2015 Par. 8.4 (sul monitoraggio delle prestazioni dei fornitori),
  • ISO/IEC 27001:2013 Controllo A15 (sicurezza delle informazioni nelle relazioni con i fornitori)
  • ISO/IEC 27002:2022 Controllo 5.19 (Information security in supplier relationships) e Controllo 5.22 (Monitoring, review and change management of supplier services)

Le valutazioni possono essere effettuate attraverso alcune delle seguenti modalità:

  • esecuzione di un audit seconda parte, svolto direttamente o tramite incarico esterno a consulente con le abilità necessarie;
  • richiesta di documentazione, come, ad esempio, i certificati di sistema di gestione prodotto o servizio (verificabili anche sul sito di Accredia) e/o adesione a codici di condotta e/o altre attestazioni pertinenti;
  • documentazione, anche procedurale, del fornitore atta a dimostrare la sua capacità di rispettare le misure tecniche organizzative e le istruzioni definite nel contratto / nomina a Responsabile esterno e richieste dal GDPR (Art. 32);
  • appositi questionari compilati dal Responsabile.

La valutazione a seguito di eventi non deve necessariamente essere relativa ai dati del Titolare o in ogni caso affidati al Responsabile dal Titolare, ma dovrebbe essere effettuata anche a seguito di data-breach, audit con esiti negativi, provvedimenti del Garante che abbiano comunque riguardato il Responsabile evidenziando delle criticità.

In caso di di evidenza di problemi, deve seguire un’opportuna azione correttiva e nel caso peggiore, o nel caso in cui l’azione correttiva non possa essere risolta, deve essere riconsiderato lo stesso rapporto di fornitura con il Responsabile.

Le valutazioni ed i conseguenti risultati devono essere documentati, a dimostrazione dell’accountability (responsabilizzazione) del Titolare e del rispetto dei requisiti del GDPR.

Il Modello Organizzativo Privacy

Quanto segue è tratto dall’articolo MOP: il Modello Organizzativo Privacy come misura di accountability per la compliance al Gdpr.

Il “MOP”, “Modello Organizzativo Privacy” (altrimenti chiamato anche “Manuale Operativo Privacy”) è un documento che ha la finalità primaria di dare evidenza delle azioni svolte per adempiere ai requisiti della protezione dei dati. Viene citato spesso quale misura di accountability, ma può avere anche altre finalità.

Il MOP può essere redatto da Referente per la Privacy (o Privacy Officer) ed approvato dal Titolare dei trattamenti, nonché approvato dal DPO, se presente. Contiene o fa riferimento a procedure, istruzioni, modelli ed altri documenti predisposti per il rispetto della normativa.

I contenuti [o i riferimenti] sono di solito tra i seguenti:

  • registro dei trattamenti;
  • analisi dei rischi e metodologia utilizzata per la valutazione dei rischi;
  • elenco dei responsabili del trattamento e dei contitolari;
  • misure di mitigazione poste in essere per mitigare i rischi;
  • documentazione specifica, come ad esempio nomina degli amministratori di sistema, regolamento sulla videosorveglianza o videoregistrazione, ecc;
  • modelli di documenti (informativa per i vari tipi di interessati, atto di designazione ad autorizzato, atto di designazione a Responsabile da personalizzare, ecc.).

Alcuni di questi documenti devono avere carattere riservato, ad esempio [come già riportato in altri articoli] le analisi dei rischi e le misure conseguenti, allo scopo di non far dedurre eventuali vilnerabilità.

Altri più specifici contenuti del MOP potrebbero essere:

  • l’organigramma ed il mansionario per il personale incaricato con responsabilità nella protezione dei dati;
  • lo scadenzario;
  • il piano di formazione per il personale;
  • il piano di audit – sia sistema di gestione che conformità legislativa;lo stato di presa in carico delle criticità – a seguito di data breach, audit, reclami e segnalazioni;
  • le motivazioni alla base delle scelte relative ai trattamenti effettuati;
  • indicatori per comprendere l’efficacia e l’efficienza delle misure poste in atto per la mitigazione dei rischi.

