GESTIONE DEI RISCHI E MISURE DI CONTRASTO

L’Intelligenza Artificiale, strumento per la creazione di attacchi cibernetici

E’ un dato di fatto la proliferazione di attacchi di phishing sofisticati e su larga scala, perpetrati via email con lo scopo di rubare informazioni personali quali sessioni di navigazione, credenziali di accesso, dati bancari, ecc. Questo, secondo l’articolo Così i criminali usano ChatGpt per truffarci, viene realizzato anche da una tipologia di malware silenti, tipo Trojan, difficilmente intercettabili.

Ebbene, una società israeliana di cybersecurity è convinta che i cybercriminali stiano iniziando a sfruttare in serie le potenzialità di soluzioni come Chat Gpt 4 per creare testi molto accurati (in termini di precisione linguistica e di integrazione di codice maligno), tali da rendere più difficoltoso il riconoscimento del phishing e pertanto accrescere il numero degli attacchi che vanno a buon fine.

L’Intelligenza Artificiale, dunque, offre a chiunque abbia intenzioni criminali la possibilità di realizzare un attacco informatico, senza la necessità di essere un tecnico.

La più efficace linea di difesa resta comunque sempre l’accrescimento della consapevolezza e formazione delle persone.

[In definitiva, qualora dal titolo dell’articolo, fosse scaturito qualche dubbio, non è il mero utilizzo di Chat GPT a rappresentare una minaccia, ma il suo utilizzo da parte di malintenzionati; almeno sino a che questo strumento di AI sarà sufficientemente protetto da intrusioni che possano produrre false risposte alle domande effettuate, risposte che è sempre bene valutare attentamente. Ndr]

Una guida per la cyber sicurezza nella catena delle forniture

L’articolo Direttiva NIS 2 e cibersicurezza della catena di approvvigionamento: pubblicato da ENISA il report ‘Good Practices for Supply Chain Cybersecurity’ ricorda che la Direttiva NIS II, relativa alla cybersicurezza europea, si applica principalmente agli organismi di medie e grandi dimensioni che operano nei settori elencati nell’allegato I (“Settori ad alta criticità”, tra cui l’energia, i trasporti e il settore bancario) e nell’allegato II (“Altri settori critici”, tra cui i servizi postali, la gestione dei rifiuti e la produzione di alimenti).

I soggetti che rientrano nell’ambito di applicazione della direttiva sono classificati in due categorie, essenziali e importanti, in funzione di quanto sono significativi per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni.

E’ richiesta l’adozione di misure adeguate e proporzionate per gestire i rischi relativi alla sicurezza dei sistemi informatici e di rete, a partire dalla catena di approvvigionamento. Attacchi alle PMI possono avere un effetto a cascata su soggetti essenziali e importanti, di cui tali PMI sono fornitori.

L’ENISA ha pubblicato il report “Good Practices for Supply Chain Cybersecurity”, che fornisce una panoramica delle attuali pratiche di sicurezza informatica della catena di approvvigionamento, adottate dai soggetti essenziali e importanti dell’Unione europea. Dai dati raccolti emerge un quadro poco rassicurante; il settore bancario è comunque il settore con le politiche di cybersicurezza della catena di approvvigionamento ICT/OT (Operational Technology) più consolidate. Vengono quindi indicate delle buona pratiche, implementabili dai clienti e dai fornitori, nelle aree relative a approccio strategico aziendale, gestione del rischio della catena di fornitura, gestione delle relazioni con i fornitori, gestione delle vulnerabilità, qualità dei prodotti e delle pratiche per fornitori e prestatori di servizi. Tra i suggerimenti:

  • creare una terminologia comune relativa alla cybersicurezza, per evitare ambiguità;
  • porre attenzione alle funzioni nascoste e alle capacità di accesso non documentate (backdoor) nei componenti hardware, che possono non essere individuate nell’ambito né dalle buone pratiche, né in quello delle certificazioni;
  • coinvolgere i servizi di intelligence di stato, per la difesa da attacchi da parte di imprese sovvenzionate da governi ostili, che a fronte di estese risorse godono di una capacità offensiva elevata;
  • condividere le informazioni tra gli stati membri UE, per affrontare nuove vulnerabilità;
  • prevedere, nelle procedure di acquisto, il testing degli asset critici;
  • prevedere la creazione di piattaforme condivise di testing, tramite opportuni finanziamenti.

Uno strumento open-source anti ransomware

L’articolo È italiano il nuovo tool gratuito anti-ransomware che riesce a contrastare fino al 94% degli attacchi informatici informa che l’Università di Bologna e di Arpae Emilia-Romagna rendono disponibile gratuitamente il tool open-source Ranflood, in grado di contrastare i ransomware, con un’efficacia fino al 94% contro gli attacchi informatici.

Questo software gira su Windows, macOS e Linux. Funziona predisponendo delle ‘trappole’, o file-esca, che svelano la presenza di malintenzionati nel sistema e vengono somministrati al virus in modo da sviarlo dai dati veri dell’utente, il quale può così metterli al riparo su un altro dispositivo.

L’Intelligenza Artificiale per il reclutamento: i benefici compensano i rischi?

L’Intelligenza Artificiale trova applicazione nella selezione del personale, offrendo un risparmio di tempo nell’esame dei curriculum vitae, nell’analisi dei profili dei candidati, nella valutazione delle loro competenze, nella previsione dello loro prestazioni future.

Tuttavia, come avverte l’articolo Intelligenza artificiale nel recruitment: i possibili rischi di criteri non neutrali e della profilazione dei candidati, i rischi non sono pochi: una fase di addestramento viziata da pregiudizi determina ingiuste e controproducenti disparità; la profilazione dei candidati produce una reputazione che influisce sulle possibili future applicazioni degli stessi.

Devono essere garantiti i diritti chi chi è sottoposto ad un esame tramite IA:

  • ottenere un riesame della decisione automatizzata, da parte di un soggetto umano
  • avere spiegazioni sulla logica dell’algoritmo e poterle contestare.

La materia è quindi particolarmente delicata e richiede considerazioni etiche, sociali e giuridiche, oltre che naturalmente di privacy [e da questo punto di vista, appare indispensabile una valutazione di impatto; ndr]

Riconoscimento facciale e impronta digitale: sfatata l’idea che siano protezioni sicure

L’autore dell’ articolo Truffe con il riconoscimento facciale: l’importanza della ‘vivezza’ per impedire grossolane falsificazioni delle caratteristiche biometriche raccomanda che i sensori per il riconoscimento facciale siano in grado di rilevare la cosiddetta “vivezza” della caratteristica biometrica. Sono state infatti perpetrate truffe ai danno di correntisti bancari utilizzando la loro immagine.

Avverte anche che pure l’impronta digitale non è sicura, poiché è facile realizzarne una finta se si riesce in qualche modo a procurarsi quella vera.

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY ED ALTRE LEGGI AFFINI

Whistleblowing: siamo preparati a ottemperare alle prescrizioni di legge?

L’articolo Whistleblowing, dal 15 luglio in vigore le nuove regole per le grandi aziende, ricorda che è ormai in vigore il D.Lgs. n.24/2023, in attuazione della direttiva (Ue) 2019/1937 in materia di whistleblowing, per le aziende con oltre 249 dipendenti. Per le altre imprese con più di 50 dipendenti, la scadenza è il 17 dicembre 2023.

[Si rammenta, da precedente articolo L’Italia recepisce in via definitiva la direttiva sul whistleblowing: dlgs in vigore a partire dal 15 luglio 2023, che << Per quanto riguarda i soggetti del settore privato, negli enti con meno di cinquanta dipendenti viene consentita solo la segnalazione interna delle condotte illecite escludendo la possibilità di ricorrere al canale esterno ed alla divulgazione pubblica. >>. Ndr]

La nuova normativa rafforza  le garanzie per i «segnalanti» (i whistleblower), nonché ai c.d. «facilitatori», al fine di incentivare il sistema di segnalazione di azioni che pregiudicano l’integrità dell’ente o l’interesse pubblico.

Per quanto riguarda le violazioni della concorrenza, l’Autorità garante della concorrenza e del mercato ha istituito un’apposita piattaforma per le segnalazioni.

Le imprese devono aggiornare i propri sistemi whistleblowing conciliando la nuova normativa con esigenze interne di efficienza e di scelte tecnologiche (attingendo eventualmente al mercato degli strumenti per la gestione del whistleblowing) per identificare ed utilizzare i canali di segnalazione che devono garantire il requisito di protezione dell’identità. E’ ancora in corso la realizzazione di una una best practice su come ottimizzare la scelta di chi debba essere costituito destinatario delle segnalazioni. Non tutte le segnalazioni, inoltre, possono essere indirizzate agli Organismi di Vigilanza 231, poiché magari non ricadono nella fattispecie del D.Lgs 231 dell’8/6/2001 [questo decreto pone a carico dell’impresa una responsabilità amministrativa/penale in dipendenza di determinati reati commessi da propri amministratori, dirigenti, dipendenti o terzi mandatari qualora realizzati nell’interesse o a vantaggio dell’impresa stessa. Ndr]

Nonostante queste problematiche, il D.Lgs 24/2023 definisce, invece, un sistema sanzionatorio per i contravventori: l’Autorità nazionale anticorruzione (Anac) può applicare sanzioni di tipo amministrativo che variano dai 10.000 ai 50.000 euro.

L’articolo cita la possibilità che certe segnalazioni siano dei “falsi positivi”, in buona o cattiva fede (per interesse personale). L’impresa si trova quindi nelle condizioni di investire risorse per analizzare le segnalazioni stesse e definire se corrispondano effettivamente alla denuncia di condotte illecite.

Il decreto non pone vincoli solo al rispetto dell’anonimato, ma anche riguardo ai tempi di gestione delle segnalazioni.

Dal punto di vista della protezione dei dati personali, che riguardano sia il segnalante che il segnalato, nonché il contenuto stesso della segnalazione, il datore di lavoro, nel definire il canale interno per le segnalazioni, il gestore delle stesse e adeguate misure di protezione, deve agire in ottemperanza ai principi di accountability e di privacy by design, iniziando da una valutazione del rischio.

Secondo taluni, riguardo all’individuazione del soggetto interno a cui attribuire la responsabilità della gestione delle segnalazioni, la soluzione migliore è l’esternalizzazione a terze parti indipendenti e specializzate [da quanto sopra, la maggior difficoltà parrebbe invece l’individuazione del soggetto pubblico cui veicolare le segnalazioni pertinenti; ndr]. Piuttosto, contro eventuali violazioni delle riservatezza, il datore di lavoro dovrà porre molta attenzione riguardo agli incaricati alla gestione delle segnalazioni, in quanto direttamente responsabile, salvo prova contraria.

L’articolo “WHISTLEBLOWING: CONTO ALLA ROVESCIA PER L’ENTRATA IN VIGORE DELLA NORMATIVA” integra il precedente.

Il D. Lgs. 24/2023 in materia di whistleblowing si applica anche alle aziende che nell’ultimo anno non hanno raggiunto il tetto di 50 lavoratori impiegati (a qualunque titolo, anche subappaltatori, tirocinanti e stagisti), se operano nell’ambito dei servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente e sicurezza dei trasporti, nonché se hanno adottato i modelli di organizzazione e gestione previsti dal D.Lgs. 8 giugno 2001, n. 231.

Le condotte illecite segnalabili sono tutte quelle di natura amministrativa, contabile, civile o penale lesive dell’interesse pubblico o dell’integrità dell’amministrazione pubblica o dell’ente privato (es.: sprechi, nepotismo, ripetuto mancato rispetto dei tempi procedimentali, assunzioni non trasparenti, irregolarità contabili, false dichiarazioni, violazione delle norme ambientali e di sicurezza sul lavoro, comportamento non conforme ai doveri di ufficio, quale il mancato rispetto delle disposizioni di servizio, accesso indebito ai sistemi informativi, utilizzo improprio di istituti a tutela del dipendente, quali la malattia, le garanzie e tutele ex legge 104, congedi, permessi sindacali).

Tra gli obblighi, sanzionabili, oltre alla mancata tutela dei segnalanti, dei loro familiari, dei facilitatori e dei terzi coinvolti, vi sono anche la mancata gestione delle segnalazioni, incluse la verifica e l’analisi delle stesse.

Per rispettare i requisiti del D.Lgs sul whistleblowing, le aziende devono dotarsi di adeguate policies ed attivare un proprio canale di segnalazione per garantire, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità della persona segnalante e della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

L’ufficio, interno od esterno, responsabile della ricezione delle segnalazioni deve

  • rilasciare alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;
  • dare seguito alle segnalazioni ricevute, anche mantenendo le interlocuzioni con la persona segnalante e richiedendo anche integrazioni;
  • fornire riscontro alla segnalazione entro ulteriori tre mesi;
  • mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne, con formazione differenziata per la struttura di gestione della segnalazione, il management aziendale ed i dipendenti e collaboratori;
  • adeguare il sistema whistleblowing alla normativa privacy (verifica di informative, registro dei trattamenti, DPIA).

Il whistleblower può effettuare direttamente una segnalazione sull’apposita piattaforma dell’Autorità Nazionale Anticorruzione (ANAC) in presenza di almeno una delle seguenti condizioni:

  • nel caso in cui non sia previsto od attuato, in modo conforme, il canale di segnalazione interno;
  • qualora sia già stata presentata una segnalazione interna non processata o con provvedimento finale negativo;
  • se il segnalante ha fondati motivi di ritenere che se effettuasse la segnalazione correrebbe il rischio di possibili ritorsioni, oppure che la violazione possa costituire pericolo imminente o palese per il pubblico interesse.

Maggiori dettagli sul whistleblowing

L’articolo Whistleblowing: divieti, limitazioni, qualificazioni soggettive e adempimenti per il trattamento dei dati personali fornisce ulteriori informazioni sull’argomento trattato dal D.Lgs 24/2023 e vede con favore il fatto che siano espressi requisiti in modo specifico senza riferirsi vagamente al principi di accountability, se non per gli aspetti più strettamente pertinenti alla privacy. L’articolo esamina alcuni commi del decreto Whistleblowing, come sotto riportato.

  • Si fa espresso riferimento alle leggi e regolamenti relativi al trattamento dei dati personali, dato il notevole impatto su di essi e sulle persone fisiche.
  • E’ vietato raccogliere dati non significativi per il trattamento delle segnalazioni, in conformità con il principio di minimizzazione; pertanto se ricevuti andranno cancellati.
  • Sono poste limitazioni all’esercizio dei diritti degli interessati, qualora questi possano portare pregiudizio nei confronti di altri interessati o altre attività [per l’elenco si consulti il D.Lgs o l’articolo originale]. L’attuazione di queste limitazioni richiede idonee misure organizzative.
  • I soggetti che trattano i dati personali relativi al ricevimento e alla gestione delle segnalazioni sono qualificati come titolari del trattamento dei dati personali e, pertanto, dovranno operare in base ai principi di privacy by design e by default del GDPR, nonché dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione. Dovranno fornire adeguate informativa privacy agli interessati, sia ai segnalanti che ai segnalati.
  • Nel caso in cui vi sia condivisione dei canali per la raccolta delle segnalazioni e della gestione delle stesse, devono essere redatti accordi di contitolarità. Specifici accordi riguardano l’eventuale utilizzo di fornitori esterni.
  • Poiché il trattamento relativo al whistleblowing presenta un rischio elevato per i diritti e le libertà delle persone fisiche, è necessaria l’esecuzione della DPIA [valutazione di impatto – Data Protection Impact Assessment].

Una linea guida per chiarire i requisiti del whistleblowing (D.Lgs 24/2023)

L’articolo Approvate le nuove linee guida dell’Autorità anticorruzione sul whistleblowing informa che l’ANAC ha approvato le “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne.

Queste forniscono Indicazioni sul conteggio dei lavoratori, chiarimenti sulla trattazione delle segnalazioni anonime, precisazioni sulle attività che deve svolgere chi deve gestire le segnalazioni, specie quelle anonime, e condizioni per l’applicazione della tutela dalle ritorsioni.

Sindacati e gestione del whistleblowing

L’articolo Whistleblowing e sindacati: istruzioni per l’uso esamina il D.Lgs. 24/2022 dal punto di vista del ruolo delle organizzazioni sindacali.

L’aspetto principale è che, nella maggior parte dei casi, le organizzazioni sindacali non possono intervenire, in ambito whistleblowing, a proprio nome, ovvero con la propria sigla, ma solo a livello individuale, personale (mentre possono effettuare segnalazioni relative alla privacy, al Garante).

Non possono più effettuare segnalazioni di ritorsioni all’ANAC (per il settore pubblico) o all’Ispettorato del Lavoro (per il settore privato).

Le organizzazioni sindacali devono, invece, essere consultate dalle aziende in merito dalla definizione dei canali di segnalazione e potrebbero, nel caso in cui rilevassero non conformità riguardo al D.Lgs. in questione o riguardo al GDPR, presentare istanza all’ANCA o al Garante, rispettivamente.

Anche i singoli sindacalisti possono, ovviamente in quanto persone fisiche, essere a loro volta whistleblower o facilitatori, anzi singoli sindacalisti potrebbero essere incoraggiati a svolgere il ruolo di facilitatori a sostegno dei segnalanti, purché con tutte le accortezza relative alla protezione degli stessi, dal punto di vista dell’anonimato e di eventuali conseguenti condotte repressive.

Qualora il whistleblower voglia procedere ad una divulgazione pubblica della segnalazione, il sindacato è tra le organizzazioni che dovrebbero fornire il canale di segnalazione, con un idoneo supporto all’interessato.

I trattamenti associati al whistleblowing ricadono nei trattamenti dei dati personali, con tutto ciò che consegue; in ogni caso le organizzazioni sindacali beneficeranno della presenza del DPO (responsabile della protezione dei dati), in quanto per loro tale nomina è obbligatoria.

I dati personali come merce di scambio per l’accesso a pagine web

Diversi siti già offrono la possibilità di accedere ai propri contenuti in cambio dell’accettazione al conferimento dei dati personali dell’utente. L’articolo Paywall, monetizzazione dei dati e il rischio della privacy come lusso per pochi informa che il Garante della privacy ha aperto un’istruttoria per valutare la compatibilità con i requisiti del GDPR.

Non c’è infatti una preclusione assoluta, ma quel che sinora appare non conforme è che l’eventuale consenso venga espresso con un semplice click su un pulsante. In questo caso infatti viene a mancare la granularità del consenso che deve essere informato, consapevole e specifico per ogni aspetto del trattamento, non generico e cumulativo.

Whistleblowing: può essere necessaria la richiesta di consenso al trattamento

L’articolo Il consenso nei trattamenti del whistleblowing cita che il D.Lgs. 24/203 prevede i casi in cui è necessario richiedere al segnalante il consenso per il trattamento dei dati personali.

Questo è necessario quando, per dar seguito alle attività conseguenti la segnalazione, si deve rivelare l’identità del segnalante a soggetti (pur formati ed autorizzati) diversi da quelle previste in base al canale della segnalazione stessa. Ed ancora nel caso in cui la contestazione non sia fondata su accertamenti distinti e ulteriori e la rivelazione del segnalante sia la testimonianza dell’atto illecito, la comunicazione è necessaria affinché il soggetto imputato possa esercitare il suo diritto alla difesa. Tutto ciò non può aver luogo senza il consenso esplicito del segnalante alla rivelazione della propria identità.

Il consenso (da conservare) è necessario anche quando per la segnalazione si utilizza una linea telefonica registrata o altra messaggistica vocale registrata.

Le segnalazioni a voce, “de visu”, dovranno essere verbalizzate ed il segnalante, avente facoltà di rettificarlo, dovrà fornire il consenso e firmarlo.

Il Data Privacy Framework è approvato dalla Commissione UE: quanto durerà?

Il 10 luglio 2023 la Commissione Europea ha approvato la decisione di adeguatezza di cui al titolo dell’articolo, nonostante lo scorso maggio il Parlamento Europeo abbia giudicato le misure Usa insufficienti a garantire la protezione dei dati dei cittadini europei.

In aggiunta, come informa l’articolo Approvato il Data Privacy Framework, la nuova decisione di adeguatezza della Commissione UE per trasferire i dati negli USA, l’Avv. Schrems [già noto per aver fatto invalidare il Safe Harbour e l’UE-US Privacy-Shield; ndr] ha già annunciato di voler presentare ricorso alla Corte di giustizia della UE.

[Quindi attualmente il trasferimento dei dati in USA è legittimato, senza che si debba ricorrere alle “nuove clausole contrattuali standard della Commissione UE”, o al consenso informato ed esplicito degli interessati: Questo dovrebbe riguardare anche i Google Analytics, previa accettazione dei cookie stessi, ma potrebbe essere opportuno attendere un pronunciamento del Garante in merito. Inoltre… quanto durerà? Ndr]

Il Data Privacy Framework non abilita indiscriminatamente tutte le organizzazioni statunitensi

L’articolo Data Privacy Framework: i chiarimenti dei Garanti Ue sul trasferimento dati verso gli Usa informa che l’EDPB (comitato europeo per la protezione dei dati) ha emanato una nota informativa relativa alle implicazioni Data Privacy Framework (DPF), riguardo al trasferimento di dati personali in USA.

Gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE a quelle organizzazioni statunitensi incluse nella lista indicata dal Data Privacy Framework, che è gestita e pubblicata dal Dipartimento del commercio Usa. Quindi per le organizzazioni non incluse in tale elenco, quindi che non dispongono di una “decisione di adeguatezza” al GDPR, sono ancora necessarie clausole tipo di protezione dei dati [le “nuove standard contractual clauses”] o norme vincolanti d’impresa.

Indipendentemente dallo strumento di trasferimento utilizzato per il trasferimento dei dati, si applicano tutte le garanzie messe in atto dal governo degli Stati Uniti nell’ambito della sicurezza nazionale, compreso il meccanismo di ricorso, ed inoltre i cittadini dell’UE, per avvalersi del nuovo meccanismo di ricorso, possono presentare un reclamo direttamente alla propria Autorità nazionale di protezione dati.

L’articolo, avverte che, in ogni caso, la decisione di adeguatezza è soggetta a riesami periodici (almeno ogni quattro anni), il primo dei quali è fissato per il prossimo anno e dai risultati potrebbe essere definita una frequenza maggiore.

Riconoscimento facciale utilizzato in maniera spregiudicata

Per sottolineare la prudenza con cui deve essere affrontato il tema dell’utilizzo di tecniche di riconoscimento biometrico, l’autore dell’articolo È boom del riconoscimento facciale, ma senza rispetto della privacy il baratro è dietro l’angolo cita numerosi casi in cui il riconoscimento facciale è stato utilizzato in maniera ingiustificata.

Tra questi, l’uso per impedire l’ingresso nei diversi locali di una società a chi avesse con essa cause in corso, nonché ai loro avvocati; o per impedire l’ingresso nei supermercati di una catena a chi risultasse avere pendenze con la giustizia.

L’autore fa quindi presente che a differenza di una password, in caso di furto il dato biometrico non è modificabile per ristabilire la sicurezza delle credenziali di accesso.

Dati personali pseudonimizzati e anonimizzati

Da un pronunciamento dello scorso aprile della Corte di giustizia europea, illustrato dall’articolo Corte di Giustizia UE: i requisiti per considerare un dato anonimizzato, si ricava un concetto generale.

L’anonimizzazione dei dati non è un concetto assoluto, ma relativo, nel senso che va visto dal punto di vista di chi li riceve. In pratica, se un’azienda esegue la pseudonimizzazione dei dati (associando un codice all’identificativo e eliminando quest’ultimo) e quindi trasmette la lista così depurata ad un’altra azienda, per questa i dati personali risultano anonimi. [Beninteso, la prima azienda dovrà accertare che la tipologia dei dati trasmessi non consenta di essere interfacciata con dati non anonimizzati provenienti da altre fonti, consentendo così l’identificazione degli interessati. Ndr]

Un’altra indicazione che emerge è che un dato per essere considerato personale necessita sia di essere un’informazione riguardante una persona fisica (come per esempio un’opinione), sia che tale persona sia identificata o identificabile.

EU-US Data Privacy Framework: un gigante dai piedi d’argilla

Il lungo articolo EU-US Data Privacy Framework: un gigante dai piedi d’argilla, di cui qua si dà solo un cenno, afferma la criticità del Data Privacy Framework che riconosce “adeguate” ai requisiti GDPR le imprese statunitensi che si autocertificano secondo tale schema ed a cui quindi è ammesso il trasferimento dei dati personali dall’Europa. La criticità sarebbe dovuta al fatto che le modifiche, rispetto al precedente EU-US Privacy Shield, non soddisferebbero a pieno la protezione dei dati dalle possibili ingerenze dell’intelligence statunitense e la possibilità di tutela degli interessati che ritenessero violata la loro privacy.

L’autore conclude comunque che si sono già persi anni, in cui peraltro gli operatori europei hanno dovuto giocoforza scambiare i loro dati  con gli USA, e che sarebbe l’ora che l’Europa abbandonasse il proprio egocentrismo prendendo atto delle peculiarità dei paesi extraeuropei, anche tenendo conto dell’esigenza di esportare i dati anche nel resto del mondo, come in Cina, India, Brasile, Messico, Cile, Russia, Turchia, Indonesia, Thailandia, Vietnam, Sudafrica, Marocco, Algeria, Tunisia, eccetera.

IN BREVE, DALL’ITALIA E DAL MONDO

Verso l’identità digitale europea delle persone

L’articolo Portafoglio di identità digitale europea: altro importante passo in avanti informa che c’è un primo accordo per la realizzazione di una identità digitale personale europea, sotto forma di un’applicazione mobile pratica e sicura, il che consentirà a tutti i cittadini ed imprese dell’UE di accedere in modo affidabile ai servizi online pubblici e privati in tutta Europa.

Questo rientra negli obiettivi di trasformazione digitale che l’Europa desidera raggiungere entro il 2030, per cui i tempi sono ancora lunghi.

Svizzera: maggior aderenza al GDPR

L’articolo Svizzera, nuova legge sulla protezione dei dati personali in vigore dal 1° settembre 2023 informa che dal 1° settembre 2023 le imprese svizzere dovranno adeguarsi alla nuova legge federale sulla protezione dei dati (nLPD). Questa in linea di massima, dalle descrizioni riportate nell’articolo, contempla argomenti fondamentali del GDPR (chi volesse approfondire può consultare una tabella comparativa). [Quel che sorprende è come nel 2020 la Commissione europea abbia proclamato l’adeguatezza della protezione dei dati personali in Svizzera in assenza dei requisiti che diventeranno vincolanti solo dal prossimo settembre. Ndr]

Prodotti connessi in rete: vi saranno dei requisiti di cyber sicurezza da rispettare

L’articolo Cyber Resilience Act, via libera della Commissione per l’industria del Parlamento UE informa che a Commissione per l’industria del Parlamento europeo ha varato una una proposta (Cyber Resilience Act) per stabilire i requisiti minimi di sicurezza informatica per i prodotti connessi in rete, quali telecamere domestiche connesse, frigoriferi intelligenti, TV e giocattoli, ciò che investe anche la privacy, prima di essere immessi sul mercato.

Le organizzazioni per la tutela dei consumatori europee hanno criticato il fatto che i test di sicurezza non siano svolti in modo indipendente da organizzazioni di terza parte ed hanno invece gradito che i consumatori possano andare in tribunale come gruppo per chiedere un risarcimento nei casi in cui il prodotto che hanno acquistato non soddisfi gli standard di sicurezza informatica.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Garante Privacy: triplicate nel 2022 le ispezioni con oltre 9 milioni di euro di sanzioni riscosse.
  • Cyberattacco all’ospedale Vanvitelli di Napoli: gli hacker chiedono il riscatto; l’Agenzia per la cybersicurezza nazionale collabora per l’analisi dell’attacco e per il ripristino dei sistemi impattati.
  • Svezia: prime sanzioni in Europa per l’uso di Google Analytics, dato il trasferimento di dati personali in USA [cosa che appare quantomeno intempestiva, all’alba dell’approvazione del Data Privacy Framework da parte della Commissione europea; ndr].
  • La Corte di giustizia europea ha sentenziato l’illegittimità di Meta, che ha utilizzato di dati degli iscritti a Facebook, a fronte del loro consenso sulle condizioni generali e quindi sull’uso dei dati e dei cookie, per incrociarli con i dati relativi alle loro attività online anche all’esterno del social network.
  • Sanzionata una società che ha inviato email pubblicitarie senza consenso dell’utente, pur avendovi inserito un un link per disiscriversi.
  • Multa al gruppo Benetton per l’assenza di adeguate misure di sicurezza dei dati personali, per la conservazione senza limiti temporali ai fini di marketing e per la profilazione dei clienti, i cui dati venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.
  • Sono stati divulgati, con tragiche conseguenze, i dati sensibili di 30 mila studenti delle scuole pubbliche di Minneapolis che non hanno ceduto alla richiesta di riscatto di 1 milione di dollari derivante da un ransomware.
  • 300mila euro di multa alla Rinascente per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione mediante l’uso delle fidelity card.
  • L’errata qualificazione dei ruoli privacy costa ad Autostrade per l’Italia una sanzione da 1 milione di euro. Infatti, sia nel contratto con la società che ha prodotto l’applicazione per il rimborso dei pedaggi, sia nell’informativa privacy per gli utenti, Autostrade si è qualificata come responsabile del trattamento dei dati personali anziché come titolare.
  • 20 milioni di dollari di sanzione a Meta, a causa di un’app dichiarata per la protezione della privacy che intanto raccoglieva i dati personali senza darne informazione.
  • E’ stata sanzionata un’azienda per aver effettuato videosorveglianza e monitoraggio della posizione (tramite app con GPS) dei dipendenti, senza adeguata informativa, senza consenso, senza cartelli informativi, senza coinvolgimento sindacale o autorizzazione dell’ispettorato del lavoro e per l’utilizzo di sistemi biometrici (impronta digitale) per l’attivazione di un sistema di allarme.
  • Un provvedimento del Garante ha interessato un data breach riguardante dati sanitari. Se ne trae l’esigenza della comunicazione diretta ed individuale agli interessati per la specificità dei dati appartenenti a categoria particolare, comportante rischio elevato, e per il numero non esorbitante dei casi; mentre si può ricorrere ad una comunicazione pubblica nei casi di cui all’art. 34 del GDPR, tra cui quando la comunicazione individuale imporrebbe uno sforzo sproporzionato [oppure se i dati fossero già protetti contro la lettura in chiaro, o se successivamente alla violazione siano prese misure per scongiurare un rischio elevato per i diritti e le libertà degli interessati. Ndr].

ing. Michele Lopardo

Responsabile Qualità @ Wondersys