GESTIONE DEI RISCHI E MISURE DI CONTRASTO

In aumento il furto di dati sensibili

Secondo l’articolo Cybersecurity, è boom di dati sensibili nel Dark Web, nel 2022 il volume di dati personali presente nel dark web è triplicato rispetto all’anno precedente ed è aumentata anche la presenza di informazioni relative alle carte di credito: oltre al numero si può reperire il codice di sicurezza (CVV – Card Verification Value) e la data di scadenza, nel 98,1% dei casi.

Sarà l’ennesima ripetizione, ma è bene ricordare e seguenti precauzioni:

  1. Email o messaggi sospetti vanno sempre cestinati.
  2. Non va utilizzata la stessa password per tutti i social media o la posta elettronica.
  3. Mai comunicare codici della carta di credito quando si ricevono telefonate da ipotetiche banche.
  4. Per gli acquisti online è buona norma utilizzare la carta prepagata e preferire il computer allo smartphone per le transizioni.
  5. Meglio evitare shopping sul web quando si è collegati a un wi-fi non protetto.

Attenzione alle ricariche dello smartphone in posti pubblici

L’articolo Stazione di ricarica gratuita dello smartphone? meglio evitare per non rischiare virus e furto dati personali afferma che l’FBI mette in guardia dall’utilizzo delle stazioni di ricarica gratuita dello smartphone in aeroporti, hotel o centri commerciali. Infatti cybercriminali possono avervi installato codici maligni leggere e rubare dati personali e sensibili (tecnica detta juice jacking).

La soluzione è utilizzare il proprio alimentatore su una comune presa elettrica [o utilizzare un apposito cavo USB di sola ricarica senza passaggio di dati [data blocker); ndr].

L’utilità dell’Intelligenza Artificiale ai fini della siurezza

L’articolo Cybersecurity & Intelligenza Artificiale: le possibili soluzioni, al quale si rimanda per una lettura più approfondita, evidenzia come l’Intelligenza Artificiale sia utilizzabile per prevedere le minacce ed adattarsi ad esse, identificare ed eliminare le vulnerabilità esistenti, rilevare ed arrestare cyber attacchi con una velocità ed efficienza che non è sempre possibile ottenere con l’analisi umana. Questa velocità di analisi consente (in breve) di:

  • Analizzare volumi massicci di dati.
  • Adeguarsi costantemente a minacce e modelli d’attacco in evoluzione.
  • Limitare l’impatto sul cliente e sugli affari in merito a cyber attacchi e violazioni.
  • Utilizzare soluzioni biometriche per l’identificazione degli utenti.
  • Utilizzare l’elaborazione del linguaggio naturale, per individuare minacce tramite phishing.
  • Usufruire dell’apprendimento automatico (ML – Machine Learning).
  • Utilizzare l’apprendimento profondo (Deep learning), per prevedere risultati o migliorare la precisione di altre soluzioni di IA.
  • Effettuare automazione e orchestrazione di sicurezza (SAO- Security Assistance Organization) per agevolare l’indagine delle minacce.
  • Effettuare analisi della sicurezza, per rilevare comportamenti dannosi.

Figure aziendali (anche esterne) che hanno un ruolo nella gestione dei rischi per la privacy

Nell’articolo Privacy e rischio operativo: disamina dei ruoli di RPD, RSPP e RPCT, il rischio operativo è definito come l’insieme dei rischi nei quali incorre un’organizzazione nella realizzazione dei propri obiettivi, tramite la produzione di beni o la fornitura di servizi.

L’analisi e gestione del rischio operativo (Operational Risk Management – ORM) necessita di processi organizzativi che conducano, in alternativa, alla mitigazione del rischio, alla sua accettazione consapevole, alla rinuncia agli asset che lo implicano, o alla sua condivisione.