Disporre del MOP è anche l’evidenza dell’accountability, nel caso di ispezione del Garante per la Privacy.

Soddisfare le richieste degli interessati, anche se non sono formalmente impeccabili

L’articolo L’esercizio dei diritti in materia di protezione dei dati personali tra formalismo e sostanza ci informa che le Linee Guida 01/2022 sui diritti degli interessati, emesse pur in forma ancora transitoria dall’EDPB (European Data Protection Board), chiariscono che i titolari del trattamento devono agevolare l’esercizio dei diritti degli interessati, previsti dal GDPR, indipendentemente dalla forma con cui sono richiesti. Da ciò deriva che:

  1. le richieste degli interessati devono essere riconosciute, con qualunque modalità siano state espresse. Il suggerimento è di mettere a disposizione apposita modulistica, purché di semplice compilazione.
  2. chi riceve la richiesta deve trasmetterla tempestivamente alle funzioni della propria organizzazione preposte a soddisfarla. Se è previsto che le richieste possano essere inviate ad un certo indirizzo email (es. info@azienda.com), questo deve essere presidiato affinché vengano rilevate in tempo utile [il GDPR prevede dei termini entro cui devono essere soddisfatte; ndr].

L’autore dell’articolo fa altresì presente che, per evitare data breach, è opportuno verificare l’identità del richiedente [il che appare logico, tuttavia un’organizzazione è già stata sanzionata per aver richiesto copia della carta di identità al fine di poter esaudire le richieste; ndr]

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Le registrazioni dei meeting da remoto devono essere supportate da informativa privacy e basi giuridiche

L’articolo Per le riunioni da remoto serve l’informativa privacy è relativo al fatto che chi decide di trattare i dati delle riunioni digitali deve fornire un’adeguata informativa privacy e deve poter disporre della base giuridica per la legittimità del trattamento. Dovrà anche conformarsi agli stessi regolamenti propri degli impianti di videosorveglianza. Questo è stato evidenziato da Garante per la Privacy, con il parere inoltrato all’Agcom (Autorità per le Garanzie nelle Comunicazioni) il 27 gennaio 2022.

[Esaminando tale parere ed estrapolando quanto potrebbe essere di interesse generale si rileva, in breve, quanto segue.

L’immagine di una persona registrata da una telecamera costituisce un dato personale in quanto consente di identificare la persona interessata.

Una registrazione video (o anche del solo audio) di persone immagazzinata in un dispositivo di registrazione continua costituisce un trattamento di dati personali automatizzato.

Se il titolare del trattamento è un’autorità pubblica, l’eventuale consenso non può essere considerato espresso liberamente, per lo squilibrio di peso tra titolare e interessato; tuttavia il trattamento può essere giustificato dall’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri, purché supportato da una piena informativa agli interessati.

Ricade sotto la responsabilità del titolare il mettere in atto tutte misure tecniche e organizzative adeguate a garantire e dimostrare l’attuazione, fin dalla progettazione (data protection by design), dei principi di protezione dei dati, quali la minimizzazione, e a soddisfare i requisiti del GDPR per la tutela dei diritti degli interessati. Tale attività deve tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Deve essere stabilito quali siano i soggetti autorizzati ad effettuare le riprese; le condizioni e i limiti di tali operazioni, le modalità di trattamento, la finalità (determinate, esplicite e legittime) della raccolta/registrazione dei dati, i tempi di conservazione.  Vi deve essere un impegno affinché i dati non siano trattati in modo incoerente rispetto alle finalità prefissate.

L’informativa, che deve essere fornita prima dell’inizio del trattamento, deve indicare anche quali dati saranno comunicati / diffusi ed a chi, oltre che ai responsabili ed incaricati autorizzati al trattamento.

Infine si deduce che, se il titolare del trattamento non è un’autorità pubblica e vengono quindi a mancare le basi giuridiche ad essa pertinenti, devono essere individuate altre basi legali, quali il consenso al trattamento, o l’esecuzione delle richieste contrattuali purché coinvolgano i soggetti interessati (nel caso in cui vi sia un utente intermediario, quale il cliente di una piattaforma). Ndr.]

Per proteggere il patrimonio aziendale possono essere ammesse registrazioni video

L’articolo Non viola la privacy la telecamera che incastra il dipendente infedele sospettato di spionaggio in favore della Russia riporta il caso relativo ad un recente caso di spionaggio perpetrato da un ufficiale di Marina, dal quale si traggono considerazioni sono di interesse generale.

Sono ammesse, in un processo penale in cui è imputato un dipendente, le registrazioni video realizzate sul luogo di lavoro per proteggere il patrimonio aziendale. Infatti, le norme dello statuto dei lavoratori, che pure tutelano la riservatezza dei dipendenti, non proibiscono i controlli difensivi sui beni dell’impresa.

E’ esclusa violazione della privacy o del diritto dei lavoratori, anche quando l’impianto audiovisivo è installato senza l’accordo con i sindacati o l’autorizzazione dell’ispettorato del lavoro, se serve a tutelare il patrimonio aziendale, a patto che l’utilizzo non implichi un significativo controllo sullo svolgimento dell’attività dei lavoratori o resti necessariamente riservato per accertare gravi condotte illecite dei dipendenti.

Videosorveglianza: predisporre l’informativa e attenzione alle aree inquadrate

L’articolo Videosorveglianza: informativa privacy e limitazione dell’angolo di visuale delle telecamere trae spunto da un’ingiunzione del Garante circa un impianto di videosorveglianza, per l’assenza dell’informativa e per l’improprio angolo di visuale delle telecamere.

I requisiti disattesi del GDPR sono quelli di cui alle lett. a) e c), par. 1, dell’Art. 5, con particolare riferimento alla trasparenza e alla minimizzazione.

L’informativa va fornita mediante idonei cartelli informativi secondo le indicazioni contenute al punto 3.1. del provvedimento in materia di videosorveglianza – 8 aprile 2010, tenuto conto delle Linee Guida n.3/2019, del Comitato Europeo per la Protezione dei Dati, sul trattamento dei dati personali attraverso dispositivi video.

La videosorveglianza a protezione degli interessi legittimi di un titolare non deve eccedere le aree di propria pertinenza. Pertanto, anche nei casi in cui le riprese afferiscano anche immediate vicinanze dell’area di pertinenza, tali aree devono essere oscurate limitando l’angolo visuale delle telecamere.

 

IN BREVE, DALL’ITALIA E DAL MONDO

Master per Esperto Privacy e test di accesso

Dall’articolo Il Master per Esperto Privacy accreditato dal Consiglio Nazionale Forense. Crediti formativi per gli avvocati e anche per i commercialisti si evince l’importanza data dall’ambiente dell’avvocatura alle tematiche privacy ed al relativo accreditamento professionale, anche in relazione agli aspetti della sicurezza informatica.

In ogni caso, per chi fosse interessato ad una verifica di base delle proprie competenze sul GDPR, è utilizzabile il Test preliminare di accesso alla formazione specialistica, messo a disposizione, nell’occasione, da Federprivacy, anche accedendo in forma anonima con un semplice click sull’icona verde con la freccia verso destra, nella pagina del link.

In arrivo in Europa nuove disposizioni per favorire il commercio digitarle nel rispetto della privacy

Senza entrare nei particolari degli accordi preliminari, tra UE e grandi piattaforme digitali USA, l’articolo Accordo sul Digital Services Act: il mercato unico digitale europeo è più vicino afferma che entro la fine del 2022 dovrebbe essere definitivamente approvato il Digital Services Act Package, che fa seguito al Digital Market Act. Scopo: proteggere lo spazio digitale dalla diffusione di contenuti illegali e garantire la tutela dei diritti fondamentali degli utenti.

Tra le misure: divieto di utilizzo di interfacce ingannevoli note come “Dark Pattern” ed altre pratiche volte a fuorviare gli utenti e di presentare pubblicità mirata basata sull’uso dei dati personali di minori.

Vengono fissate regole e vincoli per impedire che grandi piattaforme (con oltre 45 milioni di utenti) operino di fatto come poteri privati di regolazione dell’economia digitale, utilizzando filtri per condizionare o indirizzare le scelte dei consumatori che navigano in internet (si parla di “gatekeeper”, guardiani). Il fine è di costruire uno spazio unico digitale europeo nel quale sia possibile garantire che lo sviluppo dell’economia e dei servizi digitali non comprometta il rispetto dei diritti fondamentali degli utenti e non limiti o ostacoli la capacità di concorrenza tra i fornitori di servizi digitali.

Ransomware: sempre più attivo ed efficace

Dall’articolo Ransomware, due aziende su tre sono colpite dal malware che prende i dati in ostaggio. Colpita anche Coca-Cola con richiesta di maxi riscatto si viene a conoscenza che un rapporto di Sophos [azienda informatica inglese che si occupa di sicurezza, sia software che hardware; ndr] rivela che il 66% delle aziende, fra cui quella in titolo, sono state colpite da un attacco ransomware nell’ultimo anno, in quantità 5 volte maggiore rispetto all’anno precedente.

In Italia solo il 26% delle imprese colpite è riuscito a bloccare l’attacco prima che i dati venissero criptati. Il 26% delle aziende ha pagato il riscatto, ma di queste solo l’11% ha potuto recuperare la totalità dei dati. Nel campione esaminato di aziende, il 47% dichiara che la propria polizza copre anche i danni causati da un attacco ransomware.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Come riporta l’articolo Per il riconoscimento facciale assimilato a ‘monitoraggio del comportamento’ si applica il Gdpr anche a società extra Ue, la società statunitense Clearview AI Inc possiede un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, recuperate da fonti web pubbliche come siti di informazione, social media e video online, da cui estrae, grazie a sistemi di intelligenza artificiale, dati biometrici degli individui. Il database non è liberamente accessibile al pubblico ma è destinato a determinate categorie di clienti, soprattutto forze di polizia, che tramite una piattaforma possono effettuare ricerche e comparazioni di immagini facciali.

Clearview è già stata oggetto di sanzioni e provvedimenti da parte delle autorità di controllo tedesche e francesi. A questi si aggiungono quelli emessi dal Garante italiano (sanzione di 20 milioni di Euro e ingiunzione alla cancellazione dei dati), il quale ha peraltro ravvisato anche che il trattamento effettuato rientra nel più ampio concetto di “monitoraggio del comportamento”, poiché le informazioni archiviate nel database vengono arricchite nel tempo in modo da riflettere anche i cambiamenti fisici dei soggetti e ovviamente senza che a questi sia stata data alcuna informazione in merito al trattamento stesso.

[Che il trattamento in oggetto violi la privacy è fuori discussione. Ci si potrebbe viceversa domandare (qua, come in casi analoghi), ammesso che i dati fossero utilizzati esclusivamente da legittimi organi di polizia, quale sia il limite tra la tutela dei dati personali e quella contro vandalismi, criminalità e terrorismo; ma forse la risposta è di carattere troppo soggettivo. Ndr]

  • L’autorità per la protezione dei dati personali del Belgio ha sanzionato due aeroporti per aver effettuato controlli della temperatura dei passeggeri ed utilizzato questionari anamnestici nell’ambito della lotta al Covid-19, senza disporre di una valida base giuridica e senza aver neppure fatto una valutazione d’impatto del trattamento.
  • La società informatica Dedalus è stata sanzionata per 1,5 milioni di Euro per aver subìto un data breach che ha diffuso dati sanitari sensibili di 500 mila interessati. Le infrazioni, oltre alla mancata minimizzazione dei dati, hanno riguardato le misure di sicurezza, per l’assenza di una procedura specifica per le operazioni di migrazione dei dati, la mancanza di crittografia dei dati personali archiviati sul server problematico, l’assenza di una procedura di cancellazione automatica dei dati dopo la migrazione ad altro software, la mancata richiesta di autenticazione per accedere da internet all’area pubblica del server, l’ utilizzo di account utente condivisi tra più dipendenti nella zona privata del server, l’assenza di una procedura di supervisione e gestione degli alert di sicurezza sul server. Mancava inoltre la nomina di Dedalus a responsabile del trattamento dei dati dei suoi clienti, cosa la cui responsabilità è stata attribuita alla società informatica stessa.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys