Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Più di 20 relatori internazionali discuteranno di cybersecurity alla Conferenza accademica del 2017 della China-EU School of Law (CESL), tra questi Gao Hongbing, vicepresidente del gigante cinese di Internet Alibaba, e Giusella Finocchiaro.

Big data, big problems? Alla Conferenza Accademica “La protezione dei dati personali al tempo dei big data” (“Data Protection in Times of Big Data”, che si terrà a Pechino il 3 novembre 2017, giuristu e imprenditori provenienti dalla Cina e dall’Europa esamineranno le sfide legali che la massiccia raccolta dei dati pone per la protezione della privacy.

Nei corso degli interventi si cercherà di rispondere a domande quali: chi possiede i dati raccolti? Quanto sono sicuri i database? Come proteggere i dati personali? Quali dati possono essere analizzati? Quale quadro giuridico può regolare lo scambio internazionale? La legge cinese sulla sicurezza in materia di cybersecurity del 2017 e il regolamento generale sulla protezione dei dati del 2018 svolgeranno un ruolo chiave nel dibattito.

Apriranno la conferenza Zhang Fusen, ex ministro della giustizia della Repubblica popolare cinese e Hinrich Julius, professore di diritto e coordinatore di progetto dell’ufficio consorzio della scuola di diritto cinese-UE.

La conferenza avrà inizio alle 9 del mattino, finirà alle 5 del pomeriggio. La sede della conferenza è il Jingyi Hotel, n. 9 Dazhongsi East Road, quartiere Hai Dian, a Pechino.

Il 22 luglio 2017 il Sole 24 Ore ha pubblicato un’analisi di Giusella Finocchiaro e Max Bergami sulle implicazioni in materia di responsabilità sulla sicurezza in capo alle imprese introdotte dal nuovo regolamento europeo sulla privacy.

La protezione dei dati personali basata sulla valutazione del rischio e sui concetti di «Privacy by design and by default» è ora legge. È quanto prescrive il cosiddetto Gdpr (General data protection regulation) cioè il nuovo regolamento europeo in materia di protezione dei dati personali (n. 679/2016) che sarà applicato da tutti gli stati membri dell’Unione europea a partire dal 25 maggio 2018.

A differenza delle direttive, i regolamenti non richiedono provvedimenti legislativi da parte degli stati membri. Le infrazioni saranno sanzionate pesantemente, potendo raggiungere ammende fino a 20 milioni di euro o fino al 4 per cento del fatturato annuale. Si tratta di una rivoluzione di grande portata perché ribalta completamente l’approccio alla sicurezza rispetto alla normativa attuale. Il Gdpr non prescrive quali siano le misure da adottare, dettando un elenco di adempimenti; al contrario, lascia all’impresa o all’ente titolare del trattamento, la valutazione dei rischi, del valore dei dati, della loro criticità e, dunque, la scelta delle misure di sicurezza da adottare per proteggerli; queste misure andranno poi sottoposte a un continuo monitoraggio.

La definizione di dati personali della direttiva è molto ampia e include «ogni informazione relativa a un individuo che riguardi la sua vita privata, professionale o pubblica. Può essere qualunque cosa, da un nome, una foto, un indirizzo email, informazioni bancarie, i post sui social network, le informazioni mediche a un indirizzo Ip di un computer».

Si tratta di una riforma che unifica le regole degli stati europei, superando inutili norme burocratiche, oggi diverse da paese a paese, la cui applicazione ha un costo stimato in circa 2,3 miliardi di euro all’anno. Le imprese e gli altri enti saranno ritenuti direttamente responsabili per la gestione dei dati. Tra i vantaggi, ogni organizzazione avrà relazioni con un’unica autorità nazionale per la protezione dei dati, nel paese in cui ha il centro dei propri interessi, anche per le attività svolte all’estero e per i dati riguardanti i cittadini degli altri paesi; si tratta di una norma che si applica anche ai soggetti extra-europei che operano nell’Unione europea.

Sostanzialmente viene rinforzato il concetto secondo cui i proprietari dei dati sono gli individui che possono in questo modo avere maggiore trasparenza e chiedere di trasferire i propri dati o di cancellarli più agevolmente.

A prima vista questo regolamento potrebbe esser visto come un inasprimento delle norme per le imprese, mentre in realtà rappresenta una grande semplificazione e soprattutto un’opportunità per strutturare meglio le proprie attività in questo settore e costruire solide relazioni di fiducia con i propri clienti. Forse non servirebbe neppure ricordare che la rapida diffusione delle tecnologie digitali, dalla manifattura ai servizi, dall’education alla sanità, dalla comunicazione alla mobilità, pone i dati in una posizione centrale nella società contemporanea. Così come è avvenuto per la globalizzazione, anche in questo caso non si tratta più di un dibattito ideologico tra chi è favorevole o contrario, ma semplicemente un fatto da affrontare con lungimiranza, senso etico e illuminato pragmatismo.

Il principio di «Privacy by design and by default» prevede che la tutela della privacy sia incorporata nella progettazione dei processi aziendali, considerando le implicazioni per l’utente non come fatto accessorio, ma a partire dalle modalità con cui vengono concepiti i servizi o le modalità di utilizzo dei prodotti. Le organizzazioni saranno chiamate ad analizzare i rischi, decidere come affrontarli mediante processi affidabili che dovranno poi essere implementati, presidiati e monitorati.

Evidentemente ci sarà molto lavoro da fare, ma soprattutto sarà necessario immaginare un nuovo approccio interdisciplinare che riesca a coniugare competenze di business, organizzative, tecnologiche e giuridiche. Si tratta di una sfida per le imprese, per le pubbliche amministrazioni e per le organizzazioni no profit, soprattutto per quelle che non hanno per Dna una cultura avanzata della sicurezza. Infatti, questa attività non potrà coinvolgere solo chi si occupa di Ict, legale e compliance, ma anche chi gestisce il core business.

Per quanto la normativa europea possa introdurre elementi nuovi, gli operatori di grandi dimensioni sono tendenzialmente più attrezzati, mentre quelli di dimensioni medie o piccole si troveranno generalmente di fronte a nuove attività che potrebbero però consentire anche il perseguimento di un nuovo vantaggio competitivo, nella misura in cui non saranno viste come adempimenti, ma come modalità di consolidamento organizzativo e potenziamento della propria posizione sul mercato.

Servono nuovi percorsi formativi che consentano di affrontare questo tema in modo rotondo e offrano anche la possibilità di apprendere dal confronto con esperienze diverse. In questa prospettiva, sono particolarmente efficaci i percorsi anticonvenzionali e collaborativi che aiutino a rinforzare la competitività del sistema produttivo, in modo che intelligenza artificiale e intelligenza umana facciano squadra per migliorare la società contemporanea.

Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo in materia di protezione dei dati personali, n. 679/2016, applicabile dal 25 maggio 2018.

Poco si dice, però, sul nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo regolamento non prescrive le misure da adottare, dettandone l’elenco. Al contrario, lascia al titolare del trattamento la valutazione dei rischi, del valore dei dati, della loro criticità e la scelta delle misure di sicurezza da adottare.

Scelta che poi va sottoposta a continuo monitoraggio.

Occorre, dunque, effettuare un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare.

Dunque, analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.

Non istruzioni dettate dalla norma, ma autovalutazione e gestione. E ovviamente documentazione precisa delle scelte, motivate, e del processo.

Un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sul numero 39/2016 del settimanale Vanity Fair.

Che leggi abbiamo per tutelarci?

«Moltissime. In entrambe le vicende recenti, per esempio, c’è una serie di illeciti civili, dalla violazione della disciplina sulla privacy a quella dei diritti fondamentali della persona. In sede penale si possono configurare ipotesi di vari reati come istigazione al suicidio, interferenze illegali nella vita privata, trattamento di materiale pedopornografico».

Chi denunciare? E con quale efficacia?

«I soggetti contro cui agire sono gli autori, le persone che hanno messo i video online. Poi, naturalmente, si può agire anche contro i provider, le aziende che forniscono l’accesso alla rete, ma a certe condizioni: non hanno l’obbligo di controllare preventivamente ciò che viene messo online, ma sono tenuti per legge a rimuovere contenuti, se c’è un provvedimento dell’autorità giudiziaria o delle autorità competenti».

Ma si riesce a oscurare tutto e per sempre?

«Non si può escludere che il video sia stato scaricato da altri e continui a girare. Naturalmente questi altri compiono a loro volta un illecito. Nei fatti, è una continua rincorsa: nella dimensione digitale, fare molte copie, anche di un messaggio, è facilissimo».

I provider dovrebbero essere più responsabilizzati?

«Sicuramente, ma non con il sistema del controllo, perché è molto difficoltoso. Servirebbe un meccanismo che metta in contatto utente e provider. Perché questo, ricevendo la richiesta di una persona, verifichi e rimuova in tempi molto veloci un contenuto».

Un consiglio per usare bene la rete?

«Non dimenticate mai che entrando in rete si lascia la dimensione strettamente privata e si entra in una di carattere pubblico».

posted by admin on maggio 2, 2016

Miscellanee

(No comments)

Sicurezza_CamerasL’Autorità Garante ha autorizzato presso gli stabilimenti di un’azienda di Avezzano operante nel settore dei semiconduttori, l’utilizzo di un nuovo impianto di videosorveglianza dotato di software “intelligent video” e la conservazione delle relative immagini per un periodo di 45 giorni, “al fine di conformarsi agli elevati standard di qualità e sicurezza richiesti dal proprio mercato di riferimento”.

La Lfoundry S.r.l., società che aveva presentato domanda di verifica preliminare per il potenziamento del sistema antintrusione, aveva motivato la richiesta anche in funzione del servizio di sorveglianza svolto per due aziende fornitrici collocate all’interno dello stesso perimetro, in ragione degli elevati standard di sicurezza richiesti nel comparto “secure” in cui opera.

L’integrazione dell’impianto di videosorveglianza prevede un sistema di controllo accessi per l’ingresso alle aree riservate in grado di rilevare condizioni anomale, di discriminare “tra accessi leciti e illeciti” e munito di telecamere termiche.

Secondo il Garante il sistema in questione, da considerarsi eccedente rispetto alla normale attività di videosorveglianza, può fungere da importante strumento di tutela date le particolari condizioni prese in esame: lo stabilimento è classificato a rischio incidente rilevante, al suo interno vengono prodotti delicati componenti elettronici per la realizzazione di dispositivi destinati a sistemi di identificazione sicura sia in ambito pubblico che privato, e la sua ubicazione è adiacente a vie di fuga facilmente raggiungibili.

Il Garante ha inoltre autorizzato la conservazione delle immagini rilevate per un periodo di 45 giorni, allo scopo di permettere l’individuazione dei responsabili di eventuali illeciti anche a seguito di intrusioni e furti già denunciati.

“Resta inteso che” conclude il Garante “ad eccezione della visione da parte dell’Autorità giudiziaria, l’accesso alle immagini in questione potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali, con conseguente divieto di loro comunicazione a terzi (fatte salve le esigenze dell’Autorità giudiziaria) o di diffusione”.

posted by admin on gennaio 22, 2016

identità digitale

(No comments)

persuasive-landing-pages-words-have-powerSplashData ha stilato per il quinto anno la classifica delle password più utilizzate. Nel 2015, come nei cinque anni precedenti, la password più utilizzata è stata “123456″.

SplashData è un’azienda californiana specializzata in applicazioni di password management che comunica i dati in questione con l’intento di dimostrare la pericolosità delle password semplici e prevedibili, seppure facili da ricordare. Le prime dieci posizioni della lista sono pressoché identiche a quelle dell’anno precedente, con “password” al secondo posto, “12345678″ al terzo e l’inossidabile “qwerty” al quarto. Nella top 25, si registra l’ingresso di alcune novità, tra le quali “Star Wars”, collocatasi al 25 posto.

La storia della classifica sembrerebbe evidenziare un certo grado di affezione da parte degli utenti per le soluzioni più vulnerabili. Alle infelici scelte di password contenenti soli numeri, e tutte le combinazioni di lettere realizzate digitando tasti in sequenza, alle parole prese dal gergo sportivo, o in riferimento a hobby, atleti famosi, titoli di film, alle date di nascita e nomi di persona, specie se riconducibili a membri della propria famiglia, dovremmo infatti aggiungere la pericolosa tendenza al riutilizzo delle stesse password per più account e perduranti nel tempo. Un’abitudine che di solito subisce significativi stravolgimenti solo in seguito al furto dell’identità digitale.

Sarebbe importante imparare a compilare parole chiave più di almeno 8 caratteri alternati tra numeri, lettere e segni tipografici, evitando allo stesso tempo combinazioni difficili da memorizzare. È consigliabile ideare vere e proprie frasi separate da spazi o caratteri speciali, meglio se in sequenze di parole appartenenti allo stesso campo semantico: “cane_4zampe_coda”, per esempio. Inoltre, è bene differenziare le password per i siti o i programmi di intrattenimento da quelle usate per veicolare dati più importanti, come caselle email o account bancari.

Ecco l’elenco delle 25 peggiori password del 2015 (tra parentesi la posizione rispetto l’anno passato):

  • 123456 (stabile)
  • password (stabile)
  • 12345678 (più 1)
  • qwerty (più 1)
  • 12345 (meno 2)
  • 123456789 (stabile)
  • football (più 3)
  • 1234 (meno 1)
  • 1234567 (più 2)
  • baseball (meno 2)
  • welcome (nuova)
  • 1234567890 (nuova)
  • abc123 (più 1)
  • 111111 (più 1)
  • 1qaz2wsx (nuova)
  • dragon (meno 7)
  • master (più 2)
  • monkey (meno 6)
  • letmein (meno 6)
  • login (nuova)
  • princess (nuova)
  • qwertyuiop (nuova)
  • solo (nuova)
  • passw0rd (nuova)
  • starwars (nuova)

Il Garante Privacy ha dato parere favorevole su due provvedimenti Agid relativi allo Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.

I provvedimenti riguardano l’aggiornamento dello schema di regolamento delle modalità attuative per la realizzazione del sistema e lo schema convenzionale dei rapporti fra Agid e gestori dell’identità digitale.

Le modifiche sono volte alla crescita della sicurezza informatica, della protezione dei dati, in particolare alla migliore definizione delle modalità di conservazione dei documenti relativi all’identità digitale e all’utilizzo delle credenziali dell’utente, oltre che alle procedure di sospensione e revoca dei gestori.

Sono inoltre stabiliti gli obblighi dei gestori per il trattamento dei dati, le misure e gli strumenti di sicurezza, le garanzie per la protezione dei dati nei casi di utilizzo di soggetti esterni per la fornitura dell’identità digitale.

Da una nota del Garante, si apprende che l’elaborazione degli articoli è maturata dal confronto tra Agid e l’Ufficio del Garante, con l’apporto dei risultati del tavolo tecnico.

Per ciò che riguarda ogni eventuale violazione, sono definite le modalità di comunicazione dei gestori e le procedure che Agid dovrà avviare nei loro confronti per ogni adempienza.

posted by admin on novembre 30, 2015

Eventi

(No comments)

Su quali direttrici si muove il percorso che porterà all’adozione di un nuovo Safe harbour dopo la sentenza con la quale la Corte di Giustizia Ue ha invalidato l’accordo che regolava il trasferimento dei dati dall’Europa agli Stati Uniti?

È questa la principale domanda che animerà i lavori di “Sicurezza e privacy: verso un Safe harbour 2.0” il convegno che si terrà mercoledì 9 dicembre palle 17.00 presso il Palazzo Bonadies Lancellotti, Via di San Pantaleo, 66 – Roma. L’incontro è organizzato dall’Università Europea di Roma e dall’Accademia Italiana del Codice di Internet nell’ambito del progetto PRIN “La regolamentazione giuridica delle Tecnologie dell’Informazione e della Comunicazione (TIC) quale strumento di potenziamento delle società inclusive, innovative e sicure”.

L’evento sarà aperto da un Keynote Speech di Joe Cannataci, UN Special Rapporteur on the Right to Privacy. Modererà il convegno la Prof.ssa Giusella Finocchiaro.

L’introduzione è a cura del Prof. Alberto Gambino, Presidente dell’Accademia Italiana del Codice di Internet.

Tra i relatori confermati Guido Scorza, Presidente dell’Istituto per le Politiche dell’Innovazione e Andrea Stazi, Public Policy Manager at Google.

Chiuderà i lavori Giuseppe Busia, Segretario Generale dell’Autorità Garante Privacy.

La partecipazione è libera fino a esaurimento posti; per confermare è necessario inviare un’email all’indirizzo info@iaic.it.

Dopo il recente intervento del Garante privacy sul tema della validità processuale delle intercettazioni vi proponiamo un’interessante riflessione recentemente presentata alla conferenza TED 2015.

Da oltre 100 anni, i nostri telefoni e le reti che trasmettono le nostre chiamate sono stati cablati per la sorveglianza. Oggi molti produttori di smartphone e software hanno inserito funzioni di criptazione nei loro prodotti che rendono sempre più difficile per gli estranei accedere alle nostre conversazioni. Questo da un lato aumenta la nostra privacy e dall’altro diminuisce le possibilità di intervento governativo in caso di crimini.

Christopher Soghoian, espetrto di hackeraggi e attivista per le libertà civili, racconta in questo video come possiamo difenderci dal controllo sulle nostre comunicazioni e invita ad una riflessione sul rapporto fra privacy e sicurezza.

Viviamo in un periodo e in un mondo pericolosi, e là fuori ci sono persone molto cattive. Ci sono terroristi e altre serie minacce alla sicurezza nazionale e tutti noi vogliamo che siano monitorate da FBI e NSA.
Ma questo tipo di sorveglianza ha un costo. E la ragione è che non esistono computer portatili per terroristi o cellulari per spacciatori. Usiamo tutti gli stessi dispositivi di comunicazione. Questo significa che se le telefonate degli spacciatori o quelle dei terroristi possono essere intercettate, allora anche le nostre possono esserlo. E dobbiamo davvero chiederci: è giusto che un miliardo di persone nel mondo utilizzi dispositivi facili da controllare?