Riuniamo anche questo mese gli articoli più interessanti in tema privacy usciti sul sito di Federprivacy. Cliccate sull’indice per andare direttamente al contenuto e ai link agli articoli online originali, cui si può accedere per una più approfondita lettura.

Indice:

  1. La lotta al crimine consente l’accesso alle informazioni personali, ma non in modo generalizzato
  2. Qualche spiraglio per le semplificazioni per le PMI rispetto al GDPR ? Non sembrerebbe
  3. Il seminario ‘Il Data Protection Officer tra regole e prassi’ del 26 febbraio 2021
  4. Aumentare la sicurezza contro la perdita dei dati in cloud: si può, ma costa
  5. Le violazioni dei dati: aspetti e obblighi
  6. Gli utenti sono i primi ad esporre gli account al rischio di violazione dei dati
  7. Meglio non usare WhatsApp e app di messaggistica per l’invio di informazioni riservate
  8. Quando c’è l’obbligo del DPO? Quali sono i suoi compiti e requisiti? Quali certificazioni deve possedere?
  9. La criminalità informatica dilaga: la situazione negli USA
  10. Il riesame della direzione (management review) relativo alla protezione del dati personali
  11. Una piattaforma per la tutela dei diritti circa la privacy degli interessati

 

La lotta al crimine consente l’accesso alle informazioni personali, ma non in modo generalizzato

L’articolo Corte di giustizia Ue: accesso a tutte le comunicazioni elettroniche giustificato solo dalla lotta al crimine organizzato riferisce di una una recentissima sentenza (relativa a normativa dell’Estonia) con cui la Corte Costituzionale europea ha chiarito che l’accesso ai dati relativi al traffico e all’ubicazione conservati dai fornitori di servizi di comunicazioni elettroniche può, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, essere concesso ad autorità pubbliche, purché sempre nel rispetto del principio di proporzionalità, senza una conservazione generalizzata e indifferenziata dei dati.

La corte europea afferma quindi che l’accesso delle autorità nazionali competenti ai dati conservati deve essere subordinato ad un controllo preventivo [leggi “autorizzazione”, ndr ] effettuato o da un giudice o da un’entità amministrativa indipendente a seguito di una richiesta motivata e non può essere affidato allo stesso pubblico ministero che indaga.

 

Qualche spiraglio per le semplificazioni per le PMI rispetto al GDPR? Non sembrerebbe

Sono ancora da scrivere, ci riferisce l’articolo Semplificazione degli adempimenti privacy per le pmi ancora in stand-by, le linee guida mirate per le Piccole e Medie imprese, che in assenza di queste si trovano a dover rispettare per intero [e non potrebbe essere altrimenti] il GDPR, che vale tanto per un piccolo esercizio, quanto per una grande multinazionale, indipendentemente dai livelli di fatturato e di redditività. Il GDPR prevede sì taluni minori adempimenti (la tenuta dei registri del trattamento) per imprese con meno di 250 dipendenti, ma non se sono trattati dati di categoria particolare. Il DPR (considerando 148) prevede anche che, in caso di inadempienze, si possa ricorrere ad un ammonimento anziché ad una sanzione pecuniaria se questa costituisce un onere sproporzionato per una persona fisica, ma ciò si applicherebbe allora solo alle imprese individuali.

Attraverso il Codice della privacy (D.Lgs 196/2003 e sue modificazioni apportate con il decreto di adeguamento al GDPR del 2018 e con varie leggi e decreti nazionali del 2019), si dovrebbero avere disposizioni che vengono incontro alle PMI.

L’art. 154-bis cita che il Garante per la protezione dei dati personali promuove, nelle linee guida di indirizzo riguardanti le misure organizzative e tecniche per singoli settori, modalità semplificate di adempimento degli obblighi per le PMI. Si è quindi in attesa di Linee guida settoriali con le specifiche per le imprese di minori dimensioni.

[Sono già disponibili diverse Linee guida del Garante, che tuttavia “mirano a fornire indicazioni di carattere generale in relazione al trattamento di dati personali in vari ambiti, al fine di garantire la corretta applicazione dei princìpi stabiliti dal Codice”, sono lontane dall’essere documenti sintetici e non sgravano da alcun requisito del GDPR. Ndr]

 

Il seminario ‘Il Data Protection Officer tra regole e prassi‘ del 26 febbraio 2021

Ecco alcuni stralci.

Guido Scorza, dell’ufficio del Garante per la protezione dei dati personali, ritiene che l’introduzione del DPO, da parte del GDPR, sia stata una scelta opportuna, ma si dovrà vedere se questo porterà ad un miglioramento nella reale applicazione delle regole della privacy, o se sarà solo un adempimento formale.

Rocco Panetta, Country Leader di IAPP per l’Italia, afferma che l’introduzione del DPO costituisce un’opportunità per aziende e cittadini e che il PDO, interno o esterno che sia all’azienda, potrà migliorare la tutela e la valorizzazione dei dati personali, se risulterà indipendente, autorevole e competente.

Nicola Bernardi, presidente di Federprivacy, osserva che le attività promozionali nei confronti delle certificazioni per la figura del DPO inducono a pensare che queste siano obbligatorie, mentre per svolgere il ruolo di DPO occorre avere la conoscenza specialistica della normativa e delle prassi sulla protezione dei dati personali. Tuttavia, con una certificazione un’organizzazione indipendente, previa misurazione tramite evidenze oggettive fornite dal candidato, attesta l’effettivo possesso delle competenze richieste

 

Aumentare la sicurezza contro la perdita dei dati in cloud: si può, ma costa

Un articolo di “Intensity journal” (Data protection: quando i dati vanno in fumo) ci ricorda che con l’incendio divampato a Strasburgo nel datacenter di OVH, provider francese di servizi cloud pubblici, tipo AWS o Azure e uno tra i più grandi in Europa, migliaia di server sono stati distrutti e sono andati persi molti dei dati ospitati.

In generale, se un cliente, che si affida a un provider su cloud per archiviare i propri dati e/o per l’utilizzo di macchine virtuali, non ha scelto un grado di protezione elevato, che comporta maggiori costi, in caso di un simile incidente può vedere compromessa la propria attività, con danni proporzionali all’importanza strategica dei dati e delle applicazioni. Amazon Web Services per esempio non dà nessuna garanzia sul funzionamento delle macchine virtuali e nemmeno sui dati salvati in un servizio di database relazionale.

Il maggior livello di protezione si raggiunge distribuendo geograficamente il workload [carico di lavoro] e le copie dei backup, affidandosi a più provider o ad uno che garantisca la duplicazione su data center fisicamente lontani [e magari in nazioni diverse e non appartenenti alla stessa area di influenza, così da diminuire anche i rischi per eventi socio-politici avversi; ndr]. E’ importante poi che il sistema di Data Recovery disponibile preveda tempi di recupero (Recovery Time Objective) bassi, tali da minimizzare l’inattività in caso di disastro. Chiaramente tutto ciò ha un costo.

 

Le violazioni dei dati: aspetti e obblighi

L’articolo Data Breach: quale è la differenza tra un incidente di sicurezza e una violazione dei dati personali? costituisce un sintetico promemoria sull’argomento.

In base all’Art. 4 del GDPR, “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” è da considerarsi una violazione dei dati alla stregua di quelle causate da attacchi informatici esterni. A fronte di ciò, in molti casi l’attivazione della procedura di data breach da parte del titolare del trattamento ha dato luogo a sanzioni amministrative da parte dell’Autorità Garante.

Si ha la distruzione dei dati quando questi non esistono più o non hanno più una forma tale da poter essere utilizzati. La divulgazione di dati personali può avvenire a seguito di accessi illegali o non autorizzati; l’accesso non autorizzato stesso costituisce di per sé una divulgazione. La perdita dei dati si ha quando i dati non esistono più, o non sono comunque più a disposizione  del titolare. Il danno per gli interessati può essere fisico, materiale o immateriale come ad esempio la discriminazione delle persone, il furto d’identità, danni reputazionali, perdite finanziarie, la perdita di riservatezza dei dati personali protetti da segreto professionale ecc.

La violazione dei dati personali rientra negli incidenti di sicurezza dei dati, tuttavia non tutti gli incidenti di sicurezza sono violazioni poiché possono non interessare i dati personali, nel qual caso non si applica il GDPR. Una indisponibilità di dati personali limitata nel tempo può costituire una violazione (e come tale deve essere documentata) se ha impatto sulle libertà e i diritti degli interessati, ma non lo è ad es. se è dovuta a una manutenzione programmata. Le registrazioni possono aiutare il titolare del trattamento a dimostrare all’Autorità di Controllo la propria responsabilizzazione. Il titolare deve infatti notificare tempestivamente le violazioni a detta autorità, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (Art. 33). Se il rischio è elevato, il titolare deve comunicare la violazione anche agli interessati (Art. 34).

 

Gli utenti sono i primi ad esporre gli account al rischio di violazione dei dati

L’articolo Data Breach una questione (anche) di consapevolezza espone prima di tutto una lunga lista di violazioni di dati personali per atti illegali ad opera di pirati informatici, le cui vittime sono sia società che enti governativi. Ai danni diretti del data breach si aggiungono le multe inflitte dalle Autorità di Controllo [e paradossalmente si potrebbe pensare che “non potendo punire i criminali, si punisce la vittima poiché non ha protetto con efficacia i propri beni”, ndr].

Si afferma poi che la più comune causa di ciò è la compromissione di alcune misure di autenticazione, come ad esempio nome utente, password, token, API-key o simili. Ognuno di noi ha troppi account (è stimato che un impiegato in media ne abbia un paio di centinaia). E’ sin troppo probabile che si usino password simili o addirittura uguali: se ciò vale anche per quelle di lavoro, basta che le prime siano violate perché si aprano gli accessi anche agli account aziendali. Allora, da un lato si dovrebbero avere controlli automatici tecnologicamente efficaci, dall’altro deve essere accresciuta la consapevolezza dei dipendenti: no a password ripetitive, deboli o senza scadenza temporale. La gestione delle password aziendali può essere migliorata anche da impostazioni di dominio o di sistema che impongano dei vincoli più sicuri.

 

<bid=”messaggistica-informazioni-riservate”>Meglio non usare WhatsApp e app di messaggistica per l’invio di informazioni riservate

Secondo una statistica di Veritas Technology, riportata dall’articolo Oltre il 70% dei dipendenti utilizza WhatsApp per condividere dati sensibili e informazioni critiche dell’azienda, il 75% dei dipendenti utilizza WhatsApp o altre app di messaggistica istantanea e software di videoconferenza online come Teams e Zoom per condividere dati sensibili e/o per inviare informazioni aziendali critiche. Molte piattaforma sono relativamente sicure, in quanto adottano la crittografia end-to-end; tuttavia, se le aziende non le hanno approvate, il loro utilizzo comporta problemi di non conformità riguardanti le normative sulla privacy, quali il Gdpr.

Si sono già verificati diversi casi in cui aziende hanno subìto la divulgazione di dati personali a causa dell’utilizzo di WathsApp e di piattaforme online, con la conseguenza, tra le altre, di essere sanzionate.

Dall’articolo WhatsApp per condividere dati aziendali riservati, attenti al rovescio della medaglia si evince che la pericolosità del trattamento di dati sensibili con il telefonino deriva sia dalla troppa confidenza che si ha con il suo uso, il che può portare a leggerezza e superficialità, sia alle insidie costituite dalla probabile presenza di app non verificate e potenzialmente o effettivamente pericolose.

Nell’articolo WhatsApp per condividere dati aziendali riservati, attenti al rovescio della medaglia si suggerisce di applicare il seguente decalogo [riportato testualmente], relativo agli aspetti di natura amministrativa e legale:

1) atto di documentazione delle scelte, previo coinvolgimento del Dpo;

2) valutazione di impatto privacy;

3) garanzie contrattuali da eventuale venditore di servizi;

4) trattativa sindacale/procedura amministrativa;

5) sessioni di istruzione e formazione del dipendente;

6) revisione dell’atto di autorizzazione al trattamento;

7) revisione del manuale della sicurezza ad uso degli autorizzati;

8) revisione/integrazione del registro dei trattamenti;

9) aggiornamento del codice disciplinare;

10) verbale di consegna/utilizzo del dispositivo e impegno al rispetto delle condizioni di uso prescritte.

 

Quando c’è l’obbligo del DPO? Quali sono i suoi compiti e requisiti? Quali certificazioni deve possedere?

In merito alla figura del DPO ( Responsabile della Protezione dei Dati – RPD), prevista dal GDR, si possono trovare spiegazioni sintetiche nella scheda informativa “Il Responsabile della protezione dei dati (RPD)” redatta dall’Autorità Garante per la Privacy e, più dettagliate, nelle “Linee guida sui responsabili della protezione dei dati” pubblicate dal Gruppo dei Garanti dell’UE.

L’articolo Data protection officer: obbligo, requisiti, compiti, e certificazioni di Federprivacy fornisce  un riepilogo delle principali informazioni [che si riportano integralmente qua di seguito; ndr].

<<<

DESIGNAZIONE – Devono nominare obbligatoriamente un Responsabile della Protezione dei Dati tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie quando esercitano le loro funzioni giurisdizionali. L’obbligo riguarda anche tutti i soggetti (enti e imprese) che nelle loro attività principali trattano su larga scala informazioni sensibili, relative alla salute o alla vita sessuale, dati genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che non ricadono invece nell’obbligo di legge, possono comunque decidere di dotarsi ugualmente di un data protection officer. Il titolare del trattamento deve comunicare i dati di contatto del data protection officer all’Autorità di Controllo attraverso l’apposita procedura online.

COMPITI – Il Responsabile della Protezione dei Dati, ha il compito di informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell’UE o delle normative locali degli Stati membri relative alla protezione dei dati. Deve poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Su richiesta, deve fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Il Responsabile della Protezione dei Dati funge inoltre da punto di contatto sia con il Garante della Privacy che con gli interessati, che possono rivolgersi a lui anche per l’esercizio dei loro diritti. E’ consentito assegnare al DPO ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi e che questi gli consentano di avere a disposizione il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art.39 del Regolamento Europeo.

REQUISITI – I titolari del trattamento devono designare come “data protection officer” un professionista che possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi. E’ richiesto inoltre che il titolare metta a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

CERTIFICAZIONI – Come ribadito a più riprese dall’autorità, allo stato attuale non esistono titoli abilitanti o attestati formali che determinano l’idoneità di un Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali, specialmente quando sono rilasciate da enti indipendenti di terza parte, costituiscono un valido strumento ai fini della verifica del possesso di un certo livello di conoscenza della disciplina. Come ha chiarito il Garante, tali certificazioni sono sempre volontarie, e non sono mai obbligatorie per svolgere il ruolo di Data Protection Officer, sia che siano basate su schemi proprietari che su norme tecniche pubbliche.

>>>

In merito alle certificazioni, Federprivacy si esprime negativamente circa l’utilizzo della Norma UNI 11697:2017 per la certificazione del Data Protection Officer, propendendo piuttosto per lo schema TÜV/CDP sviluppato da TÜV Italia.

 

La criminalità informatica dilaga: la situazione negli USA

L’articolo Rapporto annuale dell’FBI: +69% denunce per crimini informatici con perdite per oltre 4 miliardi di dollari riferisce che il rapporto annuale sulla criminalità informatica negli Stati Uniti pubblicato dall’FBI rivela un incremento di quasi il 70% delle denunce per sospetti crimini su Internet, che hanno causato perdite per oltre 4 miliardi di dollari.

Tra i crimini più frequenti vi sono le truffe BEC (Business Email Compromise) e EAC (Email Account Compromise). Il furto di identità viene perpetrato maggiormente attraverso lo phishing. Il ransomware è pure pesantemente presente tra i crimini informatici.

 

Il riesame della direzione (management review) relativo alla protezione del dati personali

L’articolo Protezione dei dati e riesame di direzione: un appuntamento strategico per rovesciare l’organizzazione come un calzino presenta due diversi approcci all’argomento i titolo.

Il “riesame della direzione”, previsto sia per i sistemi di gestione (secondo lo schema della ISO 17021), sia nell’ambito delle certificazioni di prodotto, processo o servizio (ISO 17065), costituisce un appuntamento periodico in cui verificare, secondo il principio dell’accountability (responsabilizzazione), la conformità al GDPR. In particolare, si dovrebbe verificare, nel modo più oggettivo possibile, la conformità ai requisiti per la privacy  per la consapevolezza, la pianificazione, l’approccio, l’evidenza e la bontà dei riscontri e il miglioramento continuo.

Prendendo a riferimento il sistema di gestione insito nella ISO 9001, il riesame della direzione è finalizzato ad assicurare la continuità nella idoneità, adeguatezza ed efficacia del sistema stesso e la coerenza con gli obiettivi strategici aziendali. A partire dagli elementi di valutazione, relativi al periodo in esame, scaturiscono le decisioni per correttivi o miglioramenti. La direzione può avvalersi altresì di verifiche ispettive interne.

Tra gli oggetti del riesame vi è senz’altro la protezione dei dati. I punti chiave riguardanti il sistema sono i seguenti:

– adeguamento alle novità normative,

– individuazione e registrazione dei trattamenti dei dati personali,

– responsabilizzazione delle varie funzioni nell’organizzazione,

– formalizzazione di procedure,

– analisi e valutazioni dei rischi,

– adozione di misure adeguate.

Ed inoltre, operativamente, la principali verifiche riguardano:

– inadempimenti,

– inefficienze,

– violazioni di norme interne,

– verifica dell’amministratore di sistema,

– istruzione del personale,

– incidenti della sicurezza.

La difficoltà può consistere nell’inserire nel sistema di gestione i requisiti del GDPR, che non sono orientati a tale schema.

Non volendo importare nel sistema qualità le richieste del regolamento sul trattamento dei dati personali, si può ricorrere allora ad un altro tipo di schema, quale l’ISDP 10003:2020. Questo non si prefigge di assicurare la conformità a un sistema di gestione, bensì che i prodotti e servizi del sistema di gestione siano conformi al GDPR. In questo caso è previsto che il titolare e il responsabile del trattamento dei dati personali riesaminino, con cadenza almeno annuale, l’applicazione e l’efficacia delle politiche adottate e le tengano sotto controllo attraverso audit.

Lo schema ISDP non potrà inserirsi in un sistema di gestione, ma ha il vantaggio di presentare i requisiti in termini operativi.

In ogni caso, difficilmente la direzione aziendale o il titolare avranno la possibilità di effettuare in prima persona tutte le verifiche previste e dovranno, quindi, delegarne parti anche significative, pur mantenendo il loro impegno diretto sui punti chiave ed in considerazione della loro accountability.

 

Una piattaforma per la tutela dei diritti circa la privacy degli interessati

[In riferimento all’articolo La tutela dei diritti dell’interessato: il progetto NOMYD, si omette la lunga trascrizione dei diritti degli interessati, ai quali il GDPR dedica be 12 articolo (Capo III), per riferire direttamente del progetto NOMYD; ndr].

E’ online dal 15 marzo scorso, sul sito www.nomyd.eu, una piattaforma gratuita per la difesa dei diritti dell’interessato, attraverso la quale è possibile inviare le proprie richieste a chi gestisce i propri dati, oppure inviare direttamente un reclamo al Garante. Ma la piattaforma si rivolge anche ai titolari del trattamento che necessitano di un supporto per la gestione delle richieste.

Gli esperti cercheranno inoltre di favorire la composizione bonaria delle controversie, in modo da sgravare il lavoro dell’Autorità garante.

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys