Al via le App di Contact Tracing Covid: in Olanda è già Data breach
App anti-Covid e rischio Data breach
La recente epidemia di Coronavirus ha gradualmente conquistato lo scenario internazionale. Tutti gli Stati membri dell’Unione europea, hanno predisposto nuove misure per il monitoraggio dei contagi, basati software di contact tracing o tracciatura dei contatti, che costituisce una delle azioni di sanità pubblica utilizzate per la prevenzione e contenimento della diffusione di molte malattie infettive.
L’impiego delle App, anche se gestite da autorità pubbliche, richiede comunque il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.
Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, dovranno essere garantiti:
- La sussistenza di una base giuridica legittimante le operazioni di trattamento;
- La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
- La predisposizione di misure che garantiscano la sicurezza del trattamento;
- L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.
Tra le misure necessarie, occorre predisporre adeguate misure di sicurezza per evitare la compromissione dei dati. Nel corso dell’ultima settimana, infatti, si è già verificata un primo attacco all’applicazione predisposta in Olanda, Covid19 Alert!, che ha così subito un data breach.
L’app olandese consente di conoscere, similmente a quanto previsto per la app italiana Immuni, se vi è stata la registrazione del telefono di un contagiato positivo al coronavirus in prossimità.
A causa di un errore umano, sono stati resi accessibili e resi pubblici i dati personali relativi a molteplici utenti, come il nome e cognome, l’indirizzo email, nonché password criptate. Tali dati, in particolare, erano accessibili da una diversa app degli sviluppatori.
La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya
Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.
Per tali ragioni, Hedya propone:
- percorsi di formazione e aggiornamento;
- percorsi di approfondimento e perfezionamento;
- servizi di consulenza per verificare la conformità alla normativa rilevante in materia.
Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.
In particolare, si prevede:
- Corsi di formazione per Data Protection Officer
- Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
- Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;
- Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
- Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.
Ulteriori dettagli sui percorsi formativi sono disponibili qui.