In questa gestione possono essere significative tre figure, previste dalle leggi, nei diversi ambiti, pur interconnessi:

  1. il DPO (Responsabile per la protezione dei dati – RPD), in ambito privacy, previsto dal GDPR; ha un un ruolo di consulente del titolare / responsabile del trattamento ed è obbligatorio nella P.A. e, sotto certe condizioni, anche nel privato.
  2. l’ RSPP (Responsabile del servizio di prevenzione e protezione), in ambito salute e sicurezza sul lavoro, previsto dal D. Lgs. 81/2008; ha funzioni di consulenza e supporto per il datore di lavoro (quando non coincide già con questo) ed è sempre obbligatorio in presenza di lavoratori.
  3. l’ RTPC (Responsabile della prevenzione della corruzione e della trasparenza), in ambito pubblica amministrazione, previsto dalla legge 190/2012; ha svariati compiti fra cui presiedere al rispetto della pubblicazione, a fini di trasparenza, di dati e informazioni sulle attività svolte dalle P.A,. l’incarico di predisporre il Piano triennale di prevenzione della corruzione e della trasparenza (PTPCT) ed è coinvolto nella gestione del whistleblowing. Questa figura è l’unica, salvo il caso di colpa professionale, per la quale le norme prevedono sanzioni.

Per tutte e tre queste figure, l’esercizio delle loro attività implica il trattamento di dati personali, in modo più o meno esteso a seconda del loro ambito. In ogni caso la responsabilità dei trattamenti ricade sempre sul titolare del trattamento. Il Registro del trattamento dei titolare e del responsabile del trattamento dati personali potrà contenere riferimenti alle attività del DPO e dell’ RTPC, se presenti in azienda.

Le informazioni delle aziende sempre più a rischio

L’articolo Salgono gli attacchi ransomware ma la metà delle aziende non ha difese riferisce che continua a salire la minaccia degli attacchi ransomware alla cybersecurity a livello globale. L’aumento degli attacchi al cloud è quasi un fenomeno naturale considerando che incrementano le quantità di dati che sono archiviati nel cloud.

Per i professionisti IT diventa sempre più importante la sovranità digitale per garantire privacy e sicurezza dei dati. [Con “sovranità digitale” si fa riferimento alla scelta da parte delle organizzazioni di utilizzare i canali digitali e le nuove tecnologie in modo da migliorare la sicurezza dei propri dati. Ndr].

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Limitazioni nell’utilizzo della videosorveglianza

L’articolo Videosorveglianza: non basta l’ok dei dipendenti per installare le telecamere in azienda riferisce di una nota dell’INAIL, che fornisce indicazioni sul rilascio del provvedimento di autorizzazione all’installazione di strumenti di controllo diretto o indiretto dei lavoratori. Viene ivi precisato che è illegittima l’installazione di telecamere in azienda, anche in presenza del consenso unanime dei lavoratori, qualora manchi l’accordo da parte sindacale o l’alternativa autorizzazione dell’Ispettorato del Lavoro.

Inoltre, non è possibile far “uso di impianti audiovisivi e altri strumenti che abbiano quale finalità esclusiva il controllo a distanza dell’attività dei lavoratori”.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

ChatGPT: strumento di diffusione della conoscenza o minaccia per la nostra privacy?

L’articolo Il provvedimento del Garante su ChatGpt è ‘anticipatorio’ di una nuova epoca riferisce che Il Presidente dell’Autorità italiana garante per la protezione dei dati personali ha emesso, con provvedimento di urgenza del 30 marzo scorso, la limitazione dei trattamenti dei dati personali degli interessati stabiliti sul territorio italiano, nei confronti di OpenAi, società sviluppatrice e gestrice di ChatGPT.

I motivi della decisione sono:

  • la assenza di una adeguata informativa sui trattamenti dei dati personali degli interessati, come dimostrerebbe il fatto che le informazioni fornite da ChatGPT “non sempre corrispondono al dato reale”;
  • il fatto che nel sistema ChatGPT manca la previsione di “qualsivoglia verifica dell’età degli utenti dei servizi forniti da ChatGPT” malgrado che i termini di uso del servizio specifichino che esso “è riservato a soggetti che abbiano compiuto almeno 13 anni”.

[al di là delle ulteriori disquisizioni, prevalentemente di carattere giuridico, di cui all’articolo originale, sta di fatto che ChatGPT non è più disponibile da aprile per l’utenza italiana, in attesa che vengano risolte le problematiche espresse dal Garante. Ndt]

La trasmissione a terzi di video con soggetti identificabili è legittima solo a certe condizioni

L’articolo L’accountability del GDPR nella comunicazione di filmati video a soggetti terzi fa riferimento alle Linee guida 3/2019 adottate dal Comitato Europeo per la Protezione dei Dati (EDPB) e prende in esame il caso della trasmissione di immagini video a soggetti terzi, essendo questi l’autorità pubblica o altre persone o organismi diversi dal titolare e responsabile del trattamento, nonché altri incaricati da parte di questi.

Tale trasmissione è lecitamente possibile, solo nel rispetto dell’Art. 6, par. 4, del GDPR, il quale richiede di tener conto del nesso tra le finalità di raccolta e quelle dell’ulteriore trattamento, del contesto e del rapporto tra interessati e titolare, delle possibili conseguenze per gli interessati e dell’esistenza di adeguate garanzie. A questo proposito, l’articolo propone una check list da compilare, onde verificare la legittimità della trasmissione a terzi.

Vengono fatte presenti la necessità di rendere non identificabili soggetti videoregistrati estranei alla finalità del nuovo trattamento conseguente al trasferimento e la necessità di vincolare (per scritto) i terzi riceventi i filmati a individuare la base giuridica del trattamento, fornire le informative agli interessati, adottare le misure di protezione dei dati, rispettare le norme di settore.

Lezioni in videoconferenza: è richiesto il consenso anche dei docenti 

L’articolo Alle lezioni on line si applicano le norme sulla privacy a tutela degli insegnanti anche se c’è la pandemia informa che la corte UE ha emesso una sentenza relativa al caso di diffusione in diretta, tramite videoconferenza, delle lezioni nel contesto della scuola pubblica. In breve, anche durante la pandemia, il recepimento del consenso degli studenti (o dei loro genitori in caso di minori) non è ritenuto sufficiente, in quanto è necessario anche quello degli stessi docenti, a salvaguardia della privacy del personale dipendente.

[Peraltro, non si vede come i docenti potrebbero rifiutarsi di dare tale consenso, che diviene di fatto imposto, sia per l’esigenza di dispensare le lezioni da remoto, sia per il rapporto di forza tra l’istituzione scolastica e i dipendenti. Ndr].

Attenzione a richiedere copia dei documenti di identità

L’articolo Gestione dei documenti di identità nel rispetto della privacy focalizza soprattutto sulla richiesta della copia del documento di identità. Infatti ciò è legittimo solo nei seguenti casi:

  • quando “una disposizione normativa prevede espressamente l’acquisizione e la conservazione temporanea di tale copia”, oppure
  • nelle situazioni in cui occorra “poter dimostrare di aver identificato l’interessato con modalità più accurate, stante il particolare contesto od operazioni da svolgere”.

Dunque il titolare del trattamento dati personali deve verificare bene le basi legali del trattamento, definire una scadenza della conservazione e i metodi per la successiva distruzione delle copie dei documenti.

La materia non è solo un pro-forma, in quanto una società editrice che esigeva sistematicamente copia digitale del documento di identità a chi richiedeva di accedere ai propri dati personali è già stata sanzionata dal Garante per oltre mezzo milione di euro.

Il provider non è più un soggetto passivo che si limita a fornire la piattaforma

L’articolo La responsabilità dell’internet provider prima e dopo l’algoritmo riferisce che è stato sottoposto alla Corte suprema USA il caso della famiglia di una vittima dell’attentato terroristico del Bataclan, Parigi, nel 2015. La tesi sostenuta è che i terroristi siano stati radicalizzati grazie alla sistematica riproposizione sui loro account You Tube (di cui Google è proprietaria) di video pro-ISIS: conseguentemente, Google avrebbe una parte di responsabilità nell’accaduto.

In ambito nazionale, nel 2019 la Corte di Cassazione (caso RTI contro Yahoo) ha riconosciuto la possibilità di qualificare come “attivo” il provider che si avvalga di sistemi di filtraggio, attribuendogli dunque responsabilità per possibili conseguenze dolose.

Il titolare deve sempre rispondere alle richieste di accesso degli utenti

L’articolo Con il Gdpr rispondere alle richieste di accesso non è cortesia ma atto dovuto ribadisce che il titolare del trattamento dati personali deve comunque rispondere ad una richiesta di accesso ai dati personali, anche quando verificasse l’infondatezza o l’eccessività della richiesta (Art. 12, quinto comma, del GDPR).

Le colpe di un dipendente che viola la privacy possono non ricadere sull’azienda, ma non è così semplice

Secondo l’articolo Il dipendente può essere qualificabile come autonomo titolare del trattamento di dati personali, da un pronunciamento del Garante belga deriva che violazioni della privacy commesse dai dipendenti, che abusano della loro posizione ed eccedono le loro mansioni, possono non ricadere sui datori di lavoro, a condizione che siano state predisposte misure tecniche preventive rispetto ad accessi abusivi.

Sono necessarie quindi nomine dei dipendenti autorizzati al trattamento estremamente dettagliate e chiare a proposito di: finalità perseguite dall’ente; finalità vietate all’ente e ai dipendenti; strumenti e modalità di utilizzo; conseguenze in caso di violazione delle finalità. Devono seguire istruzioni e regolamenti interni, aventi lo scopo di illustrare gli aspetti tecnici citati nelle nomine, nonché procedure di controllo degli accessi in relazione al verificarsi di anomalie per comportamenti irregolari. Queste ultime comportano la consegna ai dipendenti di informative dettagliate sui controlli in essere e dell’uso dei relativi dati da parte dell’azienda. In definitiva l’azienda deve saper dimostrare, con idoneo apparato documentale, di essersi ben organizzata.

Tutto ciò, se non sufficiente a scagionare l’azienda, servirà almeno per una rivalsa sul dipendente reo delle violazioni.

Se chiude l’azienda, eventuali sanzioni privacy decadono

L’articolo Le sanzioni per le violazioni privacy non sono trasmissibili si riferisce a sanzioni in capo al titolare del trattamento quale persona giuridica. In caso di estinzione dell’azienda le eventuali sanzioni di Garante non ricadono sui soci o sul liquidatore (intrasmissibilità della sanzione).

Ancora considerazioni sul whistleblowing

L’articolo Whistleblowing, obbligo di trattamento dei dati in ossequio al principio di accountability riprende il tema del whistleblowing mettendo in relazione l’esigenza di raccogliere le segnalazioni con quella di tutelare la segretezza dei segnalanti e gli aspetti privacy connessi. Si rimanda la lettura all’articolo originale, avendo già prodotto le sintesi di altri articoli sull’argomento nel gennaio e febbraio scorsi.

Un ausilio al rispetto del GDPR per le PMI

L’articolo I garanti della privacy europei lanciano una nuova guida per aiutare le piccole imprese a rispettare il GDPR fornisce il link alla guida, in inglese, che è stata predisposta dall’European Data Protection Board e fornisce informazioni pratiche alle PMI per la conformità al GDPR. Questa guida copre vari aspetti del Regolamento, dalle nozioni di base sulla protezione dei dati, ai diritti degli interessati, alle violazioni dei dati (data breach); contiene video, infografiche, diagrammi di flusso interattivi e altri materiali pratici sviluppati per le PMI dalle autorità nazionali per la protezione dei dati.

La guida sarà resa successivamente resa disponibile in altre lingue dell’Unione Europea.

 

IN BREVE, DALL’ITALIA E DAL MONDO

Diversi approcci nei confronti dello strumento di OpenAi ChatGPT

In base all’articolo Perù: nella causa di separazione a stabilire l’assegno da versare per il mantenimento dei figli è ChatGpt, mentre in Italia il Garante ha bloccato ChatGPT (e in Europa ci si accinge a fare altrettanto), in perù la app di IA è stata utilizzata persino dalla Corte di Giustizia per dirimere una controversia economica tra genitori separati.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • L’azienda sanitaria di Bari è stata sanzionata per 50 mila euro per aver oscurato in modo maldestro, con il pennarello nero, i dati degli autori di comunicazioni di elogio in cui erano presenti dettagli clinici degli interventi o delle prestazioni ricevute, diagnosi, anamnesi. L’Autorità, ha osservato che la procedura di cancellazione manuale con pennarello o con bianchetto, per sua natura imprecisa e non definitiva, non può essere definita idonea a rendere anonime le informazioni personali degli interessati.
  • Il Garante privacy ha sanzionato per 300 mila Euro una società che offre servizi di digital marketing, per aver invogliato gli utenti a prestare il consenso al trattamento dei dati per finalità di marketing e alla comunicazione dei dati a terzi attraverso interfacce grafiche ingannevoli (dark patterns, “modelli oscuri”).

ing. Michele Lopardo

Responsabile Qualità @ Wondersys