Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Security_cybercrimeIl regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cosa si intende per data breach?

Il GDPR definisce il data breach, in italiano “violazione dei dati personali”, come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le tipologie di data breach, quindi, sono molteplici e possono configurarsi nel furto o nell’accidentale cancellazione di dati da un database, ma anche in un attacco malware che impedisca l’accesso ai sistemi informatici o in un blackout che renda i dati temporaneamente non disponibili.

In sintesi si può dire che il data breach è una specifica tipologia di incidente di sicurezza, nel caso in cui siano coinvolti dati personali. Mentre tutti i data breach sono incidenti di sicurezza, non è detto che un incidente di sicurezza sia qualificabile come data breach.

Cosa deve fare il titolare del trattamento in caso di data breach?

Gli artt. 33 e 34 del GDPR disciplinano le procedure che il titolare deve attivare in caso di data breach. Queste si distinguono in una procedura di notifica della violazione all’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali) e in una procedura di comunicazione della violazione all’interessato.

Entrambi i procedimenti hanno il preciso scopo di informare, il Garante o l’interessato, dell’avvenuta violazione per permettere loro di attivarsi e adottare eventuali misure di tutela.

Cosa deve fare il responsabile del trattamento in caso di data breach?

Sebbene l’obbligo di notifica e di comunicazione sia posto in capo al titolare, l’art. 33 dispone che il responsabile del trattamento, dopo essere venuto a conoscenza della violazione, debba informarne il titolare senza ingiustificato ritardo.

Per rendere l’intervento a seguito di violazioni il più efficiente e tempestivo possibile, anche in considerazione delle dimensioni dei contesti di trattamento dei dati e delle persone che possono esservi coinvolte, sarebbe utile per il titolare predisporre un apposito piano di sicurezza. Il piano dovrebbe definire gli step e le procedure organizzative da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.

Quando deve essere effettuata la notifica al Garante?

L’art. 33 del GDPR prevede che il titolare che sia venuto a conoscenza di una violazione debba darne tempestiva notifica all’autorità di controllo, ove possibile entro le 72 ore o, se effettuata oltre il termine, motivando le ragioni del ritardo. Non è necessario effettuare la notifica nel caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta? delle persone fisiche. È il titolare, quindi, responsabile di analizzare i potenziali rischi generati dal data breach nei confronti degli interessati e valutare se questi non siano tali da far scattare l’obbligo di notifica all’autorità di controllo. Si noti che basta la presenza di un rischio “semplice” per obbligare il titolare alla notifica.

Quando deve essere data comunicazione all’interessato della violazione?

L’art. 34 del GDPR prevede che, quando il data breach sia suscettibile di presentare un rischio elevato per i diritti e le liberta? delle persone fisiche, il titolare sia obbligato a dare comunicazione della violazione all’interessato senza ingiustificato ritardo. Dunque, a differenza della notifica al Garante, la comunicazione all’interessato deve essere fornita solo nel caso in cui la violazione presenti un “rischio elevato”. È comunque sempre compito e responsabilità del titolare effettuare tale valutazione. L’articolo prosegue elencando una serie di circostanze in cui, pur in presenza di un potenziale rischio elevato, la comunicazione all’interessato non deve essere effettuata se: a) il titolare aveva applicato adeguate misure tecniche e organizzative di protezione sui dati oggetti di violazione (es. cifratura); b) il titolare ha successivamente adottato misure idonee a scongiurare un rischio elevato per gli interessati; c) la comunicazione richiederebbe sforzi sproporzionati (in questo caso si procederebbe a una comunicazione pubblica o con simili modalità).

Quali sono le modalità di comunicazione?

Per essere compliant con l’obbligo di comunicazione del GDPR non è sufficiente informare l’interessato. L’adeguatezza di una comunicazione, infatti, dipende non solo dal contenuto del messaggio, ma anche dalle modalità con cui tale messaggio è stato veicolato. Per soddisfare la loro funzione informativa, le comunicazioni devono essere formulate in un linguaggio semplice e facilmente comprensibile. Devono essere privilegiate modalità di comunicazione diretta con i soggetti interessati (come e-mail, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni in contesti eccessivamente generici e fuorvianti (per esempio con update generali o newsletter).

Come si valuta il rischio a seguito di una violazione?

La valutazione dei rischi scaturenti da una violazione è un passaggio fondamentale perché permette al titolare non solo di individuare misure adeguate per arginare o eliminare l’intrusione, ma anche di valutare la necessità di attivare le procedure di notifica e comunicazione (che si attivano solo al superamento di determinate soglie di rischio). La valutazione è simile a quella che il titolare deve effettuare con riferimento al Data Protection Impact Assessment (cioè la valutazione d’impatto preventiva), a differenza della quale, però, dovrà essere maggiormente personalizzata avendo riguardo alle circostanze concrete della violazione.

Tra i fattori che il titolare dovrà tenere in considerazione nel suo assessment ci sono: il tipo di violazione (di riservatezza, di accessibilità o di integrità?) e la natura dei dati violati (es. dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (che varia a seconda del tipo di dati, identificativi o non identificativi, e delle modalità utilizzate nella loro conservazione, per esempio tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui (che è differisce se i dati sono stati inviati per errore a un soggetto di fiducia o sono stati rubati da un terzo sconosciuto); eventuali speciali caratteristiche e numero degli individui interessati (es. se sono coinvolti bambini o anziani; se si tratta di violazione massiccia o individuale) e le particolari caratteristiche del titolare (per esempio in base all’ambito di attività).

Si tratta di bambole, peluche, robot in grado di interagire con le persone e con l’ambiente circostante, registrare suoni, scattare foto, girare video e collegarsi con Internet: una raccolta di dati di cui è bene che i genitori siano consapevoli.

Senza puntare il dito contro la nuova generazione di giochi, il Garante messo a punto un vademecum per informare i cittadini dei possibili rischi per la privacy, soprattutto dei bambini piccoli, dovuti all’utilizzo di questi dispositivi ludici, spesso accompagnati anche da utili funzioni educative, che sono in grado di raccogliere, elaborare e comunicare dati e informazioni di diverso genere – dalla voce alle password, dalle immagini alle e-mail, fino ai gusti, alle preferenze e alle abitudini non solo del minore ma dell’intera famiglia.

Bastano alcune semplici regole da seguire per far divertire i propri figli senza esporli a violazioni della propria riservatezza.  Ad esempio, informandosi su quali e quanti dati potrebbe raccogliere e trattare il giocattolo e per quali finalità, spegnendolo o disconnettendolo dalla rete quando non viene utilizzato, impostando password di accesso sicure per la connessione a Internet dello smart toy, ed eventualmente anche per l’accesso al giocattolo o alla app che lo gestisce.

Tutti i consigli del Garante sono disponibili a QUESTA pagina.

Più di 20 relatori internazionali discuteranno di cybersecurity alla Conferenza accademica del 2017 della China-EU School of Law (CESL), tra questi Gao Hongbing, vicepresidente del gigante cinese di Internet Alibaba, e Giusella Finocchiaro.

Big data, big problems? Alla Conferenza Accademica “La protezione dei dati personali al tempo dei big data” (“Data Protection in Times of Big Data”, che si terrà a Pechino il 3 novembre 2017, giuristu e imprenditori provenienti dalla Cina e dall’Europa esamineranno le sfide legali che la massiccia raccolta dei dati pone per la protezione della privacy.

Nei corso degli interventi si cercherà di rispondere a domande quali: chi possiede i dati raccolti? Quanto sono sicuri i database? Come proteggere i dati personali? Quali dati possono essere analizzati? Quale quadro giuridico può regolare lo scambio internazionale? La legge cinese sulla sicurezza in materia di cybersecurity del 2017 e il regolamento generale sulla protezione dei dati del 2018 svolgeranno un ruolo chiave nel dibattito.

Apriranno la conferenza Zhang Fusen, ex ministro della giustizia della Repubblica popolare cinese e Hinrich Julius, professore di diritto e coordinatore di progetto dell’ufficio consorzio della scuola di diritto cinese-UE.

La conferenza avrà inizio alle 9 del mattino, finirà alle 5 del pomeriggio. La sede della conferenza è il Jingyi Hotel, n. 9 Dazhongsi East Road, quartiere Hai Dian, a Pechino.

Il 22 luglio 2017 il Sole 24 Ore ha pubblicato un’analisi di Giusella Finocchiaro e Max Bergami sulle implicazioni in materia di responsabilità sulla sicurezza in capo alle imprese introdotte dal nuovo regolamento europeo sulla privacy.

La protezione dei dati personali basata sulla valutazione del rischio e sui concetti di «Privacy by design and by default» è ora legge. È quanto prescrive il cosiddetto Gdpr (General data protection regulation) cioè il nuovo regolamento europeo in materia di protezione dei dati personali (n. 679/2016) che sarà applicato da tutti gli stati membri dell’Unione europea a partire dal 25 maggio 2018.

A differenza delle direttive, i regolamenti non richiedono provvedimenti legislativi da parte degli stati membri. Le infrazioni saranno sanzionate pesantemente, potendo raggiungere ammende fino a 20 milioni di euro o fino al 4 per cento del fatturato annuale. Si tratta di una rivoluzione di grande portata perché ribalta completamente l’approccio alla sicurezza rispetto alla normativa attuale. Il Gdpr non prescrive quali siano le misure da adottare, dettando un elenco di adempimenti; al contrario, lascia all’impresa o all’ente titolare del trattamento, la valutazione dei rischi, del valore dei dati, della loro criticità e, dunque, la scelta delle misure di sicurezza da adottare per proteggerli; queste misure andranno poi sottoposte a un continuo monitoraggio.

La definizione di dati personali della direttiva è molto ampia e include «ogni informazione relativa a un individuo che riguardi la sua vita privata, professionale o pubblica. Può essere qualunque cosa, da un nome, una foto, un indirizzo email, informazioni bancarie, i post sui social network, le informazioni mediche a un indirizzo Ip di un computer».

Si tratta di una riforma che unifica le regole degli stati europei, superando inutili norme burocratiche, oggi diverse da paese a paese, la cui applicazione ha un costo stimato in circa 2,3 miliardi di euro all’anno. Le imprese e gli altri enti saranno ritenuti direttamente responsabili per la gestione dei dati. Tra i vantaggi, ogni organizzazione avrà relazioni con un’unica autorità nazionale per la protezione dei dati, nel paese in cui ha il centro dei propri interessi, anche per le attività svolte all’estero e per i dati riguardanti i cittadini degli altri paesi; si tratta di una norma che si applica anche ai soggetti extra-europei che operano nell’Unione europea.

Sostanzialmente viene rinforzato il concetto secondo cui i proprietari dei dati sono gli individui che possono in questo modo avere maggiore trasparenza e chiedere di trasferire i propri dati o di cancellarli più agevolmente.

A prima vista questo regolamento potrebbe esser visto come un inasprimento delle norme per le imprese, mentre in realtà rappresenta una grande semplificazione e soprattutto un’opportunità per strutturare meglio le proprie attività in questo settore e costruire solide relazioni di fiducia con i propri clienti. Forse non servirebbe neppure ricordare che la rapida diffusione delle tecnologie digitali, dalla manifattura ai servizi, dall’education alla sanità, dalla comunicazione alla mobilità, pone i dati in una posizione centrale nella società contemporanea. Così come è avvenuto per la globalizzazione, anche in questo caso non si tratta più di un dibattito ideologico tra chi è favorevole o contrario, ma semplicemente un fatto da affrontare con lungimiranza, senso etico e illuminato pragmatismo.

Il principio di «Privacy by design and by default» prevede che la tutela della privacy sia incorporata nella progettazione dei processi aziendali, considerando le implicazioni per l’utente non come fatto accessorio, ma a partire dalle modalità con cui vengono concepiti i servizi o le modalità di utilizzo dei prodotti. Le organizzazioni saranno chiamate ad analizzare i rischi, decidere come affrontarli mediante processi affidabili che dovranno poi essere implementati, presidiati e monitorati.

Evidentemente ci sarà molto lavoro da fare, ma soprattutto sarà necessario immaginare un nuovo approccio interdisciplinare che riesca a coniugare competenze di business, organizzative, tecnologiche e giuridiche. Si tratta di una sfida per le imprese, per le pubbliche amministrazioni e per le organizzazioni no profit, soprattutto per quelle che non hanno per Dna una cultura avanzata della sicurezza. Infatti, questa attività non potrà coinvolgere solo chi si occupa di Ict, legale e compliance, ma anche chi gestisce il core business.

Per quanto la normativa europea possa introdurre elementi nuovi, gli operatori di grandi dimensioni sono tendenzialmente più attrezzati, mentre quelli di dimensioni medie o piccole si troveranno generalmente di fronte a nuove attività che potrebbero però consentire anche il perseguimento di un nuovo vantaggio competitivo, nella misura in cui non saranno viste come adempimenti, ma come modalità di consolidamento organizzativo e potenziamento della propria posizione sul mercato.

Servono nuovi percorsi formativi che consentano di affrontare questo tema in modo rotondo e offrano anche la possibilità di apprendere dal confronto con esperienze diverse. In questa prospettiva, sono particolarmente efficaci i percorsi anticonvenzionali e collaborativi che aiutino a rinforzare la competitività del sistema produttivo, in modo che intelligenza artificiale e intelligenza umana facciano squadra per migliorare la società contemporanea.

Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo in materia di protezione dei dati personali, n. 679/2016, applicabile dal 25 maggio 2018.

Poco si dice, però, sul nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo regolamento non prescrive le misure da adottare, dettandone l’elenco. Al contrario, lascia al titolare del trattamento la valutazione dei rischi, del valore dei dati, della loro criticità e la scelta delle misure di sicurezza da adottare.

Scelta che poi va sottoposta a continuo monitoraggio.

Occorre, dunque, effettuare un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare.

Dunque, analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.

Non istruzioni dettate dalla norma, ma autovalutazione e gestione. E ovviamente documentazione precisa delle scelte, motivate, e del processo.

Un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sul numero 39/2016 del settimanale Vanity Fair.

Che leggi abbiamo per tutelarci?

«Moltissime. In entrambe le vicende recenti, per esempio, c’è una serie di illeciti civili, dalla violazione della disciplina sulla privacy a quella dei diritti fondamentali della persona. In sede penale si possono configurare ipotesi di vari reati come istigazione al suicidio, interferenze illegali nella vita privata, trattamento di materiale pedopornografico».

Chi denunciare? E con quale efficacia?

«I soggetti contro cui agire sono gli autori, le persone che hanno messo i video online. Poi, naturalmente, si può agire anche contro i provider, le aziende che forniscono l’accesso alla rete, ma a certe condizioni: non hanno l’obbligo di controllare preventivamente ciò che viene messo online, ma sono tenuti per legge a rimuovere contenuti, se c’è un provvedimento dell’autorità giudiziaria o delle autorità competenti».

Ma si riesce a oscurare tutto e per sempre?

«Non si può escludere che il video sia stato scaricato da altri e continui a girare. Naturalmente questi altri compiono a loro volta un illecito. Nei fatti, è una continua rincorsa: nella dimensione digitale, fare molte copie, anche di un messaggio, è facilissimo».

I provider dovrebbero essere più responsabilizzati?

«Sicuramente, ma non con il sistema del controllo, perché è molto difficoltoso. Servirebbe un meccanismo che metta in contatto utente e provider. Perché questo, ricevendo la richiesta di una persona, verifichi e rimuova in tempi molto veloci un contenuto».

Un consiglio per usare bene la rete?

«Non dimenticate mai che entrando in rete si lascia la dimensione strettamente privata e si entra in una di carattere pubblico».

posted by admin on maggio 2, 2016

Miscellanee

(No comments)

Sicurezza_CamerasL’Autorità Garante ha autorizzato presso gli stabilimenti di un’azienda di Avezzano operante nel settore dei semiconduttori, l’utilizzo di un nuovo impianto di videosorveglianza dotato di software “intelligent video” e la conservazione delle relative immagini per un periodo di 45 giorni, “al fine di conformarsi agli elevati standard di qualità e sicurezza richiesti dal proprio mercato di riferimento”.

La Lfoundry S.r.l., società che aveva presentato domanda di verifica preliminare per il potenziamento del sistema antintrusione, aveva motivato la richiesta anche in funzione del servizio di sorveglianza svolto per due aziende fornitrici collocate all’interno dello stesso perimetro, in ragione degli elevati standard di sicurezza richiesti nel comparto “secure” in cui opera.

L’integrazione dell’impianto di videosorveglianza prevede un sistema di controllo accessi per l’ingresso alle aree riservate in grado di rilevare condizioni anomale, di discriminare “tra accessi leciti e illeciti” e munito di telecamere termiche.

Secondo il Garante il sistema in questione, da considerarsi eccedente rispetto alla normale attività di videosorveglianza, può fungere da importante strumento di tutela date le particolari condizioni prese in esame: lo stabilimento è classificato a rischio incidente rilevante, al suo interno vengono prodotti delicati componenti elettronici per la realizzazione di dispositivi destinati a sistemi di identificazione sicura sia in ambito pubblico che privato, e la sua ubicazione è adiacente a vie di fuga facilmente raggiungibili.

Il Garante ha inoltre autorizzato la conservazione delle immagini rilevate per un periodo di 45 giorni, allo scopo di permettere l’individuazione dei responsabili di eventuali illeciti anche a seguito di intrusioni e furti già denunciati.

“Resta inteso che” conclude il Garante “ad eccezione della visione da parte dell’Autorità giudiziaria, l’accesso alle immagini in questione potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali, con conseguente divieto di loro comunicazione a terzi (fatte salve le esigenze dell’Autorità giudiziaria) o di diffusione”.

posted by admin on gennaio 22, 2016

identità digitale

(No comments)

persuasive-landing-pages-words-have-powerSplashData ha stilato per il quinto anno la classifica delle password più utilizzate. Nel 2015, come nei cinque anni precedenti, la password più utilizzata è stata “123456″.

SplashData è un’azienda californiana specializzata in applicazioni di password management che comunica i dati in questione con l’intento di dimostrare la pericolosità delle password semplici e prevedibili, seppure facili da ricordare. Le prime dieci posizioni della lista sono pressoché identiche a quelle dell’anno precedente, con “password” al secondo posto, “12345678″ al terzo e l’inossidabile “qwerty” al quarto. Nella top 25, si registra l’ingresso di alcune novità, tra le quali “Star Wars”, collocatasi al 25 posto.

La storia della classifica sembrerebbe evidenziare un certo grado di affezione da parte degli utenti per le soluzioni più vulnerabili. Alle infelici scelte di password contenenti soli numeri, e tutte le combinazioni di lettere realizzate digitando tasti in sequenza, alle parole prese dal gergo sportivo, o in riferimento a hobby, atleti famosi, titoli di film, alle date di nascita e nomi di persona, specie se riconducibili a membri della propria famiglia, dovremmo infatti aggiungere la pericolosa tendenza al riutilizzo delle stesse password per più account e perduranti nel tempo. Un’abitudine che di solito subisce significativi stravolgimenti solo in seguito al furto dell’identità digitale.

Sarebbe importante imparare a compilare parole chiave più di almeno 8 caratteri alternati tra numeri, lettere e segni tipografici, evitando allo stesso tempo combinazioni difficili da memorizzare. È consigliabile ideare vere e proprie frasi separate da spazi o caratteri speciali, meglio se in sequenze di parole appartenenti allo stesso campo semantico: “cane_4zampe_coda”, per esempio. Inoltre, è bene differenziare le password per i siti o i programmi di intrattenimento da quelle usate per veicolare dati più importanti, come caselle email o account bancari.

Ecco l’elenco delle 25 peggiori password del 2015 (tra parentesi la posizione rispetto l’anno passato):

  • 123456 (stabile)
  • password (stabile)
  • 12345678 (più 1)
  • qwerty (più 1)
  • 12345 (meno 2)
  • 123456789 (stabile)
  • football (più 3)
  • 1234 (meno 1)
  • 1234567 (più 2)
  • baseball (meno 2)
  • welcome (nuova)
  • 1234567890 (nuova)
  • abc123 (più 1)
  • 111111 (più 1)
  • 1qaz2wsx (nuova)
  • dragon (meno 7)
  • master (più 2)
  • monkey (meno 6)
  • letmein (meno 6)
  • login (nuova)
  • princess (nuova)
  • qwertyuiop (nuova)
  • solo (nuova)
  • passw0rd (nuova)
  • starwars (nuova)

Il Garante Privacy ha dato parere favorevole su due provvedimenti Agid relativi allo Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.

I provvedimenti riguardano l’aggiornamento dello schema di regolamento delle modalità attuative per la realizzazione del sistema e lo schema convenzionale dei rapporti fra Agid e gestori dell’identità digitale.

Le modifiche sono volte alla crescita della sicurezza informatica, della protezione dei dati, in particolare alla migliore definizione delle modalità di conservazione dei documenti relativi all’identità digitale e all’utilizzo delle credenziali dell’utente, oltre che alle procedure di sospensione e revoca dei gestori.

Sono inoltre stabiliti gli obblighi dei gestori per il trattamento dei dati, le misure e gli strumenti di sicurezza, le garanzie per la protezione dei dati nei casi di utilizzo di soggetti esterni per la fornitura dell’identità digitale.

Da una nota del Garante, si apprende che l’elaborazione degli articoli è maturata dal confronto tra Agid e l’Ufficio del Garante, con l’apporto dei risultati del tavolo tecnico.

Per ciò che riguarda ogni eventuale violazione, sono definite le modalità di comunicazione dei gestori e le procedure che Agid dovrà avviare nei loro confronti per ogni adempienza.