GESTIONE DEI RISCHI E MISURE DI CONTRASTO

I tre aspetti da considerare per la protezione dei dati, secondo ISO 27000

In relazione al principio secondo il quale i dati personali devono essere trattati in maniera da garantirne un’adeguata sicurezza (Art. 5 del GDPR), l’articolo Sicurezza dei trattamenti di dati personali e information security: necessari idonei processi organizzativi ripropone sinteticamente i tre aspetti di riservatezza, integrità e disponibilità previsti dalla norma ISO/IEC 27000.

In base alla riservatezza, i dati personali non devono essere disponibili a individui non autorizzati; quindi deve essere definito chi vi può accedere ed eventualmente a quale parte dei dati stessi.

L’integrità riguarda la completezza dei dati e cioè al fatto che questi non devono essere cancellati, né alterati. E’ evidente che questo requisito attiene anche alla stessa disponibilità.

La disponibilità implica, peraltro, anche il fatto che gli interessati e gli autorizzati possano accedere ai dati.

Taluni aggiungono a dette proprietà anche autenticità, completezza e non ripudiabilità, che però possono rientrare tutte nell’ambito dell’integrità. [La ripudiabilità riguarda informazioni che siano state contraffatte rispetto a quelle “genuine” dell’interessato; ndt].

La sicurezza delle informazioni non può essere raggiunta senza la presenza ed attuazione di idonei processi organizzativi.

Siamo pronti ad affrontare una emergenza relativa alla sicurezza dei dati?

L’articolo DPO preparati per affrontare casi complessi e situazioni di emergenza mette in evidenza il ruolo del DPO, chiamato ad affrontare problemi complessi di sicurezza dei dati anche in situazioni di emergenza e cita al proposito l’incendio di un grande data center, l’emergenza covid ed, ultimi, gli attacchi informatici in relazione agli eventi bellici in Ucraina.

Recentemente è stato messo in discussione l’utilizzo del pur rinomato software antivirus Kaspersky, per il quale l’Autorità Garante ha aperto un’istruttoria per valutare i potenziali rischi nel trattamento dei dati personali. Uno specifico articolo riferisce della richiesta del Garante di conoscere nel dettaglio specifici trattamenti su servizi di sicurezza come quelli di telemetria o diagnostici, se i dati siano trasferiti presso paesi terzi (ad esempio nella Federazione Russa) e se vi sono state e da chi richieste di acquisizione di dati di soggetti italiani da parte di autorità governative extra europee. [Ammesso che effettivamente Kaspersky possa essere indotto a comportamenti dolosi, non si vede come in tal caso dovrebbe fornire risposte veritiere. Sarebbe stata invece opportuna un’indagine informatica, quanto più possibile estesa e nell’ambito degli obiettivi sensibili, da parte delle recentemente costituite e rafforzate task force cibernetiche italiane, magari per accertare il perdurare dell’affidabilità di Kaspersky che, nonostante la trasparenza sinora dimostrata, rischia di diventare un’ulteriore vittima della situazione. Ndr]

Proteggere gli accessi fisici, secondo la norma ISO 27001

L’articolo Le misure tecniche ed organizzative per il controllo degli accessi integrate dai controlli ISO/IEC 27001 prende in esame le principali misure tecnico-organizzative di sicurezza della ISO/IEC 270001:2013 che trovano corrispondenza nella ISO/IEC 27002:2022, circa il controllo degli accessi fisici, in relazione alle “aree sicure”.

Queste misure riguardano il divieto, alle persone non autorizzate, di accedere a locali, edifici o locali in cui sono trattati dati personali. Per estensione, l’autore dell’articolo suppone che, oggi, ciò debba essere esteso a dispositivi elettronici quali robot e droni [e ad eventuali server, router, modem, ecc.; ndr].

Le possibili misure tecniche sono:

  • Serrature di sicurezza dotate di chiave master per accesso alla sede/sedi, locali, archivi, armadi, casseforti
  • Sistemi di sicurezza a codice, dotate di smart card/badge, o protetti da caratteristiche biometriche;
  • Sistemi di allarme, rilevatori di movimento e barriere fotoelettriche;
  • Sistemi automatici che bloccano l’entrata a chi non risulta uscito dalla sede/locale;
  • Sistemi di videosorveglianza e videoregistrazione [ma non si dimentichino i requisiti del GDPR e le prescrizioni di legge in materia; ndr];
  • Presenza di delimitazioni fisiche, quali recinti, cancelli ed altri elementi per limitare i confini spaziali;
  • Presenza di sistemi per la messa in sicurezza di porte, finestre, porte/uscite di emergenza e ogni altra possibile via di accesso ancorché inusuale;
  • Configurazione delle aree di carico e scarico in modo tale che il personale addetto alle consegne non possa accedere ad altre parti della sede;
  • Sistemi di schermature magnetiche, pareti fonoassorbenti
  • Aree dedicate e percorsi separati per gli ambienti accessibili al pubblico ed eventualmente ai fornitori (non solo ai responsabili del trattamento).

Le misure definite che utilizzano l’energia elettrica per funzionare, devono essere dotate di batterie tampone ed il loro stato di efficienza deve essere verificato ad intervalli (secondo quanto previsto da uno scadenziario, inclusivo delle sostituzioni), così come deve essere prevista la verifica di ogni altro sistema antintrusione.

Le possibili misure organizzative procedurali sono:

  • Procedure per ingresso, la dimissione, il cambio mansione e le lunghe assenze che contemplano anche la consegna, ritiro, modifica e sospensione dei privilegi accordati
  • Procedura per la qualifica iniziale e dinamica dei fornitori a cui sono assegnati privilegi di accesso ad aree e locali;
  • Procedure per la gestione in forma controllata di chiavi, smart card, badge, telecomandi, identificatori biometrici;
  • Procedure per la gestione di interventi straordinari es manutenzioni, traslochi e azioni di controllo poste in atto con piani dedicati;
  • Procedure per la verifica delle misure tecniche (es. funzionamento sistemi di allarme);
  • Procedure per la segregazione, l’ispezione e l’eventuale presenza di manomissioni del materiale in arrivo ed in consegna prima che il materiale sia spostato nelle aree di scarico e carico e sia prevista la registrazione.

Le possibili misure organizzative di controllo/audit sono:

  • Verifica periodica, per i dipendenti e fornitori, dei privilegi di accesso ad aree e locali sulla base del ruolo ricoperto (verifica nominativo/privilegi in base alla funzione ricoperta);
  • Verifica periodica della correttezza dei privilegi previsti per il personale in base a ruolo ricoperto (verifica funzione/privilegi);
  • Verifica periodica della reale necessità di accesso da parte dei fornitori alle aree aziendali;
  • Controllo a campione, senza preavviso, dei permessi previsti per personale presente in una determinata area/piano;
  • Pianificazione ed esecuzione di audit sulla gestione degli accessi.

Le possibili misure sotto forma di istruzioni da fornire al personale sono:

  • Istruzioni per i visitatori sui corretti comportamenti da assumere all’interno dell’organizzazione, es. divieto di effettuare fotografie e video;
  • Analoghe istruzioni per i fornitori, che hanno la responsabilità di istruire a riguardo il proprio personale;
  • Analoghe istruzioni per i dipendenti sui comportamenti da tenere in presenza di visitatori, ad esempio non possono mai essere lasciati da soli;
  • Obbligo per tutti i soggetti che accedono ad aree e locali aziendali di portare sempre un documento di identità.

Possibili altre misure organizzative sono:

  • Procedure per la gestione dei materiali in uscita (non necessariamente limitata all’hardware);
  • Regole specifiche per alcune aree ad elevato rischio (ad esempio sala CED con divieto di introdurre smartphone o PC non autorizzati);
  • Tenuta sotto controllo delle rubriche degli elenchi con i dati di contatto del personale;
  • Regolamentare le informazioni che i dipendenti e collaboratori possono fornire in merito alla loro presenza sui social professionali;
  • Registrazioni degli accessi alle aree e locali (registro cartaceo/elettronico); identificazione dei tempi e responsabilità per la conservazione di tale registro;
  • Limitazione/annullamento dei badge – senza scadenza – dati ai fornitori, preferire badge con scadenza ad intervalli o badge dedicato per ogni accesso
  • Aree di carico e scarico devono essere accessibili solo a personale autorizzato; deve essere vietato al personale addetto alle consegne di accedere ad altre parti della sede;
  • Nei contratti con i fornitori, che hanno il permesso di accedere alla sede con badge (senza scadenza o scadenze ad intervalli) dell’organizzazione e della regolamentazione dei badge affidati ai propri collaboratori
  • Regolamentazione per
    • presenza di custodi, guardie giurate, personale di sicurezza e di vigilanza;
    • presenza di accoglienza per il controllo e la registrazione dei visitatori, obbligo di esibire un documento di identità o di lasciarlo all’accoglienza, in fase di registrazione;
    • dotare di badge univoco, numerato che potrebbe prevedere anche la fotografia del volto di visitatori ed i fornitori (es. personale impresa di pulizie); il badge deve essere obbligatoriamente esposto;
    • dotare di badge il personale interno all’organizzazione, che potrebbe prevedere anche la fotografia del volto; il badge deve essere obbligatoriamente esposto.

Per quanto possibile tali misure devono basarsi sul principio dei “principio dei quattro occhi” (separatezza delle diverse funzioni, verifiche incrociate, controllo duplice, doppie firme, ecc.).

Le misure definite devono essere documentate, ad esempio nel MOP [Modello Organizzativo Privacy, ndr], ciò non solo per fornire un criterio di audit ma per dare evidenza alle parti interessate, tra cui anche l’organo di controllo e l’Autorità che tali misure sono state pianificate, valutate in termini di efficacia e quindi documentate.

Le misure indicate non si limitano necessariamente alla protezione dei soli dati personali, ma abbracciano l’interezza dei dati, nonché la sicurezza del personale e degli altri asset aziendali (es. protezioni contro il furto).

[Naturalmente la scelta delle misure andrà fatta in relazione alla particolarità ed anche alla quantità dei gradi da proteggere, della dimensione dell’azienda e della sua configurazione e considerando il rapporto costi (di attuazione) – benefici (riduzione dei rischi); ndr]

Una guida illustrata contro il ransomware

Con l’articolo Ransomware, una nuova infografica per imprese e utenti, Federprivacy rende disponibile un file pdf con informazioni basilari relative al ransomware, scaricabile dal link Ransomware: infografica Federprivacy.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

La scelta del fornitore non deve limitarsi a valutazioni dei prodotti e servizi, ma deve considerare anche l’aspetto privacy

L’articolo Contratto di fornitura con protezione ‘doc’ dei dati personali esamina la problematica della privacy vista dalla parte del cliente verso i rapporti con il fornitore incaricato del trattamento.

Per la responsabilizzazione, il titolare dovrebbe aver chiaro il flusso dei dati conseguente la fornitura ed effettuare la scelta di un fornitore tale da garantire un adeguato livello di misure di sicurezza tecniche e organizzative necessarie alla protezione dei dati. Quindi deve definire in quale dei seguenti ambiti rientra il rapporto tra le parti:

  • titolare e responsabile (Art. 28 del GDPR), in genere cliente-fornitore: il primo definisce finalità e mezzi del trattamento e il secondo esegue le sue istruzioni;
  • contitolarità (Art. 26): finalità e mezzi sono stabiliti congiuntamente nel contesto di attività condivise;
  • autonomi titolari del trattamento: finalità e mezzi sono stabiliti separatamente, per i diversi campi di intervento.

Il GDPR impone a titolari e responsabili la sottoscrizione di un contratto o accordo che disciplini ruoli, compiti e rispettive responsabilità circa i trattamenti dei dati personali coinvolti in base al contratto commerciale. Le “Guidelines 07/2020 on the concepts of controller and processor in the Gdpr”, redatte dall’ “European data protection board”, illustrano la forma del contratto o dell’atto giuridico di altra natura da stipulare. L’autore del presente articolo considera questo contratto come atto a sé stante, separato dal contratto commerciale, quantunque collegato a questo come accessorio.

La mancanza di un accordo scritto tra titolare e responsabile può essere sanzionata.

Definizione dei rapporti tra titolare e responsabile del trattamento dei dati personali

L’articolo Diritto di accesso ai documenti e attività di audit presso il responsabile del trattamento esamina alcuni aspetti nei rapporti tra titolare e responsabile esterno della protezione dei dati personali.

La selezione del responsabile del trattamento dei dati personali, da parte del titolare può essere svolta attraverso un audit, ai fini di verificare le garanzie fornite e l’operato svolto.

Devono essere definiti i rapporti tra titolare e responsabile nel contratto, oppure con un “atto di designazione”.

Deve essere regolamentato l’accesso per il titolare alle informazioni prodotte dal responsabile: quali operazioni di trattamento, rischi e le misure di mitigazione intraprese dal responsabile in relazione ai trattamenti effettuati, polizze assicurative eventualmente richieste dal contratto.

Il responsabile ha l’obbligo di comunicare tempestivamente al titolare le informazioni, riguardanti il titolare stesso, relative a:

  • richieste di ispezioni da parte del Garante, delle Autorità Giudiziarie e/o Organi di vigilanza;
  • contestazioni o reclami da parte di interessati al trattamento o soggetti terzi comunque coinvolti;
  • ogni altra informazione che impatta sui dati che il responsabile e sulle misure tecniche e organizzative che mette in campo.

Il responsabile deve supportare il titolare nell’esecuzione dell’audit di 2a parte (con incaricato interno o esterno all’azienda). L’audit può essere deciso in base ad una periodicità, ma anche al verificarsi di eventi pregiudizievoli come un data breach. Le eventuali non conformità dovranno essere trattate dal responsabile, che deve anche definire le conseguenti azioni correttive.

[Il contratto dovrebbe prevedere anche un corrispettivo economico adeguato per il responsabile in relazione a richieste che comportino un effort significativo rispetto al valore della fornitura o servizio erogato. Ndr]

I ruoli di chi interagisce con dati personali, secondo il GDPR

Ogni flusso di dati personali in azienda necessita della sua giustificazione privacy, a partire dalla definizione dei ruoli di mittente e destinatari. Il destinatario dei dati può essere un fornitore (e allora sarà un responsabile esterno) oppure un dipendente (da qualificare come autorizzato) oppure potrebbe essere un soggetto esterno che persegue obiettivi propri (con il ruolo di titolare del trattamento). Ogni opzione ha un adempimento documentale, come il contratto con il responsabile esterno o la designazione dell’autorizzato [leggi anche “incaricato”, ndr] al trattamento, in difetto del quale l’azienda può essere sanzionata, anche pesantemente.

Poiché non sempre si riesce a tradurre in termini pratici i concetti generali ed astratti dei requisiti del GDPR, l’autore dell’articolo Gestione dati personali, a ciascuno un ruolo ‘ad hoc’ propone scelte basate sui pronunciamenti del Garante per la privacy.

Il medico competente, anche interno, è stato ritenuto titolare del trattamento [“titolare autonomo” del trattamento, ndr] (essendo però il datore di lavoro responsabile del trattamento, se il medico si avvale della struttura e delle risorse aziendale per conservare e elaborare i dati).

Il consulente del lavoro è stato qualificato (rispetto al datore di lavoro suo cliente) quale responsabile esterno. Ciò è esteso anche ad altri professionisti e, nel caso in cui la valutazione sia affetta da soggettività, accresce l’importanza di sottoscrivere un apposito contratto tra datore di lavoro (titolare) e professionista esterno (responsabile del trattamento).

Nelle società dotate di organismo di vigilanza, ai sensi del dlgs 231/2001, i suoi membri sono assimilati ai dipendenti e devono essere autorizzati al trattamento a fronte di un atto di designazione e adeguate istruzioni fornite dalla titolarità aziendale.

Il sindacato, in base al principio di cautela suggerito dal Garante, potrà ricevere solo le informazioni, riguardanti i lavoratori, che sono di precipuo appannaggio delle organizzazioni sindacali e, d’altra parte è da inquadrarsi come titolare [autonomo] del trattamento.L’articolo originale fornisce una tabella in cui sono suggeriti i diversi ruoli (titolare, responsabile, autorizzato, interessato), nei confronti dell’azienda dei suoi stakeholders; un’altra tabella riporta alcuni casi esemplificativi.

L’autore fa altresì presente che, in caso di dubbi, per stabilire la titolarità del trattamento basta chiedersi se il destinatario dei dati personali li riceve nell’interesse e per le finalità dell’azienda.

La valutazione di un fornitore deve considerare anche gli aspetti relativi alla privacy se dovrà essere responsabile del trattamento di dati personali

L’articolo Criteri di valutazione e qualifica del fornitore che deve essere inquadrato come Responsabile del trattamento ai sensi del Gdpr affronta la valutazione e la qualifica del fornitore, da parte del titolare, per quanto riguarda l’aspetto del trattamento dei dati personali ai fini della nomina a responsabile del trattamento.

Come previsto dal GDPR (Art. 28), il fornitore deve offrire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a protezione dei dati personali e dei diritti degli interessati. La valutazione, per un fornitore acquisto, dovrà essere ripetuta periodicamente.

Un Sistema di Gestione Integrato dovrebbe prevedere la descrizione dei criteri di qualifica in un’apposita procedura e la documentazione di valutazione dovrebbe essere conservata a riscontro per gli audit o eventuali ispezioni.

Gli elementi qualificanti per un fornitore possono essere:

  • posizione consolidata nel mercato e solida reputazione,
  • certificazioni di qualità (ISO 9001), sicurezza delle informazioni (ISO 27001), sicurezza delle informazioni in ambito dei dati personali (ISO 27701),
  • certificazioni di adeguatezza al  GDPR (schema di certificazione ISDP 10003 [o UNI/PdR 43; ndr]),
  • adozione di linee guida approvate
  • esperienza e referenze nel settore in cui opera il titolare.

Il titolare, a sua volta, può, tra l’altro:

  • richiedere al fornitore la compilazione di un questionario
  • esaminare le competenze del personale, verificare la presenza di un Responsabile della privacy e di un Responsabile della Protezione dei Dati
  • esaminare la documentazione messa a disposizione dal fornitore (procedure, rapporti di audit, rapporti di data breach)
  • effettuare colloqui conoscitivi
  • ricercare informazioni all’esterno (siti, fonti specializzate, Garante per la privacy).

In caso di data breach, è necessario soddisfare i relativi requisiti del GDPR

L’articolo Se il data breach comporta rischi elevati per gli interessati l’avviso sul portale non basta riferisce di una violazione di dati intercorsa presso una banca, poiché un ex dipendente, ancora in possesso delle credenziali di accesso, aveva visionato i profili previdenziali dei suoi ex colleghi. In conseguenza, la banca ha messo un avviso generico sul portale interno. La banca è stata sanzionata (€ 120’000) per non aver specificatamente fornito l’informazione a tutti i singoli dipendenti interessati (incluso chi non aveva più l’accesso al portale).

Si rimarca quindi il concetto espresso dal GDPR (Art. 32) : in caso di violazione con rischio elevato dei diritti o delle libertà individuali, devono essere fornite dettagliate informazioni, specificando la natura della violazione dei dati, i dati di contatto del DPO, la descrizione delle possibili conseguenze del data breach e la descrizione delle misure adottate, comprese quelle volte a minimizzare i possibili effetti negativi della violazione.

Interruzione ed eliminazione di un trattamento sono meno semplici di quanto si possa presupporre

L’articolo Interruzione ed eliminazione di un trattamento di dati personali secondo il principio della ‘Privacy by Design’ puntualizza che l’eliminazione di un trattamento di dati personali si compone di due fasi (a volte realizzabili nello stesso momento, altre in momenti diversi).

Fase di interruzione del trattamento vero e proprio: il titolare non raccoglie più dati afferenti a quel trattamento, ciò che può avvenire per la scelta di non raccogliere più, in generale, i dati relativi a tale trattamento, oppure per interruzione dell’aggiornamento dei dati di un particolare interessato; il trattamento dei dati negli archivi può proseguire in conformità con la “conservazione dei dati” stabilita ed indicata nel registro del trattamento e nell’informativa privacy.

Nel dettaglio questa fase può realizzarsi attraverso

  • comunicazione al DPO [se nominato] e a tutti gli incaricati al trattamento [e agli eventuali responsabili esterni, ndr], da parte del titolare, della decisione di interruzione del trattamento
  • restrizione degli accessi ai dati ai soli incaricati delle operazioni per l’attuale o successiva cancellazione dei dati stessi ed eventuale risoluzione di ulteriori richieste degli interessati
  • aggiornamento del Registro del trattamento ed eventualmente del Modello Organizzativo della Privacy, nel caso in cui il trattamento in questione vi sia citato [per una interruzione generale del trattamento]
  • verifica ed eventuali modifica o eliminazione di misure e procedure afferenti il trattamento [per una interruzione generale del trattamento]

Fase di eliminazione definitiva ed irreversibile dei dati che il titolare conservava, relativi a quel trattamento attraverso:

  • comunicazione al DPO [se nominato] della decisione relativa alla cancellazione dei dati
  • incarico agli autorizzati aziendali di eseguire la cancellazione, a fronte delle procedure previste per una cancellazione sicura
  • [comunicazione agli eventuali responsabili esterni di effettuare la cancellazione dei dati loro trasmessi, salvo ciò avvenga comunque in conseguenza delle azioni svolte direttamente, come in certi casi di dati su cloud; ndr]
  • aggiornamento del Registro del trattamento [per una interruzione generale del trattamento] o redazione di apposito verbale
  • verifica ed eventuali modifica o eliminazione di misure e procedure afferenti il trattamento [per una interruzione generale del trattamento]

L’azienda non può utilizzare come prova i cosiddetti controlli difensivi, se non sono in regola con le leggi sulla privacy

Prescindendo dal caso specifico riportato nell’articolo Controlli sul pc del dipendente: la finalità difensiva non esonera il datore dal rispettare i limiti imposti dalla normativa sulla privacy originale, l’indicazione che se ne trae è che i controlli difensivi, quelli cioè diretti ad accertare la commissione di eventuali illeciti da parte di un dipendente infedele, sebbene non richiedano ai fini della loro legittimità l’osservanza degli obblighi procedurali di cui all’art. 4 dello Statuto dei Lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del Lavoro), soggiacciono comunque agli altri limiti imposti dalla normativa sulla privacy.

In particolare, affinché un controllo difensivo possa ritenersi legittimo, occorre che al lavoratore sia stata fornita una preventiva informativa circa la raccolta dei dati e la possibilità di controllo degli stessi da parte del datore di lavoro, con indicazione della finalità e dei limiti di tale controllo. È necessario altresì che il controllo muova da un fondato e concreto sospetto (documentato) del datore di lavoro sulle anomalie riferibili al dipendente, che le verifiche attengano a dati raccolti dopo l’insorgenza di tale sospetto e che il controllo avvenga previo bilanciamento fra dignità e riservatezza del lavoratore ed esigenze aziendali.

In assenza di tali presupposti, un dipendente licenziato per aver commesso fatti illeciti a danno dell’azienda viene reintegrato dal giudice, che non entra neppure nel merito della colpa, a causa del vizio di forma.

Prime indicazioni per la conformità dei siti internet e servizi digitali

Sono in costruzione le “Linee guida di design per i siti internet e i servizi digitali”, da parte dell’Agenzia per per l’Italia Digitale (AgID), ad uso delle Pubbliche Amministrazioni per la realizzazione o aggiornamento di siti internet e servizi digitali. L’articolo Siti web della Pa: sì del Garante Privacy alle Linee guida AgID riferisce che il Garante per la Privacy ha chiesto che sia considerato anche quanto segue.

In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, deve essere effettuata la valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.

Le informazioni sul trattamento dei dati personali devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente se destinate ai minori.

Circa i cookie e altri strumenti di tracciamento, devono essere seguite le Linee guida predisposte dal Garante (l’informativa del sito deve indicare l’uso di cookie, sia tecnici che di profilazione, o altri identificatori ed acquisire i relativi consensi ove richiesto); inoltre deve essere garantita la piena fruibilità del servizio anche nel caso in cui l’utente non intende prestare il proprio consenso all’accesso ed archiviazione di informazioni sul proprio dispositivo.

Infine devono essere rispettate le regole per il trasferimento dei dati personali nei Paesi Terzi.

Se la pec inviata ad una PA non invia la ricevuta di consegna, l’azienda deve procedere attraverso raccomandata AR

L’articolo La casella Pec ‘piena’ della P.A. non solleva il mittente da responsabilità riporta che una recente sentenza del TAR ha sancito che una se comunicazione inviata via pec alla pubblica amministrazione che non va a buon fine perché risulta piena la casella, il cittadino deve attivarsi al fine di far pervenire la propria comunicazione mediante altri strumenti come, ad esempio, l’utilizzo di una raccomandata con ricevuta di ritorno.

La sentenza tutela quindi le PA e non i cittadini o le imprese, considerando che il mittente viene a conoscenza, tramite messaggio inviato dal sistema, della mancata consegna, mentre il destinatario, che ha la casella piena, non può ricevere alcun avviso in merito. Questo implica la possibilità per il mittente di trovarsi nelle condizioni di mancata comunicazione alla PA entro i termini previsti, se non trasmette la pec con sufficiente anticipo tale da controllare la ricezione della “ricevuta di consegna” (non serve la “ricevuta di invio”), per procedere in caso contrario ad invii documentati alternativi.

Dieci domande (e dieci risposte) da porsi per scegliere un cloud provider

Secondo pregresse considerazioni (di cui all’articolo Quando e perché il cloud provider non può essere un responsabile del trattamento) un provider di servizi cloud poteva essere inquadrati più come titolare autonome del trattamento, piuttosto che come responsabile, per il mancato controllo su di esso da parte del titolare detentore dei dati personali. Oggi non si può invece prescindere dal fatto che il provider sia a tutti gli effetti un responsabile del trattamento [tant’è che negli accordi che propone ai clienti si definisce tale esso stesso; ndr].

Quanto sopra premesso, l’autore dell’articolo Dieci domande (e dieci risposte) da porsi per scegliere un cloud provider propone un set di 10 domande, finalizzate a stabilire se un trattamento di dati personali può essere affidato a un cloud provider.

  1. Quali trattamenti/banche dati portare sulla nuvola? La considerazione dell’importanza dei dati, di quanto possano essere “sensibili”, ne condiziona (in base ai requisiti dell’Art. 25 del GDPR sulla protezione dei dati) l’affidamento ad un provider con rischio di perdita del controllo sui dati stessi.
  2. Quale tipologia di servizio è adeguata all’esigenza dell’organizzazione? La scelta del cloud computing dovrebbe essere compatibile con l’efficienza, l’efficacia e la sicurezza delle attività di trattamento, nonché dell’intera organizzazione aziendale.
  3. Chi è il cloud provider prescelto, dove si trovano il suo stabilimento e i server? In conformità con l’Art. 28, devono essere accertate la solidità, la competenza, la serietà, la puntualità, la compliance e l’affidabilità del provider. Deve essere verificata la compatibilità dell’ubicazione dei data center con gli adempimenti previsti [Capo V del GDPR, ndr] per il trasferimento dei dati.
  4. I trattamenti saranno affidati dal cloud provider a subcontraenti? Il titolare del trattamento deve conoscere ed approvare la catena della subfornitura, in relazione all’identità e affidabilità degli ulteriori responsabili dei trattamenti.
  5. Quanto è (ciber)sicuro il servizio offerto? Sono necessarie evidenze che il cloud provider garantisca l’integrità, la riservatezza, la disponibilità dei dati, nonché la continuità operativa del servizio.
  6. E’ il fornitore del servizio accessibile e trasparente? Il cloud provider deve permette di essere contattato e interpellato ogni volta che sia da affrontare e da risolvere qualsiasi problema relativo al servizio.
  7. Quali garanzie sono prestate dal fornitore a scanso di trattamenti abusivi e/o non richiesti e/o successivi al periodo di conservazione? Il provider non deve poter estendere le finalità del trattamento previste dal titolare e inoltre, al termine del rapporto, deve procedere alla cancellazione di tutti i dati acquisiti nel corso del servizio e comprovarne l’esecuzione.
  8. È disposta un’analisi dei rischi conseguenti alla esternalizzazione del trattamento? Si tratta di un processo quantomeno opportuno da attuare dopo raccolta ed esame dei dati di verifica del provider, prima della stipula del contratto che potrà avvenire a fronte del riscontro di un livello di rischio accettabile.
  9. E’ verificata l’idoneità ed esaustività delle condizioni/clausole del contratto di servizio? Si deve verificare che il contratto di servizio preimpostato dal provider, ed in genere non modificabile, soddisfi i requisiti minimi richiesti dall’Art. 28 [misure tecnico-organizzative per la sicurezza del trattamento, comunicazione di altri responsabili, garanzie circa il trasferimento, impegno alla riservatezza, assistenza al titolare, cancellazione/restituzione dei dati, disponibilità a fornire informazioni/assistenza sul rispetto dei propri obblighi, sulle violazioni dei dati, sulle ispezioni; ndr].
  10. Sono selezionati e formati gli incaricati che gestiranno i trattamenti sulla ‘nuvola’? Il titolare deve fornire agli incaricati tutte le istruzioni necessarie allo svolgimento efficiente e sicuro del servizio di cloud computing.

Lo stesso autore dell’articolo si domanda quanto del suddetto questionario potrà, all’atto pratico, essere soddisfatto: il contratto non è modificabile dal cliente (il titolare), le misure di sicurezza sono dichiarate, ma come verificarle? come accertare se il provider pone in essere altre finalità per il trattamento? come verificare l’effettiva cancellazione? Ci vorrebbero audit di seconda parte [affidati a soggetti esterni competenti, senza la necessità di essere organismi di certificazione accreditati; ndr], attuati in fase pre-contrattuale, durante la fornitura del servizio ed alla fine di questo [e questa è ancora una possibilità più teorica che pratica, non fosse che per l’onere economico; si dovrà comunque verificare nel testo dell’accordo di fornitura la disponibilità del provider a consentire di essere sottoposto ad audit. Ndr].

In ogni caso deve essere esclusa la scelta di un servizio cloud solamente in base alla sua economicità e praticità d’uso.

Registro del trattamento e valutazione dei rischi: condivisione limitata

L’articolo Accesso alla valutazione dei rischi ed al Registro dei trattamenti dà alcune indicazioni di quanto debbano o meno essere condivisi documenti richiesti dal GDPR. 

Il Registro dei trattamenti dovrebbe essere un documento condiviso tra gli autorizzati [o incaricati, ndr] all’interno dell’azienda, in modo da metterli a conoscenza dei suoi contenuti, aumentandone così la consapevolezza e riducendo la probabilità di errori. L’autore dell’articolo afferma anche che i contenuti del Registro non devono essere comunicati all’esterno dell’azienda [salvo presenza di DPO esterno e salvo ispezioni del Garante; ndr].

La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine (anche di tipo organizzativo aziendale), di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Questo tipo di informazioni potrebbe portare gravi rischi se carpito attraverso accessi non autorizzati (carpiti per es. mediante phishing). Per cui il documento di valutazione dei rischi dovrebbe risiedere in un’area non accessibile dall’esterno e magari essere criptato. [Resta il fatto che le informazioni potrebbero dover essere comunicate al titolare del trattamento, su sua richiesta, qualora l’azienda sia il responsabile esterno, nonché alle autorità di controllo; ndr]

Due anni dopo l’invalidazione del Privacy Shield c’è un nuovo accordo sul trasferimento dei dati personali negli Usa

L’articolo Due anni dopo l’invalidazione del Privacy Shield c’è un nuovo accordo sul trasferimento dei dati personali negli Usa riferisce che, a quasi due anni dall’invalidazione, da parte della Corte Europea con la sentenza Schrems, dell’US-EU Privacy Shield, che legittimava i trasferimenti di dati personali tra USA e paesi europei, è stato annunciato, in merito, un nuovo accordo dal Presidente USA e la Presidente della Commissione Europea. E’ stato affermato che il nuovo quadro regolatorio “consentirà flussi di dati prevedibili e affidabili, bilanciando sicurezza, diritto alla privacy e protezione dei dati”.

Tuttavia, secondo l’agguerrito avv. Max Schrems, già artefice dell’annullamento del Privacy Shield e, più recentemente, della dichiarazione di illegittimità dell’utilizzo di Google Analytics sui siti web, l’argomento tornerà all’attenzione della Corte a pochi mesi dalla decisione finale.

 

IN BREVE, DALL’ITALIA E DAL MONDO

Trasferimento di dati personali presso paesi terzi (extra UE): un grattacapo

Un corso a titolo oneroso di ben 4 ore tenuto da un legale esperto di privacy dà l’idea di quanto la disciplina in titolo sia particolarmente soggetta a principi e criteri interpretativi che presentano molte criticità che si incrociano con numerosi adempimenti e istituti previsti dal GDPR. Chi è interessato può consultare direttamente l’articolo Trasferimento di dati personali all’estero in conformità al Gdpr: a maggio un corso di formazione per gli addetti ai lavori.

I codici di condotta per l’adeguatezza al GDPR, per settori di attività

Il GDPR prevede (Art. 40) che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possano elaborare codici di condotta per la corretta applicazione del Regolamento in specifici settori di attività. Questi codici devono essere approvati dall’autorità di controllo competente e pubblicati.

L’Autorità Garante ha pubblicato sul proprio sito istituzionale il registro dei codici di condotta.

[Purtroppo solo pochi settori di attività sono al momento presi in considerazione:

  • Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali
  • Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti
  • Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica

Ndr]

Nell’articolo Pubblicato il Registro dei codici di condotta da parte del Garante per la Privacy ulteriori dettagli in merito ad altre linee guida adottate dal Comitato Europeo per la protezione dei dati (European Data Protection Board).

La difesa del perimetro nazionale da attacchi bellici è costituita anche dalla cybersecurity

Dall’articolo Cosa cambia per imprese e DPO nella cybersecurity e nei trattamenti di dati personali dopo l’ultimo vertice Nato, si apprende che l’aumento al 2% del PIL delle spese militari, attualmente discusso in Parlamento ma che risale ad un impegno assunto già nel 2014 di paesi membri della NATO, non è solo relativo al dotarsi di nuovi armamenti, ma anche, soprattutto per l’italia, ad incrementare le spese necessarie per garantire una cybersecurity efficace e moderna.

Il rafforzamento della tutela dello spazio cyber italiano ed UE, essendo ormai la dimensione cyber il “quinto dominio di guerra”, dovrà comportare un adeguamento legislativo che rafforzi sia il circuito nazionale della cybersicurezza, sia le modalità di difesa di tale circuito, imponendo anche obblighi alle imprese per l’adozione di strumenti di difesa cibernetica delle loro comunicazioni e dei loro servizi digitali, più efficaci degli attuali, nonché una più stretta vigilanza della Agenzia per la Cybersicurezza Nazionale.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Una grande società editoriale richiedeva i propri clienti la copia del documento di riconoscimento, a dimostrazione della propria identità, per accedere ai propri dati, anche nel caso in cui avessero voluto annullare o modificare il loro abbonamento. E’ stata sanzionata per € 525’000 dall’Autorità Garante olandese. [Ciò dimostra ancora una volta quanto sia difficile, col principio dell’accountability, l’applicazione pratica del GDPR: una precauzione per evitare la possibilità che persone non autorizzate, sotto falso nome, carpissero i dati personali altrui o modificassero lo stato dell’abbonamento, si è rivelata essere una colpa tale da essere pesantemente sanzionata. E se si fosse verificato il contrario? Ndr]
  • Sanzionata per 5 milioni di Euro una banca spagnola per avere preimpostato sull’accettazione le caselle dei consensi per ricevere la pubblicità e per autorizzare la banca a comunicare i dati personali anche ad altre società del gruppo ed addirittura imposto un onere di € 5,00 al mese ai clienti che lo rifiutavano.
  • Dopo quelli di Francia e Regno Unito, anche il Garante della privacy italiano ha sanzionato, per ben 20 milioni di euro, la società statunitense Clearview AI che ha messo in atto un monitoraggio di massa, creando profili basati sui dati biometrici, estratti dalle immagini di milioni di italiani, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione. L’interesse del titolare non è certo adeguato a supportare la legittimità del trattamento, tanto più che sono venuti a mancare anche la trasparenza relativa agli scopi e al periodo di conservazione, con lesione dei diritti e delle libertà degli interessati. L’articolo non dice per chi siano stati raccolti e trattati questi dati. Il Garante ne ha vietato la prosecuzione [ma non si sa se abbia richiesto anche la cancellazione dei dati già acquisiti e, ma questo ha valenza generale, non si sa neppure come verranno impiegati i 20 milioni di Euro, ammesso che vengano mai riscossi, sperando che siano destinati ad utilità pubblica; ndr].
  • Un’azienda sanitaria è stata sanzionata per aver prodotto un’informativa privacy errata. Sono stati contestati: la richiesta del consenso (la condizione di liceità dei trattamenti è data dalla finalità di cura), la mancata indicazione del periodo di conservazione dei dati personali, l’indicazione del diritto dell’interessato alla portabilità dei dati (l’ente pubblico non può rinunciare al possesso di dati di pubblico interesse), l’indicazione dell’interesse legittimo quale base giuridica del trattamento (non applicabile da parte di autorità pubbliche nell’esecuzione dei loro compiti).
  • Sanzionato Facebook per 17 milioni di Euro dal Garante irlandese, per misure tecniche ed organizzative non adeguate nei confronti di diversi data  breach occorsi.

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys