RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY
Lo SPID: uno strumento di sicurezza delle identità che si è dimostrato quantomeno lacunoso
A prescindere dall’analisi della truffa descritta nell’articolo La truffa del bonus cultura evidenzia una falla enorme nel sistema delle identità digitali, il dato di fatto dal punto di vista della privacy è la violazione delle identità, cosa che nel caso in oggetto è stata permessa da una falla logica nella strategia del sistema informatico per l’acquisizione dello SPID (chiave di accesso del Sistema Pubblico di Identità Digitale).
Infatti, nelle cartolerie si accettano anche le deleghe per il rilascio della firma digitale a nome di altri. Con quella firma, poi, basta collegarsi ad uno dei 12 provider che consentono di creare lo Spid, scegliendo il riconoscimento digitale tramite la firma appena creata (grazie al quale si evita l’identificazione) e inserendo alcuni altri dati del soggetto. In questo modo è possibile ottenere fino a 12 identità digitali.
L’Agid (Agenzia per l’Italia digitale) starebbe correndo ai ripari.
Titolare e contitolare del trattamento, in caso di fornitura di app
Al di là del caso specifico di cui all’articolo Basta commissionare una app per diventare titolari del trattamento anche senza aver mai visto un dato, sono interessanti le conclusioni. La sentenza della Corte di giustizia dell’Unione Europea, afferma che nel momento in cui si incarica un fornitore IT di realizzare una app (una web app, nel caso specifico) e tramite questa viene effettuato un trattamento dei dati personali, il committente (a meno che non abbia esplicitamente richiesto che la app non venga attivata) diventa automaticamente Titolare del trattamento ed il fornitore, se ha attivato la app di propria iniziativa, è Contitolare del trattamento.
Il fornitore non è Contitolare fino a che, per i test, utilizza dati fittizi, non identificativi di persone reali.
[Per un corretto rapporto tra le parti, nel caso di una app offerta come servizio per cui il fornitore ha pieno accesso ai dati personali trattati, anche senza consultarli, il Titolare deve essere l’unico che stabilisce le finalità del trattamento e deve nominare il fornitore quale Responsabile esterno del trattamento. Contratto e nomina devono essere ovviamente redatti per scritto. Ndr]
Le sanzioni dei Garanti privacy per gli illeciti dolosi e colposi
Non ci si aspetti, per il titolo dell’articolo La Corte UE chiarisce condizioni e calcolo delle sanzioni amministrative per violazioni del GDPR, che la Corte di giustizia dell’Unione Europea abbia davvero definito come calcolare gli importi delle sanzioni pecuniarie, a seconda del tipo di violazione dei dati personali o della gravità delle conseguenze. Ha solo ribadito quanto segue.
Le sanzioni amministrative sono applicabili per qualsiasi illecito doloso o colposo, salvo circostanze per cui Titolare del trattamento dei dati personali non possa esserne a conoscenza. [E’ difficile che si verifichino tali circostanze in quanto anche se il titolare è una persona giuridica, è sufficiente che l’illecito sia commesso da qualsiasi persona che agisce per conto o nell’ambito della società; inoltre un’eventuale ignoranza delle clausole di GDPR non può certo essere portata a discolpa. Ndr].
[Per illecito colposo si intende un’azione o comportamento comunque dannosi, non determinati da volontà di nuocere, ma da negligenza, imprudenza, imperizia e inosservanza di leggi o regolamenti. Ndr]
Le decisioni della Corte europea riguardano anche il fatto che, nel caso in cui una società faccia parte di un gruppo, la percentuale su cui si deve calcolare la sanzione (nei limiti precisati dal GDPR) è il fatturato dell’intero gruppo.
Infine un titolare può essere sanzionato anche per illeciti commessi da un proprio fornitore, se le violazioni possono essere imputate in toto o in parte al titolare stesso.
Precisazioni sulla legittimità delle decisioni automatizzate
Si riporta l’articolo Credit scoring e decisione automatizzata, la pronuncia della Corte di Giustizia Ue che esamina un caso specifico di decisione automatizzata perché le sue conclusioni possono essere di carattere generale.
Un società, su richiesta di una banca elabora, sulla base di procedure matematiche e statistiche, uno “score” delle persone, aventi certe caratteristiche, per determinare la probabilità della loro solvibilità circa il rimborso di un eventuale prestito.
La Corte europea ha considerato: 1) il concetto di “decisione”, estrapolandolo dal considerando 71 del DPR e classificando come tale il calcolo di detta probabilità di onorare il prestito; 2) se il trattamento è automatizzato, e la profilazione elaborata su dati personali rientra in questo caso; 3) se la decisione può produrre effetti giuridici o incidere significativamente sulla vita delle persone, e la concessione di un prestito evidentemente lo è.
La conclusione è stata che il trattamento effettuato dalla società di credit scoring, non suffragato validità giuridica quali casi di ammissibilità per legge o consenso degli interessati, rientra nell’ambito delle decisioni automatizzate vietate dal GDPR.
[Questo differisce da quanto, sotto un altro punto di vista, ci si sarebbe potuti aspettare, cioè che la decisione automatizzata fosse legata anche all’utilizzo dello “score” da parte della banca, non potendo, in linea di principio, sapere la prima società se la banca avrebbe inserito un intervento umano per pervenire alla decisione finale sulla concessione del prestito. Ndr]
La designazione di sub-fornitore non è considerata implicita nel contratto di subfornitura
Il caso specifico, tratto dall’articolo La società che gestisce i dati relativi alle targhe degli autoveicoli in un parcheggio deve essere designata responsabile del trattamento, riguarda l’Atac SpA di Roma che ha commissionato la gestione dei parcometri ad altra società, senza averla nominata sub-responsabile del trattamento dei dati personali.
Dalle decisioni sia del Garante della privacy che della Corte di cassazione, si rilevano due elementi.
La targa degli autoveicoli è considerato un dato personale, pur consentendo la sola individuazione del proprietario e non del conducente, per la possibilità di identificazione indiretta del soggetto.
La mancanza di designazione formale di sub-responsabile non consente, a norma di GDPR, alcun trattamento di dati personali, nonostante l’esistenza di obblighi contrattuali tra committente e appaltatore, e un’eventuale designazione a posteriori non può legittimare i trattamenti avvenuti in precedenza.
La Data Governance nell’era dei Big Data: una necessità e una opportunità per la privacy
La Commissione Europea fornisce la seguente definizione:
<< Data governance entails defining, implementing and monitoring strategies, policies and shared decision-making over the management and use of data assets >>.
Il presente articolo asserisce l’importanza strategica di una policy per la governance dei dati, vista l’enorme crescita dei big data e della digitalizzazione.
I riferimenti normativi sono il Regolamento UE 868/2022 Data Governance Act e il D.Lgs. 200/2021 che recepisce la Direttiva UE 1024/2019 relativa “all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico” nonché il Piano triennale per l’informatica nella PA 2022-2024 e le Linee guida 1/2022 dell’EDPB sui diritti di accesso ai dati.
In breve, però, i punti fondamentali sono i soliti:
– la coerenza con l’approccio by design e by default;
– la minimizzazione nella raccolta dei dati,
– il rispetto dei diritti degli interessati, a partire dalla riservatezza.
L’autore pone l’accento sulla necessità di un’architettura di gestione dei dati evoluta e sulla loro indicizzazione e classificazione.
I riferimenti per una policy delle PA circa la governance dei dati
L’articolo La Data Governance nell’era dei Big Data: una necessità e una opportunità per la privacy riporta la seguente definizione fornita dalla Comunità Europea:<< Data governance entails defining, implementing and monitoring strategies, policies and shared decision-making over the management and use of data assets >>.
L’articolo asserisce quindi l’importanza strategica di una policy per la governance dei dati, vista l’enorme crescita dei big data e della digitalizzazione.
I riferimenti normativi sono il Regolamento UE 868/2022 Data Governance Act e il D.Lgs. 200/2021 che recepisce la Direttiva UE 1024/2019 relativa “all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico” nonché il Piano triennale per l’informatica nella PA 2022-2024 e le Linee guida 1/2022 dell’EDPB sui diritti di accesso ai dati.
In breve, però, i punti fondamentali sono i soliti:
– la coerenza con l’approccio by design e by default;
– la minimizzazione nella raccolta dei dati,
– il rispetto dei diritti degli interessati, a partire dalla riservatezza.
L’autore pone l’accento sulla necessità di un’architettura di gestione dei dati evoluta e sulla loro indicizzazione e classificazione.
Il collaboratore lascia l’azienda: che fare per la privacy e altro?
L’articolo Cessazione del rapporto di lavoro: una check list per la protezione dei dati personali fornisce una lista di attività che impattano sulla protezione dei dati, conseguentemente alla cessazione del rapporto di lavoro di un dipendente, pur avvertendo che questa lista può non essere esaustiva (ad esempio non considera le tematiche della salute a della sicurezza).
Le indicazioni, raggruppate per ente aziendale di competenza, sono state estrapolate anche da quanto riportato nella Linea Guida UNI CEI EN ISO/IEC 27002:2023 “Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza delle informazioni” controllo 6.5 “Responsabilità dopo la cessazione o il cambio di impiego”.
Il Rappresentante legale/Titolare del trattamento/Datore di lavoro:
– se il collaboratore era in possesso di deleghe e procure (eventualmente riportate nella visura camerale) provvede ad effettuare le modifiche necessarie
– se il collaboratore ricopriva il ruolo di DPO interno, provvede ad identificare e nominare un nuovo DPO (eventualmente anche esterno)
La Funzione Human Resources:
– comunica la cessazione del rapporto di lavoro alle funzioni aziendali interessate
– fa sottoscrivere un NDA [non disclosure agreement] in merito alla riservatezza dei dati (comprese le eventuali proprietà intellettuali), di cui il collaboratore sia venuto a conoscenza, a valere anche dopo la cessazione del rapporto di lavoro [sarebbe opportuno però che questo fosse fatto all’atto dell’assunzione del dipendente; ndr]
– archivia la documentazione relativa al collaboratore, per almeno 10 anni dalla conclusione del rapporto (in congruenza con quanto riportato nel Registro dei trattamenti)
Il Privacy Officer:
– aggiorna l’organigramma privacy e l’elenco degli autorizzati al trattamento dei dati, laddove il collaboratore ricopriva un ruolo afferente alla protezione dei dati personali, e, laddove necessario, cura la nomina dei sostituti (es. amministratore di sistema [e incaricati al trattamento; ndr])
– archivia la documentazione relativa alla designazione come autorizzato/designato ed altra documentazione, sottoscritta dall’ex-collaboratore [è opportuno che le nomine fatte controfirmare prevedano già la loro decadenza in caso di interruzione del rapporto di lavoro; inoltre, in presenza di una lista delle designazioni, si registri la data di fine incarico. Ndr]
Il Responsabile diretto del collaboratore:
– gestisce il passaggio di consegne, considerando anche gli aspetti relativi alla protezione dei dati personali
– analizza gli accessi a siti terzi noti al collaboratore (comprese le credenziali per accesso ai profili social /sito) e valuta la necessità di modificare password/chiavi di accesso, nel caso il collaboratore le possedesse, per es.: posta elettronica certificata, SPID, firma elettronica
– comunica a clienti, fornitori, partner ed altre terze parti interessate, la conclusione del rapporto di lavoro ed i dati di contatto del sostituto (ove non già eseguibile con risposte automatiche alle email – vedi sotto)
– ritira badge, chiavi e smart card in possesso del collaboratore e valuta il cambio del codice di allarme; registra la restituzione effettuata
La Funzione ICT:
– invia al collaboratore, con qualche giorno di anticipo rispetto alla chiusura del rapporto di lavoro, la richiesta di eliminare eventuali dati personali, non pertinenti all’attività lavorativa, eventualmente archiviati sui dispositivi aziendali e sulla posta elettronica, e di restituire i dispositivi, a lui consegnati, di proprietà dell’organizzazione [è opportuno che il collaboratore abbia già firmato, all’assunzione, una dichiarazione di consapevolezza di non lasciare propri dati personali nei dispositivi e negli account aziendali ricevuti per le attività lavorative. Ndr]
– disattiva la casella di posta elettronica e predispone una risposta standard per eventuali mail in entrata
– disattiva l’utenza per il collaboratore (userid e password) su tutti i dispositivi e sistemi a cui aveva accesso e più in generale effettua la chiusura/passaggio ad altro collaboratore di tutti gli account riferibili all’autorizzato, inclusi quelli relativi a PEC e portali vari [piattaforme e servizi cloud; ndr]
– ritira eventuali dispositivi consegnati al collaboratore (compresi eventuali token USB / smart card), e registra tale restituzione con riferimento alla registrazione di consegna iniziale
– elimina i dati nell’area del server aziendale [o dello spazio cloud] a disposizione del collaboratore, previa verifica che non vi siano dati aziendali (se del caso provvede al loro salvataggio)
– procede alla eliminazione dei dati sui dispositivi affidati al collaboratore ed eventualmente al salvataggio di parte degli stessi come previsto dalle procedure interne [cancellazione sicura o formattazione completa delle memorie]; se necessario provvede a smaltire i dispositivi stessi
– nel caso in cui il collaboratore avesse il permesso di utilizzare i propri dispositivi personali (BYOD) richiede che siano eliminati dal collaboratore stesso i dati aziendali salvati sui suddetti dispositivi, comprese le eventuali APP [aventi licenza aziendale]
– archivia la documentazione [amministrativa] relativa al collaboratore per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti)
L’RSPP:
– archivia la documentazione relativa ad idoneità alla mansione, per almeno 10 anni dalla conclusione del rapporto (tempi che devono essere congruenti con quelli riportati nel Registro dei trattamenti)
Un caso in cui è il tribunale a dover dimostrare la difformità dal GDPR
L’articolo Per il Tribunale di Udine non bastano gli algoritmi a imporre la valutazione di impatto privacy alla pubblica amministrazione riporta un caso giuridico con interessanti conclusioni.
Senza entrare nel caso specifico è interessante rilevare che, in base alla sentenza del tribunale, gli algoritmi utilizzati per il trattamento dei dati non possono essere più considerati una “tecnologia innovativa” tale da far scattare l’obbligo di esecuzione della valutazione di impatto. In particolare, il tribunale ha dichiarato che, nel caso di contestazione giudiziale di una sanzione irrogata dal Garante della privacy per mancata redazione di una DPIA [Data protection Impact Assessment], è il Garante che deve dare prova del fatto che il trattamento algoritmico presenta rischi elevati per le persone.
Accertamento sanitario di idoneità alla mansione: sono vietate le informazioni su patologie oncologiche pregresse
Dall’articolo Diritto all’oblio oncologico in vigore da gennaio: impatto anche sui contratti di lavoro si apprende che la legge 193/2023 tutela il diritto delle persone guarite da una pregressa patologia di tipo oncologico di non fornire informazioni né subire indagini in merito alla propria condizione.
Ciò riguarda diversi ambiti tra cui l’accesso a mutui, prestiti e assicurazioni ed anche l’accesso alle procedure concorsuali e selettive, al lavoro e alla formazione professionale.
In particolare, ove sia previsto l’accertamento di requisiti psico-fisici o concernenti lo stato di salute dei candidati, è vietato richiedere informazioni relative allo stato di salute concernenti patologie oncologiche da cui essi siano stati precedentemente affetti e il cui trattamento attivo si sia concluso, senza episodi di recidiva, da più di dieci anni.
GESTIONE DEI RISCHI E MISURE DI CONTRASTO
I consigli del Garante per la migliore protezione dei dati durante le festività valgono anche per il resto dell’anno
Nell’articolo La privacy non va in vacanza: i consigli del Garante per la migliore protezione dei dati durante le festività viene riportato un decalogo scritto dal Garante della privacy, per evitare di subire violazioni dei propri dati personali e anche di commetterne verso altri.
In riferimento alle festività, il decalogo mette in guardia dai messaggi di auguri che potrebbero contenere virus, link a servizi a pagamento o tentativi di phishing, ransomware o software spia. In riferimento ai viaggi, consiglia di non pubblicare sui social media informazioni che possono rivelare ai ladri dettagli sulle proprie assenze e, infine, di disconnettere tutti i dispositivi della home intelligente non indispensabili.
Per il resto vi sono precauzioni, ancora a propria protezione, relative ad offerte fittizie che possono rivelarsi degli imbrogli, al download di applicazioni che possono contenere virus e malware, all’utilizzo del wifi pubblico gratuito, tramite il quale potrebbero venir copate le proprie credenziali. Viene consigliata precauzione relativamente ai giocattoli intelligenti ed interattivi che possono raccogliere informazioni personali proprie e dei bambini; viene esortato di curare gli aggiornamenti (specie di S.O. e antivirus) nei propri dispositivi e nel diffondere le proprie informazioni personali e viene raccomandata accortezza nell’utilizzo delle nuove tecnologie.
Nei confronti di terzi, il decalogo raccomanda che l’eventuale diffusione di foto e video e l’utilizzo di droni non compromettano l’altrui privacy, specie se ad essere inquadrati sono dei minori.
Anche solo un rischio per i dati personali può comportare la richiesta di danni immateriali
L’articolo Il rischio di abusi su dati personali può costituire danno immateriale informa che secondo la Corte di giustizia dell’Unione europea l’esposizione di dati personali al rischio di utilizzo abusivo può costituire in sé un danno immateriale. Tale danno potenziale sussiste quando i dati personali in possesso di una banca dati pubblica non sono adeguatamente protetti, mediante adeguati strumenti di sicurezza, mettendoli a rischio di un uso illecito da parte di cyber criminali. [Ciò significa che non è necessario che sia stato un danno di privacy effettivo, ma è sufficiente che ci possa essere un danno potenziale; ndr]
Inoltre, nel caso in cui avvengano una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati, non potendo i giudici dedurre se le misure di sicurezza adottate dal titolare del trattamento siano state o no adeguate, il provare che lo siano state incombe sul Titolare del trattamento [ma “una volta” non c’era la presunzione di innocenza sino a prova contraria? perplessità del redattore].
Vuoi conservare le tue credenziali in modo sicuro? Consulta la guida del Garante
L’articolo Garante Privacy e Agenzia per la Cybersicurezza Nazionale, approvate le Linee Guida per la conservazione delle password avverte che l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password. Il loro obiettivo è di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione possano venire violate per essere poi messe online o direttamente utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati, a soggetti che accedono a banche dati di particolare rilevanza o dimensioni, oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari.
IN BREVE, DALL’ITALIA E DAL MONDO
L’Italia nel mirino dei cybercriminali, soccombe all’attacco
L’articolo La pubblica amministrazione italiana messa ko dai cyber criminali informa che lo scorso 8 dicembre, Westpole, un grosso fornitore europeo di servizi informatici, ha subìto un attacco cyber che ha messo fuori uso la struttura informatica delle sue sedi di Roma e Milano. L’incidente ha immediatamente coinvolto tutti i suoi clienti, amministrazioni pubbliche comunali, regionali e nazionali, e tutti quelli privati facenti uso dei suoi diretti servizi (quali l’elaborazione delle paghe), nonché in certi casi i clienti dei loro clienti, quindi alla fine l’attacco ha messo in crisi mezza Italia.
Al 15 dicembre il problema è tutt’altro che risolto, sono ancora da determinare quali vulnerabilità abbiano consentito l’attacco, da chi sia stato effettuato e con quali finalità, anche se è immaginabile si tratti di un ransomware e che le finalità siano quelle di chiedere un riscatto per sbloccare i dati criptati.
A un passo dal regolamento Artificial Intelligence Act
L’articolo Raggiunto l’accordo politico sull’Artificial Intelligence Act informa che l’accordo dovrà poi essere tramutato in legge e questa sarà obbligatoria dopo due anni dalla sua pubblicazione. Il corrente articolo, cui si rimanda per i dettagli, descrive i vari punti dell’accordo.
Qua si cita solo il principio generale per cui l’IA deve essere regolamentata in base alla sua capacità di causare danni alla società, seguendo un approccio “basato sul rischio”: maggiore è il rischio, più severe devono essere le regole.
La Commissione Ue pubblica il modello per la rendicontazione sulle tecniche di profilazione dei consumatori ai sensi del Digital Markets Act
L’articolo La Commissione Ue pubblica il modello per la rendicontazione sulle tecniche di profilazione dei consumatori ai sensi del Digital Markets Act informa che la Commissione UE ha pubblicato il modello per la rendicontazione sulle tecniche di profilazione dei consumatori. I gatekeeper designati il 5 settembre scorso sono tenuti a presentare, entro il 7 marzo prossimo, i rapporti alla Commissione ai sensi dell’articolo 15 del Digital Market Act (DMA).
Questi rapporti devono descrivere le informazioni pertinenti su tutte le tecniche utilizzate per la profilazione dei consumatori applicate a qualsiasi servizio di piattaforma principale offerto o applicato attraverso di esso, nonché indicare la valutazione del revisore indipendente, che deve condurre un audit, sulla completezza e accuratezza della descrizione.
[Secondo il DMA, il gatekeeper è un soggetto che funge da importante punto di accesso tra utenti commerciali e consumatori, ma allo stesso tempo gode di una posizione dalla quale può dettare regole e creare eventualmente delle distorsioni nell’economia digitale. Esempi di gatekeeper sono quindi negozi di applicazioni software, motori di ricerca, social network, alcuni servizi di messaggistica, piattaforme per la condivisione video, assistenti virtuali, browser Web, servizi di cloud computing, sistemi operativi, marketplace online e servizi pubblicitari. Ndr]
A cosa è dovuto il gran numero di DPO in Italia?
Nell’articolo Prontuario privacy per i Dpo: adempimenti e compiti per imprese, professionisti e p.a. si evidenzia l’elevato numero di DPO (Data Protection Officer) che, a settembre 2023, in Italia, è risultato pari a due volte e mezzo il numero dei consulenti del lavoro, a più della metà del numero dei commercialisti e al 28% del numero degli avvocati.
L’autore ne motiva queste dimensioni per i seguenti tre fattori (in breve):
- il trattamento delle informazioni e dei dati personali che ha assunto un ruolo socio-economico e tecnico di primo piano ed ha quindi sostenuto il proliferare di professioni di pertinenza;
- la disciplina normativa e legislativa nazionale ed internazionale che pone l’accento solo sulle finalità, senza definire le regole applicative, anzi delegando gli stessi destinatari quali, per il GDOR, i Titolari del trattamento cui si assegna l’onere dell’accountability; ciò spinge le imprese a rivolgersi a professionisti specializzati per ridurre il rischio di non essere conformi;
- l’obbligatorietà della figura del DPO, per tutte le organizzazioni pubbliche e diverse tra quelle private(per le quali già ci vorrebbe un esperto per definire se il DPO è o no obbligatorio).
A fronte di quanto sopra l’autore propone il suo “Prontuario privacy per i Dpo“, che i soli associati a Federprivacy possono scaricare gratuitamente.
VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE
- L’azienda sanitaria di Modena è stata colpita da ransomware e, avendo rifiutato di pagare il riscatto, un terabyte di dati sensibili è stato pubblicato nel dark web mettendo a grave rischio la privacy degli interessati. Le cause del data breach non sono ancora note.
- Autostrade per l’Italia e Amazon Italia Transport sono state sanzionate dal Garante per non aver dato tempestivo e motivato riscontro, neppure di diniego o di differimento, alle richieste di accesso ai propri dati personali presentate da alcuni dipendenti ed ex dipendenti.
- Attacco hacker a Easy Park (il più grande operatore di app per parcheggi in Europa), rubati i dati personali di contatto di migliaia di clienti.
ing. Michele Lopardo
Responsabile Qualità @ Wondersys
