RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

La norma ISO 27001 per integrare privacy e cybersecurity

Si riporta l’articolo Cybersecurity e privacy: due elementi inseparabili per una difesa dei dati completa, l’ennesimo sull’integrazione di privacy e cybersecurity [e c’è da scommettere che non sarà l’ultimo], per aggiungere a precedenti informazioni che, secondo l’autore, la norma ISO 27001 (e la 27701) potrebbe legare in una struttura coerente gli aspetti legali e tecnologici della protezione dei dati e della cybersecurity. Quest’ultima rientra ora in un quadro giuridico a fronte della Direttiva NIS 2 sulla sicurezza delle reti e dei sistemi informativi, entrata in vigore nel gennaio 2023 e applicabile agli Stati membri dell’UE.

L’autore auspica inoltre programmi di formazione congiunta, in cui gli addetti IT si istruiscono sui requisiti privacy e gli incaricati privacy possano avere una formazione di base su terminologie e tecniche IT. Si spinge addirittura a ipotizzare la creazione di un ruolo professionale che faccia da congiunzione tra DPO e tecnici IT, avendo una preparazione multidisciplinare sia in materia di diritto che di informatica.

[Non si ritenga tuttavia che la ISO 27001 esaurisca i temi privacy, né che la 27701 corrisponda esattamente al GDPR; ndr]

La cybersecurity è una materia trasversale alle varie competenze aziendali

L’articolo Nel mondo iperconnesso le competenze trasversali in materia di protezione dei dati non sono un lusso ma una necessità evidenzia la necessità che la privacy by design non sia solo un’incombenza per i DPO e gli altri responsabili del trattamento dei dati personali, bensì coinvolga altri vertici aziendali, come i CEO (chief executive officer – amministratori delegati), che devono considerare la protezione dei dati personali nella strategia e nel modello di business aziendali, e i CISO (Chief Information Security Officer), che devono garantire robusti meccanismi di cybersecurity.

Bandi e contratti redatti dalle scuole: occhio alle clausole privacy

Si riporta il riferimento all’articolo Appalti nelle scuole a rischio privacy: tocca al dirigente scolastico verificare anche che i riferimenti normativi siano giusti, a pro di chi ha responsabilità in ambito scolastico, in quanto viene fatto presente che “nei bandi di gara le scuole devono inserire le corrette clausole privacy: sia quelle relative al procedimento di gara sia quelle relative al successivo svolgimento del rapporto contrattuale con l’aggiudicatario”. A tal fine, i dirigenti dovrebbero avvalersi dell’opera del responsabile della protezione dei dati (DPO).

Il testo originale dell’articolo illustra poi dettagli relativi all’informativa privacy da inserire nei bandi di gara e a quella per i contratti.

O paghi o ti profilo: l’ultimatum di Facebook e Instagram può violare la legge

Sembra che i social di Kruckenberg vogliano adottare la formula del “clear consent”, cioè dell’imporre un canone agli utenti che non desiderano essere profilati.

Ci sono da attendersi conseguenze legali nei confronti della piattaforma META e già si sono mossi alcuni Garanti nazionali, nonché l’ormai famoso avvocato Schrems (per la causa vincente contro l’US-EU privacy Shield ed altre analoghe). Infatti, una formula adeguata di consenso dovrebbe prevedere anche la possibilità di continuare ad usufruire gratuitamente del servizio pur non aderendo alla profilazione.

Da una parte, si potrebbe considerare che anche i dati hanno un controvalore economico e che quindi questo possa essere barattato per la fruizione di un servizio. Dall’altra, però, si potrebbe pensare che la rete “perfetta” dovrebbe essere uno strumento neutrale di libertà e non discriminatorio.

[Staremo a vedere. Da pochi giorni il “clear consent” è stato applicato anche da Libero Mail. Anche volendo considerare ciò legittimo per nuovi utenti, si privano quelli che ormai hanno da anni il proprio indirizzo su questa piattaforma (che non consente neppure il reinoltro della posta su altre piattaforme) della scelta di affidarsi ad altri provider, se non vogliono perdere le comunicazioni da parte della moltitudine di persone e di account che ormai conoscono ed utilizzano tale indirizzo. Ndr]

Con il Regolamento DORA, la cyber security per entità finanziarie e loro fornitori ICT diventa un obbligo

L’articolo Il Regolamento DORA: uno strumento che rafforza cybersecurity e privacy nell’UE ricorda che il 17/01/2025 sarà esecutivo il  Regolamento UE 2554/2022 “Digital Operational Resilience Act” (DORA), che impone criteri e strumenti a difesa continua della resilienza delle entità finanziarie e dei loro fornitori ICT e definisce, inoltre, una sorveglianza centralizzata da parte delle autorità di vigilanza europee, coinvolgendo anche la BCE, ENISA (European Union Agency for Cybersecurity) e le autorità nazionali competenti. Le autorità di vigilanza europee sono EBA [European Banking Authority], ESMA [European Securities and Markets Authority] ed EIOPA [European insurance and occupational pensions authority].

Poiché i servizi finanziari riguardano in buona parte le persone fisiche, il rafforzamento della sicurezza informatica riguarderà anche la privacy. L’estensione del Regolamento ai servizi ICT esterni alle entità finanziarie dovrebbe implicare una maggior cyber security anche per altre organizzazioni fruitrici di tali servizi.

Con il Regolamento DORA i fornitori ICT delle entità finanziarie saranno soggetti alla supervisione, circa la conformità ai requisiti richiesti per la sicurezza delle informazioni, da parte sia di queste che delle autorità di vigilanza europee e nazionali.

Le entità finanziarie dovranno, in modo proporzionale alla loro dimensione, definire i processi ICT e di gestione del rischio, con definizione ed attuazione di politiche e procedure di business continuity con backup e disaster recovery, di gestione delle crisi con comunicazioni alle parti interessate nel caso di incidenti ICT e di formazione obbligatoria del personale. Quest’ultima potrà essere rivolta dalle entità finanziarie anche ai loro fornitori di servizi ICT.  Per migliorare la sicurezza informatica, le entità finanziarie dovranno apprendere dagli incidenti, inclusi quelli esterni al loro perimetro e, d’altro canto, dovranno condividere con le autorità europee gli incidenti interni più rilevanti ed eventualmente le minacce più significative. Il Regolamento prevede anche l’eventualità di impostare meccanismi di condivisione delle informazioni e delle analisi delle minacce informatiche anche fra le stesse entità finanziarie.

Le entità finanziarie dovranno sottoporsi periodicamente a test di resilienza, anche sotto la forma di penetration test almeno triennali (eventualmente secondo il framework TIBER-EU), ciò che permetterà di misurare la tenuta del perimetro.

I fornitori ICT dovranno soddisfare appropriati standard di sicurezza delle informazioni, poiché le loro criticità si possono riflettere sulle entità finanziarie, le quali, per questa ragione, dovranno prevedere requisiti contrattuali per monitorare le attività dei fornitori (Art. 30 del Regolamento DORA) e predisporre strategie di uscita, qualora venissero a mancare servizi o funzionalità strategici.

Le Autorità di vigilanza europee, con la collaborazione di quelle nazionali, dovranno definire i fornitori di servizi ICT da considerare critici, in base alla portata dei servizi stessi. Potranno svolgere una sorveglianza documentale e/o mediante indagini e ispezioni e potranno comminare “penalità di mora” ,in caso di ritardi sull’applicazione dei provvedimenti da loro richiesti. Le (sole) autorità nazionali competenti potranno anche infliggere sanzioni amministrative, proporzionate e dissuasive. Le autorità europee e quelle nazionali sono autorizzate a trattare i dati personali ai fini dell’adempimento degli obblighi e doveri previsti.

Nuovi regolamenti… forse troppi

L’articolo Nuovi regolamenti dell’UE per la protezione dei dati: le sfide sulla compliance e sulla cybersecurity, in riferimento alle nuove recenti leggi sui servizi digitali (DSA), sul mercato digitale (DMA), sui dati (Data Act) e sulla governance dei dati (Data Governance Act), ammette gli intenti di creare un mercato digitale equo, basato sulla tutela del singolo, limitando il potere delle big tech (che creano e possiedono le infrastrutture e le tecnologie) e di favorire la competitività regolando la condivisione dei dati.

Tuttavia viene manifestata quantomeno perplessità di fronte all’iperproduzione normativa, pur dovuta al susseguirsi di innovazioni tecnologiche. Le conseguenze sono, per le imprese, una continua corsa agli aggiornamenti, dovuti anche alle interpretazioni e agli aggiustaggi che si susseguono, nonché a linee guida [che difficilmente sono disponibili al momento della pubblicazione delle norme, ndr]. Questo è particolarmente gravoso per le aziende medio piccole, in quanto sarebbe necessaria la cooperazione (non scontata) di diversi professionisti con competenze ed esperienza in campi quali quello legale, quello informatico e quello organizzativo.

L’Intelligenza Artificiale richiede un’attenzione particolare alla privacy

L’articolo Sistemi di Intelligenza Artificiale a misura di privacy afferma che, fornendo servizi gestiti da sistemi di IA, si devono osservare le disposizioni del GDPR. E’ necessario anche controllare di continuo sia le disposizioni del Garante che la situazione normativa, che sono in evoluzione (ed in ritardo rispetto a quella della tecnica e dell’economia).

Particolare importanza riveste l’esecuzione della valutazione di impatto (DPIA – Data Protection Impact Assessment), che è obbligatoria secondo l’Art. 35 del GDPR, in quanto l’IA è una nuova tecnologia. E’ obbligatorio, inoltre, chiedere il parere al Responsabile della protezione dei dati (DPO), che quindi deve essere stato nominato, come previsto dall’Art. 37, a causa dell’elaborazione massiva di dati personali.

Contro la diffusione di dati, se c’è la possibilità di una circolazione dei dati, è indispensabile una fase di controllo umano.

La DPIA deve contenere una descrizione sistematica, non sintetica, dei trattamenti previsti e delle finalità del trattamento e deve essere disponibile per gli interessati una descrizione analitica del sistema.

Devono essere valutate la necessità e la proporzionalità dei trattamenti in relazione alle finalità. I dati acquisiti devono quindi essere effettivamente necessari, non solamente utili.

E’ spinosa, ai fini del rispetto di quanto sopra, la materia dell’addestramento dell’IA. Questo processo non consente di distinguere tra i dati necessari e quelli solo utili, quindi, per rispettare il principio di proporzionalità, si deve almeno definire un periodo finito di conservazioni dei dati per l’apprendimento.

La DPIA deve contenere l’analisi dei rischi, le misure di prevenzione e un piano di intervento per rimediare ai possibili incidenti. Oggi sono note le categorie di rischio relative ad inesattezze, discriminazioni e pregiudizi; ma certamente ne sorgeranno altre, sempre più difficili da gestire.

Ai fini di assicurare la base legittima del trattamento, deve essere effettuata anche l’analisi del legittimo interesse (LIA – Legitimate Interest Assessment). Il legittimo interesse può essere invocato dagli operatori privati solo se con l’IA non vengono prese decisioni interamente automatizzate (senza intervento umano), altrimenti altre basi giuridiche possono essere necessità contrattuale, copertura con norma di diritto, consenso esplicito. Per il legittimo interesse è necessario anche che i dati personali vengano cancellati a fine ciclo di addestramento dell’IA. Se poi l’IA tratta dati sensibili, biometrici o genetici, arrivando a decisioni automatizzate, si deve raccogliere il consenso esplicito dell’interessato o si deve perseguire un interesse pubblico rilevante, mettendo in campo misure  di protezione rafforzate.

Potrebbe essere opportuna, per dimostrare l’accountability del Titolare, la pubblicazione, comunque non obbligatoria, di una sintesi o delle conclusioni della DPIA.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

La norma ISO 22301 per assicurare la resilienza della gestione aziendale

L’occasione del corso, di cui al titolo dell’articolo Corso di formazione operativo su business continuity e norma ISO 22301:2019 a supporto della protezione dei dati personali, organizzato da Federprivacy per il 21/09/2023, evidenza che la norma UNI EN ISO 22301-2019 “Sicurezza e resilienza, sistemi di gestione della continuità aziendale” può aiutare efficacemente il titolare del trattamento dati personali ad “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”, agendo sulla gravità o sulla probabilità degli incidenti, come richiesto dall’Art. 32 del GDPR.

Nessuno può considerarsi al riparo dalla possibilità di essere spiato tramite il proprio smartphone

L’articolo Con il trojan low cost chiunque può violare la vostra privacy spiandovi attraverso lo smartphone ci avverte che chiunque a livello aziendale o privato può essere soggetto ad essere spiato da applicazioni installate sul proprio cellulare e che ormai queste sono acquistabili online a pochi euro (senza neppure bisogno di cercarle nel dark web). Possono essere installate a nostra insaputa, da un malintenzionato che è venuto in possesso del nostro cellulare anche per pochi minuti, o da noi stessi tramite la ricezione di un messaggio o perché abbiamo volontariamente caricato una app che si presentava con altri scopi (magari quello di tenere sotto controllo i figli o i genitori anziani).

I sintomi possono essere vari: la batteria che si scarica più velocemente, l’apparecchio che funziona più lentamente o si scalda sensibilmente, oppure un aumento ingiustificato del traffico dati. Ma potrebbe non esserci alcuna anomalia apparente.

Un buon antivirus non è sufficiente a metterci al sicuro e, di fronte a certe applicazioni spia, non lo sono neppure sofisticati e costosi software professionali. Salvo ricorrere ad un apposito box che emette costantemente interferenze acustiche artificiali e impedisce che ci ascoltino tramite il microfono del cellulare mentre non lo stiamo usando, non resta che la prevenzione, evitando quelle azioni, di cui sopra, che possono provocare installazioni indesiderate. [Non si vede come tale box risolva il problema quando il cellulare non vi è inserito; ndr]

Se l’azienda subisce un furto di dati personali, ne risponde economicamente nei confronti dell’interessato

L’articolo L’interessato può chiedere i danni all’impresa che ha subito un cyberattacco con esfiltrazione dei suoi dati personali informa che, in riferimento al GDPR, la Corte di Giustizia UE ha espresso il parere di cui al titolo dell’articolo stesso, significando che per avanzare una richiesta risarcitoria, non c’è bisogno di aspettare un effettivo furto dell’identità (bastando il furto dei dati).

Cybersicurezza, urgente correre ai ripari per le imprese italiane

L’articolo Cybersicurezza, urgente correre ai ripari per le imprese italiane riporta che, secondo un report di Deloitte , il 98% delle imprese italiane intervistate ha subìto almeno una violazione informatica nell’ultimo anno, con danni gravi o estremamente gravi in circa 2 casi su 3. Di conseguenza, due terzi del campione italiano prevedono di aumentare i propri investimenti in cybersecurity.

Le conseguenze delle violazioni informatiche non si limitano alla perdita di fatturato, ma possono comportare sanzioni, per inadempienza rispetto ai regolamenti sulla protezione dei dati, e possono ridurre le quote di mercato per diminuzione della fiducia da parte della clientela.

E’ evidente che integrare la cybersecurity all’interno delle strategie aziendali migliora l’efficienza nella gestione delle priorità di business sotto il profilo del risk management. Ciò consente inoltre di adattarsi prontamente all’evoluzione del contesto competitivo. E’ interessante apprendere che 9 i dirigenti italiani su 10 dichiarano come le questioni legate alla cybersecurity siano regolarmente all’ordine del giorno del loro consiglio di amministrazione.

La cybersecurity dovrebbe entrare, con un approccio culturale, in tutte le attività aziendali:  nello sviluppo della strategia, nella pianificazione, nell’avvio di nuove iniziative di trasformazione digitale, nella progettazione di nuovi prodotti e servizi, nel coinvolgimento di terze parti nel proprio ecosistema e, infine, nella gestione delle professionalità.

Deloitte sostiene che un approccio cyber-first può anche “agevolare le organizzazioni nel percorso di conformità rispetto alle nuove normative, come nel caso del Regolamento Dora per il settore finanziario”.

Le imprese italiane vedono l’impiego della cyber risk soprattutto nella gestione del trattamento dei dati personali particolari e nel monitoraggio della sicurezza dei propri partner e fornitori.

La mancanza di esperienza in cybersecurity richiede che le aziende, da un lato, si avvalgano della collaborazione di esperti e, dall’altro, attuino programmi di formazione in materia per ill proprio personale.

La sicurezza economica europea si fonda sulla sicurezza informatica

L’articolo Sicurezza economica UE: Intelligenza Artificiale e tecnologie quantistiche ritenute ‘settori critici’ anche per la tutela dei diritti umani, al cui testo originale si rimanda, fornisce una panoramica sulla raccomandazione dello scorso ottobre della Commissione europea circa un approccio strategico globale alla sicurezza economica nell’UE. I settori in oggetto sono:

– i rischi per la resilienza delle catene di approvvigionamento, compresa la sicurezza energetica;

– i rischi per la sicurezza fisica e la cyber sicurezza delle infrastrutture critiche;

– i rischi connessi alla sicurezza tecnologica e a fughe tecnologiche;

– i rischi di strumentalizzazione delle dipendenze economiche o di coercizione economica.

Nessuno è al riparo dai data breach

Venerdì 17 novembre 2023, FEDERPRIVACY (l’associazione di categoria che si propone di rappresentare tutti i professionisti della privacy e della protezione dei dati) ha comunicato ai propri iscritti di aver subìto un attacco informatico, che ha avuto come conseguenza la violazione dei loro dati, i quali fortunatamente sono solo di contatto e relativi ad informazioni professionali.

L’attacco è iniziato nei giorni precedenti: il 13 novembre il sito dell’Associazione si presentava illecitamente modificato con una pratica che è chiamata defacing, ossia “sfregiare”, “deturpare”,  e riportava un messaggio di Z0RG leader di Alpha Team, la cyber gang responsabile del breach di sicurezza e del furto di alcuni database e backup. 

L’attacco non solo è stato portato al sito dell’Associazione, ma ha coinvolto anche i profili Instagram e Linkedin di Federprivacy, nonché i profili social dello stesso presidente Nicola Bernardi.

Il 16 novembre il sito di Federprivacy è tornato poi disponibile. Per dovere di cronaca, riportiamo il link all’articolo L’attacco hacker a Federprivacy non colpisce solo l’associazione, ma l’intera comunità dei professionisti della protezione dei dati redatto da Nicola Bernardi, presidente di Federprivacy,  il 17 novembre.

Nonostante l’assenza di dati di categoria particolare, ma comunque in presenza di un rischio, anche minimo, per i diritti e le libertà delle persone fisiche, FEDERPRIVACY ha informato il Garante della Privacy. Dimostrando trasparenza, ha anche informato gli interessati, pur non essendo elevato detto rischio e per metterli al corrente che, quale misura di sicurezza, ha bloccato le loro precedenti credenziali di accesso all’area riservata del sito web, fornendone di nuove.

Sarebbe semplice fare ironia su quanto successo a FEDERPRIVACY che non è risultato efficacemente difeso dai cyber attacchi, nonostante svolga un ruolo propositivo nei confronti della protezione dei dati personali. Troviamo invece meritevole il processo messo in atto da questa organizzazione che ha evidenziato trasparenza e professionalità. La “lesson learned”, dovrebbe essere che sicuramente devono essere messi in campo tutti gli strumenti, per minimizzare le probabilità di un attacco, e tutti i processi per evitare la perdita definitiva dei dati, per l’individuazione del danno e per il ripristino più veloce possibile dei servizi. Il rischio non può comunque essere azzerato ed è necessario quindi prepararsi agli incidenti con un processo solido e testato, inclusa una comunicazione trasparente verso i propri clienti e partner (nonché verso il Garante della privacy, in caso di data breach, se sussiste un pericolo, anche lieve, per i diritti e le libertà degli interessati). 

Sicurezza delle informazioni e dei dati personali: la conformità documentale non basta

L’articolo Dalla paper compliance alla paper security: i rischi dell’approccio ‘burocratico’ alla sicurezza costituisce un giusto monito, che deve assolutamente essere considerato. In sostanza l’autore evidenzia non solo che la conformità al GDPR non può, ovviamente, prescindere dalla sicurezza dei dati, ma anche che un approccio solo burocratico è inefficace se viene a mancare un efficiente sistema di gestione effettiva della sicurezza informatica. Anzi, la cosiddetta “paper compliance”, come la chiama l’autore, può generare l’illusoria convinzione di essere ragionevolmente al sicuro, mentre ogni vulnerabilità non individuata o non risolta può costituire l’ingresso per cyber attacchi, con effetti a catena anche disastrosi.

Una violazione può coinvolgere dati personali, con danni per gli interessati, esposizione dell’azienda a provvedimenti e sanzioni del Garante, che [per quanto ci possa dispiacere; ndr] considera una colpa non avere messo in atto tutte le necessarie misure tecnico-organizzative per la limitazione delle probabilità e delle conseguenze del rischio. Oltre ai dati strettamente personali possono essere violati [nell’integrità, disponibilità e/o riservatezza; ndr] anche tutti gli altri dati, confidenziali e non, comunque necessari per l’operatività aziendale e/o dei clienti, con conseguenze che possono arrivare alla compromissione del business e della propria presenza sul mercato.

Quindi, a nulla servirebbero adeguate procedure di sicurezza informatica se ad esse non corrispondesse l’esecuzione dei relativi processi. Infatti, come evidenzia l’autore dell’articolo, i cyber criminali analizzano la superficie d’attacco e i suoi punti deboli, senza curarsi di quanto possa essere ben fatta la documentazione dell’azienda.

La gestione degli asset è strategica in generale ed in particolare per contenere i rischi

L’articolo La gestione degli asset, pilastro della sicurezza dei dati e della compliance in azienda parle della gestione degli asset aziendali (Asset Management), che è necessaria per la realizzazione degli obiettivi di business, a partire dalla possibilità, per i vertici aziendali, di prendere decisioni base su corrette informazioni relative alle risorse, a dove queste sono collocate ed a come sono utilizzate. Tutte le persone operanti nella o per l’azienda dovrebbero disporre di procedure, coerenti con il contesto e la politica aziendali, per gestire le proprie risorse, cioè gli asset di propria pertinenza.

Buona parte degli asset aziendali, sono ormai strettamente legati alla sicurezza delle informazioni: dispositivi elettronici, quali PC, laptop, tablet, smartphone [workstation, server, …] e inoltre, informazioni, sistemi operativi, applicazioni, dati e risorse di rete [e i processi critici stessi; ndr].L’autore dell’articolo suggerisce di censire tutte le risorse e tutte le informazioni personali e non personali critiche per il business, inclusi possibilmente i sistemi operativi utilizzati su ciascun dispositivo, e di annotare le informazioni personali sul registro del trattamento dei dati personali (secondo Art. 30 del GDPR).

Gli asset dovrebbero essere gestiti dal personale, con ruoli e responsabilità ben definiti, in relazione agli obiettivi aziendali, al rischio ed ottimizzando le risorse economiche.

Due standard per resilienza e continuità operativa

L’articolo Gli standard ISO a supporto delle attività del Data Protection Officer nella gestione delle emergenze introduce e illustra sinteticamente le ISO 22301 e 22313.

I rischi aziendali possono concretizzarsi e produrre situazioni di emergenza, a fronte di incidenti interni ed esterni. Tra questi ultimi vi possono essere quelli provocati, ad esempio, dal concretizzarsi di minacce quali catastrofi naturali, incendi, problemi alla catena di approvvigionamento, emergenze sanitarie, attacchi ai sistemi informatici. Dal punto di vista della privacy, il DPO dovrebbe promuovere una pianificazione coerente della continuità aziendale anche in caso di condizione emergenziale, per garantire i diritti e le libertà degli interessati.Questo articolo esamina alcune norme con lo scopo di cogliere aspetti utili per il DPO.

UNI EN ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti”:

questa norma aiuta a ridurre al minimo l’impatto di molte potenziali interruzioni, quali le minacce sopra citate, a implementare un un sistema di gestione della continuità operativa per rafforzare la continuità aziendale in caso di crisi e a far conoscere agli interessati [se ci si è certificati; ndr] che sono state individuate le possibili avversità e definite le misure per contrastarle.

UNI EN ISO 22313:2020 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Guida all’utilizzo della ISO 22301”:

questa è una guida (praticamente indispensabile) per l’implementazione della ISO 22301 (che dà indicazioni troppo generiche), fornendo dettagli sull’obiettivo ed il corretto sviluppo operativo di ciascuna clausola. La ISO 22313 si divide in due sezioni principali.

  1. Descrizione delle opzioni strategiche per la protezione delle attività che risultano prioritarie:
    • strategie individuate in base al costo di mitigazione;
    • opzioni per mitigare l’impatto e la durata di un evento in uno scenario avverso;
    • tecniche per valutare le capacità di continuità operativa dei fornitori;
    • tipi di risorse che un’organizzazione deve stabilire e monitorare;
    • strategie per la gestione delle risorse umane e procedure di ricollocazione del personale;
    • tipi di backup;
    • strategie per i cantieri;
    • strategie per strutture e forniture;
    • strategie per i sistemi ICT;
    • strategie per i trasporti;
    • indicazioni per la gestione dei finanziamenti necessari durante un incidente,
    • altro.
  2. Contenuto delle procedure/piani di continuità operativa:
    • cosa includere nelle procedure di comunicazione degli incidenti, continuità operativa, continuità ICT, salvataggio e sicurezza, ripresa delle attività;
    • ubicazione del team di gestione degli incidenti; e, per quanto riguarda l’ICT:
    • procedure per richiamare al lavoro il personale addetto alla ICT o per permettere di operare da remoto;
    • il ripristino dei dati, delle modalità di informazione e comunicazione;
    • accesso ai dati di backup ed acquisto di servizi alternativi, oltre ai relativi supporti;
    • gli obiettivi temporali di disponibilità e la capacità e le procedure di continuità per garantire gli obiettivi temporali definiti.

Il DPO dovrebbe informare e sensibilizzare il titolare e gli incaricati al trattamento dei dati personali,e richiedere l’identificazione dei rischi più probabili, la disponibilità delle risorse necessarie, l’applicazione delle misure pianificate e l’esecuzione di simulazioni corrispondenti e, infine, effettuare audit di verifica. Dovrebbero anche essere analizzati, preventivamente e periodicamente, i fornitori che possono impattare in scenari critici, valutando la loro capacità di resistere o reagire efficacemente alle minacce.

Le norme per la continuità operativa ed i parametri di continuità

Con l’articolo Da una norma ISO le indicazioni per gestire la continuità operativa quando un’emergenza colpisce i dati aziendali, si riprende ed approfondisce l’argomento della continuità operativa trattato dalle norme ISO 23301 e 22313.

 La UNI EN ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti” è la norma per la certificazione di un Sistema di Gestione della Continuità Operativa (BCMS), attraverso cui affrontare le situazioni di emergenza per i dati aziendali.

La UNI EN ISO 22313:2020 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Guida all’utilizzo della ISO 22301“ fornisce indicazioni operative a supporto della norma precedente.

E’ suggerito che Titolari, Responsabili e Data Protection Officer valutino l’impiego di certi requisiti della norma, anche senza procedere con la certificazione [Al di là dell’opportunità per la protezione dei dati personali, un’efficace gestione della continuità operativa risponde anche alle esigenze di sicurezza informatica imposte anche dal Regolamento DORA – UE  2022/2554 (Digital Operational Resilience Act). Ndr]

Per comprendere la norma si deve partire dalle definizioni dei parametri di continuità, suddivisi tra quelli di prestazione e quelli di processo.

Parametri di prestazione (o parametri informatici)

  • RTO (Recovery Time Objective) è il tempo previsto di ripristino delle risorse (in emergenza) per riportare il sistema a condizioni accettabili;
  • RPO (Recovery Point Objective) sono i dati che si prevede di perdere con il ripristino; ad esempio, in ambito informatico, in modo indicativo, RPO corrisponde all’ultimo backup o all’ultima sincronizzazione dei server, comprendendo quelli del sito primario e quelli del sito di disaster recovery, quando previsti.

Parametri di processo

  • MTPD (Maximum Tolerable Period of Disruption) è il tempo massimo durante il quale un processo può non essere disponibile;
  • MBCO (Minimum Business Continuity Objective) sono le prestazioni minime che un processo deve garantire, da cui discendono, in termini quantitativi e qualitativi, le risorse che devono essere rese disponibili; per esempio: persone, impianti, sistemi informatici.

L’RTO deve quindi essere sempre minore dell’MTPD e il Responsabile deve definire e saper attuare le misure necessarie per soddisfare il tempo di RTO in funzione dell’MTPD definito dal Titolare [Nel caso della fornitura di un servizio, l’RTO potrebbe essere stabilito nei requisiti contrattuali; ndr]

[Analogamente, l’MBCO, definendo quali risorse, come minimo, devono tornare disponibili dopo un disastro, serve a stabilire l’RPO, in pratica la frequenza del salvataggio dei dati; ndr]

Le aziende che trattano dati informatici a livello di business [e quelle che forniscono servizi informatici in generale; ndr] possono trarre vantaggio dall’applicazione di un BCMS per i seguenti motivi.

  • Coinvolgimento dei management, cui è chiesta una responsabilizzazione, che comporta anche il coinvolgimento di dipendenti, collaboratori e fornitori.
  • Mantenimento dei livelli minimi di servizio durante un’interruzione.
  • Visibilità e consapevolezza delle minacce, tramite una valutazione approfondita del rischio.
  • Efficaci procedure di risposta e ripristino, per l’intervento tempestivo del team preposto.
  • Maggiore protezione delle risorse e dei profitti, tenendo conto che le interruzioni del servizio possono comportare riduzioni delle entrata ed anche perdita di clienti, oltre ad altre conseguenze economiche nel caso in cui si configuri un data breach.
  • Riduzione dei costi per l’assicurazione e per le penali dovute all’interruzione dell’attività.
  • Reputazione, per la credibilità dell’azienda in funzione delle sue prestazioni, anche in caso di disaster recovery.
  • Conformità legale, in particolare nell’ambito del trattamento dei dati personali nel corso di eventi critici.
  • Opportunità di mercato, per l’immagine dell’azienda e per la possibilità di partecipare a gare in cui è richiesto il possesso di un sistema BCMS

L’articolo precisa che il BCMS, naturalmente, non può impedire il verificarsi di un evento critico, ma contribuisce a ridurne la portata e le conseguenze, nonché a ripristinare condizioni accettabili, attraverso procedure prestabilite.

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Videosorveglianza: si cammina sempre sul filo del rasoio

Per chi adotti in azienda la videosorveglianza, si cita l’articolo Nessuna condanna penale per l’installazione non autorizzata della videosorveglianza se non c’è prova del controllo dei lavoratori non tanto per quanto già afferma nel suo titolo, quanto invece per indicare l’aspetto inverso; cioè che il controllo audio-video delle maestranze, non strettamente limitato e non suffragato dalle autorizzazioni conseguenti un rischio concreto per il patrimonio aziendale (quale per sottrazione indebita o manomissione volontaria o altre gravi violazioni), comporta sanzioni penali.

IN BREVE, DALL’ITALIA E DAL MONDO

Il legittimo interesse e il contratto non legittimano la pubblicità comportamentale

L’articolo I garanti privacy dell’UE vietano a Meta di trattare i dati degli utenti di Facebook e Instagram usando legittimo interesse e contratto come base giuridica informa che l’European Data Protection Board ha vietato a Meta (leggi “WhatsApp, Messenger, Instagram, Facebook, …) il trattamento dei dati degli utenti europei per la pubblicità comportamentale usando come basi giuridiche il legittimo interesse e il contratto accettato.

Questa ingiunzione serve a ricordare, a chi intendesse effettuare profilazione, di richiedere il consenso esplicito ed informato non dandolo per scontato solo per l’adesione a una newsletter, piattaforma o quant’altro.

Una lista di DPO a disposizione dei commercialisti

L’elenco di cui informa questo articolo (Il Consiglio nazionale dei commercialisti istituisce un elenco di professionisti interessati a svolgere il ruolo di Data Protection Officer) sarà costituito da soggetti che abbiano dimostrato “approfondita conoscenza della materia, l’esperienza maturata e il possesso dei requisiti prescritti dall’avviso”, il quale fa riferimento specifico ad iscritti all’Albo interessati a svolgere l’attività di responsabili protezione dati personali (DPO) presso i Consigli degli Ordini territoriali della categoria dei Dottori Commercialisti e degli Esperti Contabili.

Euro digitale in arrivo, ma ci sono ancora problemi di privacy da risolvere

Secondo l’articolo Euro digitale in arrivo, ma ci sono ancora problemi di privacy da risolvere, la moneta virtuale europea sarà utilizzabile per i pagamenti elettronici, sia online che offline, affiancando l’uso del contante. Le nuove transazioni richiedono che i pagamenti siano  immediatamente visibili, con una capillarità assoluta, con identificazione degli utenti, da parte di una banca centrale, mentre oggi i pagamenti con carta di credito/debito o con POS sono controllati, ai fini della sicurezza delle transazioni stesse, contro il riciclaggio e  contro il finanziamento del terrosrismo, solo da operatori bancari privati.

Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno allora pubblicato un parere congiunto, chiedendo che siano trattati solo i dati personali necessari al funzionamento della moneta digitale, evitando la concentrazione di dati da parte della BCE o delle banche centrali nazionali e prevedendo la pseudonimizzazione dei dati delle transazioni.

Sanzioni del Garante: dissuasive o repressive?

Prendendo spunta da una sentenza della Corte di Cassazione, l’autore dell’articolo Sanzioni privacy, la mano del giudice è leggera se non c’è pericolo che si reiteri la violazione indica che, se non c’è pericolo di reiterazione di una violazione, poiché realizzata in circostanze del tutto peculiari e difficilmente ripetibili, sanzioni pecuniarie previste dal GDPR possono essere ridotte a importi bassissimi e anche azzerate, pur in presenza di un’ammonizione.

Il caso concreto [vedasi testo originario dell’articolo] riguardava l’autodenuncia, da parte di un Titolare del trattamento, di una unica violazione [piuttosto modesta e forse nemmeno degna di autodenuncia; ndr], commessa in buona fede e per sopperire a reali e motivate esigenze nell’interesse del soggetto. Ciò nonostante, la sanzione comminata era stata molto elevata.

[E’ sconfortante che si sia arrivati al parere della Cassazione dopo la sentenza di primo grado che aveva già azzerato la sanzione (avendo il Titolare impugnato la decisione del Garante), perché l’Autorità di controllo a sua volta aveva presentato ricorso [viene quasi da pensare ad un “accanimento” del Garante, ma questo è solo un modesto parere personale; ndr].

I dati personali per l’addestramento dell’intelligenza artificiale dovrebbero essere protetti

L’articolo Intelligenza artificiale: il Garante della Privacy apre un’indagine sulla raccolta di dati personali on line per addestrare gli algoritmi specifica che l’indagine conoscitiva del Garante è rivolta ai titolari del trattamento che mettono a disposizione on-line dati personali e tende a verificare l’adozione di idonee misure di sicurezza adeguate ad impedire la raccolta massiva (webscraping) di dati personali a fini di addestramento degli algoritmi di intelligenza artificiale (IA) da parte di soggetti terzi.

Disposizioni frettolose nella conversione in legge della direttiva UE 1937/2019 (Whistleblowing)

L’articolo Whistleblowing, il termine quinquennale per la conservazione delle segnalazioni non tiene conto delle eventuali contestazioni evidenzia un’anomalia nel  D.Lgs. 24/2023 di attuazione della direttiva UE 1937/2019 sul whistleblowing. Infatti, mentre la direttiva specifica che i dati raccolti durante le segnalazioni possano essere conservati soltanto per il tempo ritenuto necessario e proporzionato per conformarsi all’obbligo imposto dalla direttiva stessa o ad altri obblighi imposti dal diritto dell’Unione o nazionale, il decreto legge impone una limitazione a non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

Risulta quindi evidente che i dati potrebbero invece essere necessari ben oltre la conclusione della procedura di valutazione delle segnalazioni, nei casi in cui alle contestazioni facessero seguito indagini processuali amministrative o penali, con possibilità di richiesta dei dati da parte della magistratura.

Un provvedimento del Garante, dello scorso luglio 2023, ha precisato che oltre i 5 anni previsti da decreto, i dati possono essere conservati anche oltre, purché anonimizzati [peraltro non è chiaro come possano essere, in tale forma, rintracciati e comunque di utilità per la magistratura; ndr]

Il whistleblowing è alla porta

L’articolo Whistleblowing: la scadenza per le aziende è il 17 dicembre ricorda che a breve andrà in vigore il regolamento relativo al whistleblowing anche per le piccole aziende del settore privato. Indica la disponibilità del documento NUOVA DISCIPLINA “WHISTLEBLOWING” – GUIDA OPERATIVA PER GLI ENTI PRIVATI, edito da Confindustria.

L’articolo sviscera, quindi, alcuni punti su cui le imprese dovrebbero intervenire.

Si parte dall’attivazione, previo confronto con i sindacati, di un canale interno per le segnalazioni che garantisca, anche mediante crittografia, il rispetto della riservatezza dell’identità del segnalante, delle persone coinvolte nella segnalazione e del contenuto della segnalazione. Ne deriva la necessità di una piattaforma informatica per la ricezione di segnalazioni scritte od orali (è escluso l’utilizzo delle email).

Una persona/ufficio interno o un soggetto esterno, con requisiti di autonomia e specifica formazione, deve essere incaricato della gestione di detto canale. Ove già adottato il Modello 231, può essere coinvolto l’organismo di vigilanza da questo previsto.

Il soggetto incaricato deve essere verificato in termini di autonomia, professionalità, conoscenze specialistiche tecniche ed organizzative.

Tra i compiti dell’incaricato: rendere nota la disponibilità e rendere facilmente accessibili sia il canale interno di segnalazione, sia la possibilità di ricorso al canale esterno. Le informazioni possono essere pubblicate sul sito web dell’organizzazione.

La gestione del canale comporta la cura della riservatezza e del trattamento dei dati, con un’adeguata politica di conservazione dei dati e adeguate misure di sicurezza tecniche e organizzative; comporta altresì lo svolgimento di una DPIA e l’esecuzione delle necessarie nomine.

L’articolo si conclude con i rischi, perché in caso di non conformità l’ANAC potrebbe applicare sanzioni sino a 50’000 €, e con le opportunità conseguenti il rafforzamento delle misure di prevenzione contro le violazioni dei dati.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • L’errore di una società di software ha consentito, in Irlanda, la violazione dei dati di mezzo milione di automobilisti [i test di vulnerabilità non sono mai troppi; ndr]
  • Novecentomila file esfiltrati dalle infrastrutture informatiche dell’azienda ospedaliera universitaria integrata di Verona.
  • Un’associazione che fa capo all’avv. Schrems ha denunciato la Commissione europea al Garante europeo, per la modalità di “microtargeting” con cui sono state effettuate selezioni di utenti. Con questa modalità, la selezione è influenzata dalle parole chiave utilizzate nei post degli utenti e, in pratica, si sarebbero valutati dati personali di categoria particolare, come razza, religione e appartenenza politica.
  • E’ stata comminata una sanzione di 5,5 milioni di Euro da un’agenzia croata di recupero crediti per non aver sufficientemente protetto il proprio database dei dati personali di 370 mila soggetti, permettendo così un’esfiltrazione di dati personali.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys