PUBBLICITA’ E PRIVACY

Ce la faremo davvero a bloccare le pubblicità indesiderate?

L’articolo Telemarketing: necessario rifare l’iscrizione al Registro delle Opposizioni per bloccare le telefonate commerciali interessa le compagnie che effettuano telemarketing, ma, in maniera senz’altro più estesa, anche tutti noi cittadini. Nel primo caso, per l’effort che dovranno sostenere per ottemperare alle nuove disposizioni e, nel secondo, per i benefici che, almeno in teoria, avremo a livello personale se desideriamo non essere disturbati dalle fastidiose telefonate ai fini commerciali.

Il nuovo regolamento circa Registro Pubblico delle Opposizioni, attuativo della legge n. 5/2018, che dovrà partire al più tardi entro il 31 luglio 2022, prevede che si debba fornire di nuovo l’adesione per bloccare a tappeto tutte le chiamate telefoniche commerciali. D’altra parte sarà possibile ripeterla anche successivamente, qualora nel frattempo si fossero dati dei consensi che si intendono rimuovere.

[Quel che non si comprende è perché, in ottemperanza al diritto di opposizione previsto dal GDPR, non sia stato imposto sinora che ogni chiamata, da operatore umano o automatica, preveda la possibilità di rifiutare ulteriori telefonate, nel secondo caso per es. mediante la semplice pressione di una cifra sul tastierino del telefono, in analogia al link che permette la disiscrizione nel caso delle email pubblicitarie. E non capisce perché non sia stato imposto un qualche altro sistema per rifiutare gli SMS commerciali e perché, contrariamente al principio di trasparenza e reciprocità, non sia possibile neppure sapere da quale numero provengono. Ndr]

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Ancora sull’analisi dei rischi per i dati personali: gli agenti di minaccia

L’articolo Analisi dei rischi sui dati personali: gli agenti di minaccia a cui prestare attenzione riferisce che Il rapporto ENISA Threat Landscape (ETL), pubblicato dall’Agenzia dell’Unione europea per la cybersicurezza, evidenzia le principali minacce, per le informazioni personali e non, e le loro tendenze, tra quelle avvenute tra aprile 2020 e luglio 2021. Le nove maggiori minacce sono:

  1. Ransomware
  2. Malware
  3. Crittografia
  4. Minacce relative alla posta elettronica
  5. Minacce contro i dati
  6. Minacce alla disponibilità e all’integrità
  7. Disinformazione
  8. Minacce involontarie
  9. Attacchi alla catena di fornitura/approvvigionamenti

Gli agenti di minaccia sono le entità responsabili della minaccia:

  • persone malintenzionate – agenti che operano in modo volontario, interni o esterni all’azienda, che possono agire per interesse personale, su commissione, per vendetta o per ideologia;
  • persone non malintenzionate – agenti che operano in modo involontario, anche in questo caso interne od esterne, che provocano il danno per negligenza, disinformazione, mancata formazione;
  • infrastrutture tecnologiche – impianti, attrezzature, connessioni, SW e in particolare l’Intelligenza Artificiale, con cause intrinseche (errori di progettazione o di dimensionamento), oppure dovute alle persone;
  • la natura – incendi, allagamenti, esondazioni, terremoti, uragani, frane, eruzioni, condizioni climatiche, temperatura, umidità, polvere, ecc.
  • agenti diversi che si concretizzano in una stessa minaccia – ad es. un allagamento può derivare sia da un forte temporale, che dalla rottura dell’impianto idrico.

L’identificazione degli agenti di minaccia contribuisce alla individuazione delle minacce e delle misure per contenerle e a stabilire le priorità di intervento, diminuendo la gravità/la probabilità e/o aumentando la rilevabilità.

La valutazione dei rischi è vista dunque con un approccio olistico, con una valutazione a 360°.

[Il buon senso ci porterà a valutare le minacce in relazione all’importanza relativa dei dati da proteggere: considerare la minaccia di un bombardamento in relazione ai dati di contatto di clienti e fornitori può essere eccessivo, di fronte a ben più gravi conseguenze, mentro non lo è per i dati del Ministro della Difesa. Ndr]

[Questo articolo fa seguito agli altri, relativi ai rischi e alle misure di protezione, dello stesso autore (Monica Perego), di cui si è già fornito un sunto in precedenza: La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019, Valutazione dei rischi: il modello basato sugli obiettivi e quello basato sugli scenari, Rilevabilità del rischio nell’ambito della protezione dati e Alcuni approfondimenti sulle misure per la mitigazione dei rischi. Ndr]

Disaster Recovery e Business Continuity, in breve

L’articolo Perdita dati aziendali e personali, cosa si rischia se non si interviene subito ci fornisce alcune definizioni e indicazioni.

Il Disaster Recovery è un ripristino di emergenza effettuato dopo che si è verificata una grave perdita di dati (quale che sia la causa), ciò che comporta tempo e lavoro per ritornare attivi e operativi dopo una catastrofe.

Il Disaster Recovery Plan va redatto per definire i possibili livelli di disastro, identificare le potenziali criticità di un sistema e individuare quali livelli sono cruciali per la salvaguardia del business. Stabilisce inoltre le misure di sicurezza e le azioni da intraprendere in caso di incidente per ripristinare correttamente i sistemi.

La Business Continuity, nell’ambito delle infrastrutture e servizi IT, dipende dal tempo di inattività che si considera accettabile [in un bilanciamento tra i costi per ridurlo e quelli del danno per la mancata erogazione dei servizi; ndr]

Secondo le statistiche, il 93% delle aziende che hanno subito un danno di una certa portata senza possibilità di recupero sono uscite dal mercato entro un anno. Un ransomware che elimina anni di dati ha conseguenze ancor più repentine.

Il Data Breach è “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (definizione del Garante della privacy).

Secondo un istituto di ricerca, l’80% delle violazioni avvenute nel 2020 ha riguardato i dati identificativi delle persone, con in testa il settore sanitario.

La terminologia corretta è importante nell’analisi dei rischi

Monica Perego, autrice dell’articolo Scenario, minaccia, agente di minaccia, vulnerabilità e rischio: il vocabolario per gli addetti ai lavori, che già da tempo ci offre informazioni e spunti per l’esecuzione di una analisi dei rischi, ci fornisce le corrette definizioni dei termini coinvolti in questo argomento.

Dato l’oggetto e la finalità dell’articolo non è possibile trarne un estratto senza omettere parti significative, pertanto l’invito è di leggerlo direttamente in originale, in quanto di indubbia utilità.

La nuova norma ISO/IEC 27002 sui controlli di sicurezza delle informazioni

L’attuale edizione della norma ISO/IEC 27002:2022 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni” sostituisce l’edizione precedente del 2013, con una diversa struttura e con il seguente impatto:

  • i requisiti della ISO/IEC 27001:2013 – paragrafi da 4 a 10, non sono stati modificati;
  • solo i controlli di sicurezza elencati nella ISO/IEC 27001:2013, allegato A, sono stati aggiornati;
  • il numero di controlli è diminuito da 114 a 93;
  • i controlli sono organizzati in 4 sezioni invece delle precedenti 14;
  • sono stati definiti 11 nuovi controlli, alcuni controlli sono stati accoppiati.

I controlli sulla sicurezza delle informazioni prima erano raggruppati per ambito; adesso i controlli sono aggregati in quattro macro-temi che coincidono con i 4 tradizionali pilastri a cui è associata la sicurezza delle informazioni:

  • controlli organizzativi – 37 controlli,
  • controlli fisici – 14 controlli,
  • controlli delle persone – 8 controlli,
  • controlli tecnologici – 34 controlli.

Ad ogni controllo sono stati associati 5 attributi, per consentire ad ogni organizzazione di raggruppare i controlli in modo diversi (viste), soddisfacendo le proprie particolari esigenze. E’ anche possibile definire propri specifici attributi.

Oltre agli attributi, per ogni controllo sono definiti il nome, il testo, lo scopo, una guida ed altre informazioni.

Il “controllo” è definito come “Misura che mantiene e/o modifica il rischio”, secondo la definizione della ISO 31000, prevedendo quindi anche la possibilità per un controllo, di mantenere il rischio senza modificarlo.

La pubblicazione della terza edizione della ISO/IEC 27002 impone adesso, di fatto, una revisione della ISO/IEC 27001: nella ISO 27001 il riferimento all’edizione della 27002 deve essere aggiornato, ma più che altro sarà necessario sostituire i controlli di riferimento dell’allegato A con la serie aggiornata dei controlli allineati a quelli nella nuova edizione della ISO/IEC 27002 e contestualmente aggiornare la Dichiarazione di applicabilità.

A breve c’è da attendersi un emendamento della 27001 per la sola sostituzione dell’allegato A con i controlli nella nuova edizione della ISO/IEC 27002; mentre una revisione completa richiederà parecchio tempo.

[Estratto tratto dall’articolo Pubblicata la nuova norma ISO/IEC 27002 sui controlli di sicurezza delle informazioni; ndr]

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Il totem per controllare l’accesso in ufficio o in fabbrica? Meglio di no

L’articolo L’uso dei dati biometrici sul luogo di lavoro e gli impatti sulla normativa privacy, dopo una disamina di quali dati siano considerati dati biometrici, specie alla luce del GDPR, prende in esame il caso dei totem. Questi, applicati recentemente, in periodo pandemico, per la misura della temperatura e la verifica che sia indossata la mascherina, potrebbero essere utilizzati anche per il riconoscimento facciale. Tale impiego consentirebbe la verifica che abbia ingresso in azienda esclusivamente il personale previsto, senza dover ricorrere ad un controllore umano.

Tuttavia il Garante afferma che il trattamento di dati particolari (biometrici) sul luogo di lavoro è lecito nel momento in cui tale trattamento risulta essere necessario per assolvere obblighi ed esercitare diritti specifici del titolare o dell’interessato in materia di diritto del lavoro, sicurezza sociale o protezione sociale (art. 9.2 lett. b) o quando ciò sia necessario per l’esecuzione di un compito di interesse pubblico o connesso a pubblici poteri. Perciò, mentre si ammette l’uso del riconoscimento facciale per l’accesso a luoghi di lavoro di particolare pericolosità, non lo si ammette nei casi comuni (nel gennaio 2021 è stata avviata un’istruttoria nei confronti di un’azienda che aveva attivato un sistema di riconoscimento biometrico per il controllo delle presenze).

Intelligenza Artificiale contrapposta al rispetto della privacy

L’articolo E’ possibile investire nell’intelligenza artificiale e proteggere i dati dei cittadini?, di cui si dà solo un cenno, evidenzia il contrasto che c’è tra lo sviluppo dell’intelligenza artificiale (AI) e le leggi sulla privacy. Entrambi sono rilevanti ed è necessario portare avanti l’una e rispettare le altre. Tuttavia alcuni aspetti appaiono inconciliabili, in particolare la trasparenza e il diritto all’oblio e, in generale, tendo conto che l’AI è al centro dell’economia dei dati per la sua capacità di influenzare le decisioni umane.

Un sistema di intelligenza artificiale è uno strumento informatico che utilizza algoritmi per generare correlazioni, previsioni, decisioni e suggerimenti. Ai fini della trasparenza, è difficile capire e quindi spiegare come siano prese le decisioni dall’AI, perché l’algoritmo impara da se stesso elaborando nuovi risultati. Riguardo al diritto all’oblio, possono essere cancellati i dati personali utilizzati per addestrare l’algoritmo, ma questo processo conserva comunque la “traccia” che i dati hanno lasciato nel sistema.

Inoltre, i sistemi AI hanno bisogno di molti dati per poter far funzionare l’algoritmo (che si allena, impara, processando più dati possibile), ma il GDPR limita la capacità delle aziende di ottenere, condividere ed usare questi dati.

Ad aprile 2021, la Commissione europea ha pubblicato una proposta di regolamento sull’intelligenza artificiale [tuttavia un compromesso, per sua stessa definizione, è tale che entrambe le parti debbano rinunciare a qualcosa e un sottoutilizzo dell’AI pone la Comunità Europea in condizioni di inferiorità rispetto a stati extraeuropei che verso la privacy non hanno certo remore e possono sfruttare l’AI per condizionare la situazione geopolitica. Ndr].

L’autore cita che le campagne elettorali di Donald Trump, che ha vinto le presidenziali americane, e quella per la Brexit, che ha condotto all’uscita del Regno Unito dall’Unione europea, hanno usato i servizi di Cambridge Analytica, raccogliendo i dati di milioni di utenti Facebook per inviare comunicazioni elettorali personalizzate, allo scopo di influenzarne le intenzioni di voto.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

La mancata rimozione degli account di posta degli ex-dipendenti può comportare sanzioni

L’articolo Può essere sanzionata la società che non disattiva l’email aziendale dell’ex dipendente, ricorda che, così come chiarito dal Garante privacy con ordinanza ingiunzione del 16 dicembre 2021, il titolare del trattamento deve sempre informare preventivamente l’interessato su cosa succederà con i dati trattati con la propria mail nominativa prima durante e dopo l’incarico.

In caso di mancata rimozione dell’account di posta elettronica, un ex-dipendente può sporgere reclamo al Garante, il quale può provvedere alle relative ispezioni e sanzioni amministrative, che vengono aggravate se l’azienda non provvede tempestivamente a rimediare all’inadempienza.

Avete mai pensato che il trattamento di dati personali può avvenire anche “a voce” ?

L’articolo Dati personali e trattamenti verbali: gli impatti sulla tutela della privacy, cui si rimanda per i dettagli, prende in esame la protezione dei dati personali trattati in modo verbale. Pur senza approfondire casi di illecite acquisizione (microspie) o diffusione (comunicazione verbale a soggetti terzi) di dati personali, è da tenere comunque in mente la necessità di adeguare i comportamenti a misure di riservatezza e verifica se gli interlocutori sono autorizzati al trattamento, anche durante le interazioni verbali che hanno per oggetto i dati personali.

La contitolarità nel trattamento dei dati personali

Secondo gli articoli 4, par. 1, nr. 7 e 26, par. 1, del GDPR, sono contitolari del trattamento le diverse parti che determinano congiuntamente le finalità e i mezzi del trattamento di dati personali necessari alla realizzazione di uno specifico progetto.

L’articolo Il contratto di contitolarità: il ruolo, i compiti e le responsabilità del soggetto capofila offre, tra gli altri, l’esempio di un concorso indetto da più pubbliche amministrazioni di un distretto socio-sanitario, per cui vi è una condivisione dei dati, anche di tipo particolare, dei candidati, nonché la determinazione congiunta delle finalità e dei i mezzi del trattamento di dati personali necessari.

Il soggetto capofila, che di solito viene nominato in questi casi, sarà destinatario di specifici obblighi e responsabilità tanto in ambito contrattuale che relativo alla protezione dei dati; mentre per i contitolari dovranno essere delimitati gli obblighi rispetto ai quali devono rispondere autonomamente.

Dovranno essere stabiliti i compiti relativi al Registro del trattamento, alla gestione degli accessi al personale autorizzato, alla fornitura dell’informativa privacy agli interessati [e raccolta dei consensi al trattamento, ndr], alla nomina dell’Amministratore di Sistema, alla nomina dei fornitori Responsabili del trattamento, alla gestione dei diritti degli interessati, all’analisi dei rischi per i dati personali con eventuale redazione della valutazione di impatto (DPIA), all’adozione delle misure tecniche e organizzative per la protezione dei dati, alla supervisione su tutta la gestione del trattamento, alla gestione delle possibili violazioni dei dati.

L’eventuale trasferimento dei dati presso i cosiddetti Paesi terzi, implicherà delicate valutazioni sul filo interpretativo delle numerose successive sentenze e pronunciamenti in merito.

Se un dipendente ruba dati personali è sanzionabile anche la stessa azienda

Secondo l’articolo Poker di rischi per il dipendente infedele che ruba i dati aziendali, il lavoratore che trafuga dati aziendali incorre nei seguenti rischi con conseguenti possibili provvedimenti nei suoi confronti:

  • Il rischio civilistico, che espone alla richiesta di risarcimento del danno;
  • quello disciplinare, per il licenziamento e altre sanzioni disciplinari;
  • il rischio penalistico, per le sanzioni penali per reati informatici e contro il patrimonio aziendale;
  • il rischio privacy, che espone alle sanzioni amministrative del Garante per il trattamento illecito dei dati e violazioni degli obblighi previsti dal GDPR.

E’ da notare che il rischio privacy è corso anche dall’azienda, la quale, oltre che ad essere danneggiata, si trova anche nelle condizioni di poter subire delle sanzioni. Infatti, se sono stati asportati dati personali, è avvenuto un data breach, che risulta da imputare a insufficienti o inadeguate misure di prevenzione per la protezione dei dati stessi. La violazione dei dati personali obbliga il datore di lavoro a denunciare l’accaduto al Garante della privacy (“notificazione del data breach”) e a darne notizia (“comunicazione”) agli interessati [in ragione dei rischi conseguenti per i diritti e le libertà degli interessati e della gravità di tali rischi; ndr].

 

IN BREVE, DALL’ITALIA E DAL MONDO

Garante Privacy e Agenzia per la Cybersicurezza Nazionale insieme

L’articolo Firmato protocollo d’intesa tra il Garante Privacy e l’Agenzia per la Cybersicurezza Nazionale informa che Garante della protezione dei dati personali e Agenzia per la cybersicurezza nazionale opereranno congiuntamente per garantire, con un miglior esercizio delle rispettive competenze, i diritti dei cittadini e la tutela della sicurezza nazionale nello spazio cibernetico.

L’oggetto delle verifiche del Garante nei primi 6 mesi del 2022

L’articolo Garante Privacy, varato il piano delle attività ispettive per il primo semestre del 2022 informa che le ispezioni, affidate a un nucleo speciale della Guardia di Finanza, riguarderanno i trattamenti di dati personali effettuati tramite algoritmi e sistemi di intelligenza artificiale, gli smart toys, i cookie, le app “ruba dati”, i siti di incontri, la monetizzazione dei dati, il commercio di database, l’utilizzo dei sistemi di videosorveglianza e le app per il controllo dei green pass.

I controlli saranno relativi alla correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali trattati.

Ma attenzione, quanto sopra non esclude controlli su altre categorie di trattamento, specie a seguito di reclami degli interessati.

Le pubbliche amministrazioni oggetto di verifica da parte dei garanti privacy

L’articolo Cloud nella Pubblica Amministrazione: indagine coordinata dei Garanti europei informa che con un’indagine, coordinata del Comitato europeo per la protezione dei dati personali, sarà verificato il rispetto del GDPR e saranno promosse le migliori prassi per garantire un’adeguata protezione dei dati personali, presso più di 80 amministrazioni pubbliche che operano in vari settori (come la sanità, il fisco, l’istruzione), incluse le Istituzioni europee, le centrali di committenza e i fornitori di servizi ICT della pubblica amministrazione centrale e locale.

Saranno analizzate, in particolare, le procedure e le garanzie adottate nelle fasi di acquisizione e di utilizzo dei servizi cloud, le problematiche connesse ai trasferimenti internazionali di dati e all’impiego di misure supplementari, nonché la regolazione dei rapporti fra titolari e responsabili del trattamento.

[La notizia riveste interesse anche per organizzazioni private non coinvolte nell’indagine, perché i risultati, che saranno divulgati, potranno contribuire a migliorare la propria gestione dei trattamenti di dati personali e ridurre il rischio di infrazioni nei confronti del GDPR e conseguenti sanzioni. Ndr]

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • A due settimane dal pronunciamento dell’Autorità Garante austriaca circa il fatto che l’utilizzo di Google Analytics sui siti web europei viola il Gdpr, anche l’Autorità francese ha ricalcato tale decisione. C’è da attendersi un progressivo allineamento da parte di tutte le Autorità nazionali europee. Ciò potrebbe provocare una fuga dal sistema di analytics di Google, o comunque favorire gli hosting provider paneuropei che offrono un servizio analogo [o potrebbe finalmente indurre Google a spostare il trattamento entro i confini europei per i clienti che necessitano di soddisfare il GDPR. Ndr]
  • Il Garante della Privacy ha emesso un’ordinanza di ingiunzione nei confronti di un’azienda sanitaria perché il DPO aveva firmato le informative privacy in luogo del titolare del trattamento dati personali. Ciò ribadisce il fatto che il titolare non può delegare le sue responsabilità al DPO, che ha un ruolo di mero consulente.

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys