Articoli

Il Garante privacy presenta la relazione 2019: ancora troppe vulnerabilità informatiche

GDPR e tutela degli interessati: quali regole per garantire la protezione dati?

Lo scorso 23 giugno, l’Autorità Garante per la protezione dei dati personali ha presentato la Relazione annuale sull’attività svolta nel corso del 2019.

Nel complesso, le attività consultive e di vigilanza dell’Autorità di controllo si sono incentrate innanzitutto sulle importanti novità introdotte dal GDPR. Al contempo, sono state esaminate le più rilevanti questioni connesse alla tutela dei diritti fondamentali nel mondo digitale, quali ad esempio:

  • Le implicazioni etiche della tecnologia;
  • L’economia fondata sui dati e la monetizzazione delle informazioni personali, i Big data e le grandi piattaforme;
  • L’intelligenza artificiale e le problematiche poste dagli algoritmi;
  • La sicurezza dei sistemi e la protezione dello spazio cibernetico;
  • La pervasività delle diverse forme di controllo e sorveglianza, nonché il ricorso sempre più diffuso ai dati biometrici;
  • Le fake news, l’Internet delle cose e il revenge porn.

 

Tra i molteplici temi trattati, l’Autorità ha rilevato forti ed elevate criticità sul fronte della cybersecurity: in particolare, la proliferazione di attacchi informatici nel corso del 2019 sarebbe causata dalla scarsa attenzione in ordine alla predisposizione delle più opportune misure di sicurezza. Tale carenza risulta presente non solo nel contesto delle pubbliche amministrazioni, ma anche delle imprese e delle piattaforme on line.

Le tipologie di violazione dei dati personali più frequenti hanno riguardato:

  • Attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
  • Accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
  • Perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
  • Smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
  • Comunicazione o diffusione accidentale di dati personali.

 

L’eccessiva vulnerabilità dei sistemi pubblici e privati sarebbe confermata dal cospicuo numero di data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati, che ammontano a ben 1443.

Per tali ragioni, il Garante ha fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che rendono il dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto ostaggio dell’hacker, che richiede poi alla vittima una ricompensa in denaro considerevole per ripristinare i dati e i documenti.

Secondo il Garante, l’attenzione riposta sulla sicurezza dovrebbe essere massima, dal momento che costituisce una minaccia particolarmente pericolosa nell’epoca del Covid-19, che ha portato molte più persone e per molto più tempo ad essere connesse online.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dall’Autorità di controllo per la protezione dati dimostra che per poter operare correttamente sul web e nei luoghi di lavoro, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Vulnerabilità Microsoft Teams: l’inadeguata conoscenza del GDPR espone al rischio cyber

Microsoft Teams nel mirino hacker: quanto è importante il GDPR?

Con l’introduzione generalizzata dello smart working, il ricorso a numerose piattaforme online, per implementare il lavoro da remoto, si è reso ormai sempre più frequente e necessario. Non sorprende, dunque, che la recente popolarità acquisita da molte piattaforme e software di video conferenza abbiano costituito un immediato e facile bersaglio da parte degli hackers.

Dopo il caso che ha riguardato la piattaforma Zoom – a causa della pubblicazione, sul Dark Web, di un database contente le credenziali di accesso di numerosi utenti – , anche la piattaforma Microsoft Teams è stata posta sotto attacco. Microsoft Teams è una piattaforma di comunicazione che include molteplici funzionalità di chat, videoconferenza, archiviazione di file e integrazione delle applicazioni, ed è una delle piattaforme più utilizzate per la didattica da remoto.

I ricercatori di CyberArk avevano individuato una vulnerabilità nascosta. In particolare, essi avevano rilevato che vulnerabilità poteva essere sfruttata creando un collegamento o un file GIF predisposti ad-hoc. Nello specifico, per realizzare l’attacco si sfruttava un token Web JSON (“authtoken”), nonché un secondo “token skype”, adoperati per consentire agli utenti Teams e Skype di poter ricevere file immagine durante le chat.

Sebbene la vulnerabilità sia stata subito individuata ed opportunamente corretta dagli operatori di Microsoft Teams, il caso dimostra l’importanza del rispetto del GDPR e della cybersecurity.

L’impiego di tali risorse richiede comunque, da parte del Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:

  • La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
  • L’implementazione di misure che garantiscano la privacy by default e by design;
  • Il rispetto dei diritti dell’interessato;

 

Inoltre, ogniqualvolta tali piattaforme vengano utilizzate dai dipendenti pubblici o privati, un’adeguata conoscenza e formazione in materia di sicurezza informatica risulta essenziale: in effetti, il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.

Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute come Zoom, Webex e Slack: questi, in realtà, contengono minacce adware “advertising supported software” (software sovvenzionato da pubblicità).  Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

La didattica online ai tempi del Covid-19: dal Garante le istruzioni per l’uso

Didattica online e privacy: quali tutele?

Il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo a piattaforme e-learning per supportare forme di didattica a distanza, così da garantirne la continuità.

Tuttavia, i primi utilizzi hanno sollevato molteplici criticità, già menzionate nel precedente articolo.

Per rispondere alle principali questioni sollevate in materia di privacy, il Garante ha pubblicato un atto di indirizzo per scuole ed atenei.

In sintesi, le prime Linee di indirizzo fornite dal Garante precisano che:

  • Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento in questo caso è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
  • Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, occorrerà preferire quegli strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.
  • Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
  • Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
  • Inoltre, i gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

 

Le indicazioni del Garante si rivelano uno strumento utile per orientare le modalità didattiche di scuole e università. Tuttavia, non eliminano tutte le criticità connesse, ad esempio, alla registrazione delle lezioni, al controllo a distanza dei docenti e alla diffusione di contenuti non autorizzati in rete. Le istituzioni scolastiche ed universitarie, pertanto, non sono esonerate dal valutare tutti i possibili rischi dovendo, di converso, predisporre tutte le misure tecniche ed organizzative più idonee.

Per tali ragioni, risulta necessario applicare tutti i principi previsti dal GDPR, partendo anzitutto da quelli indicati all’articolo 5, come il principio di finalità, accountability e minimizzazione.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

La Didattica a distanza nell’era del Covid-19: la privacy non va in “quarantena”

Didattica a distanza e GDPR: quali regole?

L’emergenza sanitaria che l’Italia sta attraversando ha reso necessari, nell’arco di pochi giorni, provvedimenti che hanno richiesto l’attivazione, da parte di tutte le Università (ma anche di tutti gli Istituti scolastici, come precisato dal Miur con apposita nota) di apposite modalità di didattica a distanza.

Di conseguenza, attraverso l’impiego di molteplici piattaforme di e –learning a disposizione, i docenti procederanno all’erogazione dei propri corsi in forma asincrona o in streaming in tempo reale.

In tali casi, tuttavia, l’esigenza di somministrare percorsi formativi generalmente erogati offline non deve tradursi in una compromissione della protezione dati non solo degli studenti, ma anche dei docenti. Come osservato dal Comitato europeo per la protezione dati personali in una Dichiarazione resa lo scorso 19 marzo, il GDPR è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.

In tale contesto, le modalità di erogazione delle lezioni in tempo reale, attraverso aule virtuali, costituiscono l’ipotesi più critica quanto alle molteplici tutele che devono essere costantemente garantite sia per gli studenti, che per i docenti impegnati nelle attività didattiche. L’emergenza sanitaria, infatti, pone questioni di ampio respiro connesse al GDPR, come ad esempio l’obbligo di effettuare valutazioni di impatto, o anche l’obbligo di fornire garanzie di sicurezza adeguate, che si collegano alle questioni più generali in materia di smart working.

  • Per quanto concerne la tutela degli studenti, bisogna rammentare che il GDPR prevede precisi oneri informativi agli articoli 13 e 14 sulle condizioni di liceità e le modalità di trattamento corretto, come ad esempio l’indicazione – in tali casi – del responsabile del trattamento ai sensi dell’art. 28 GDPR, che tratta i dati personali per le finalità connesse alla didattica.

Inoltre, occorre prestare attenzione alle modalità di utilizzo della piattaforma, come ad esempio alla gestione degli accessi, ma soprattutto all’utilizzo delle webcam e dell’audio, per evitare trasmissioni non consentite e riproduzioni illecite.

  • Per quanto concerne la posizione dei docenti, il discorso risulta più ampio. In tali casi, infatti, il rispetto del GDPR si interseca con ulteriori fonti normative, come ad esempio:
    • La disciplina sul controllo a distanza dei lavoratori;
    • La disciplina a tutela del diritto d’autore (nella duplice dimensione del diritto morale e patrimoniale d’autore).

Dal confronto con le diverse discipline citate, si pongono molteplici dubbi in merito alla possibilità di registrazione delle lezioni erogate in tempo reale, alle tutele che devono essere apprestate anche nei confronti del docente (si pensi, ad esempio, ai casi di condivisione dello schermo del pc personale del docente).

Inoltre, si pongono questioni in merito alle misure di sicurezza, che dovrebbero essere predisposte.

 

In conclusione, l’emergenza sanitaria ha spinto il settore pubblico e privato ad una fase di “smart working” forzato, in cui permangono ancora molteplici criticità, connessi all’impiego di un dispositivo personale per l’erogazione delle lezioni, ivi inclusi le connessioni personali (Wifi, Adsl, etc.). In questi casi, si pongono questioni:

  • sulle misure relative allasicurezza dei sistemi utilizzati da remoto;
  • sull’adozione o sull’adeguatezza di sistemi antivirus o antimalaware.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

La privacy ai tempi del coronavirus: nessun intralcio alle misure anti-contagio

La data protection ai tempi del coronavirus: come si applica il GDPR?

 

Nella giornata del 16 marzo 2020, il Comitato europeo per la protezione dati (EDPB) ha diramato un Comunicato stampa per fornire orientamenti in merito alla corretta applicazione del GDPR nel grave scenario epidemico in atto.

Il Comitato europeo ha evidenziato come le misure di contrasto al contagio da Covid-19 possano coinvolgere il trattamento di varie tipologie di dati, sia di natura personale che non personale.

A sua volta, nell’ambito del trattamento dei dati personali, occorre ulteriormente distinguere:

  • Il GDPR troverà applicazione per il trattamento dei dati personali, relativi alle persone fisiche;
  • Per il trattamento dati nell’ambito delle Comunicazioni elettroniche, invece, troverà applicazione la direttiva e-Privacy 2002/58/Ce.

 

Per tali ragioni, la normativa in materia di protezione dei dati personali non costituisce, a giudizio del Comitato, alcun motivo di ostacolo alla predisposizione di misure anti-contagio, da parte delle Istituzioni pubbliche e dalle aziende, sia pubbliche che private.

Il Comitato individua il fondamento di liceità delle attuali attività di trattamento negli articoli 6 e 9 del GDPR: di conseguenza, i titolari del trattamento possono raccogliere i dati personali necessari e pertinenti per il contenimento del contagio ai sensi dell’art. 6 e 9 del GDPR, sussistendo motivi di interesse pubblico nel settore della sanità pubblica, ovvero che legittimino il trattamento per proteggere interessi vitali degli interessati.

Qualora, invece, si operi il tracciamento degli interessati attraverso la geolocalizzazione dei dispositivi mobili, per limitare la diffusione del virus, il Comitato rammenta che in base alla direttiva e-Privacy un tale tipo di trattamento richiederebbe il previo consenso dell’interessato, a meno che i dati non siano stati opportunamente anonimizzati.

Qualora non sia possibile procedere al trattamento esclusivo di dati anonimizzati, il Comitato non esclude che gli Stati possano adottare, ai sensi dell’articolo 15 della Direttiva, misure legislative per il perseguimento di finalità di sicurezza nazionale e di pubblica sicurezza, contemperando i principi di necessità, adeguatezza e proporzionalità del trattamento.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti misure adottate a livello europeo confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Privacy e condominio: commette reato di diffamazione l’amministratore che rivela l’altrui morosità

 

Privacy e condominio: quali obblighi?

La protezione dei dati personali trova applicazione anche per il condominio. In tali casi, grava sull’amministratore di condominio (se nominato) rispettare i principi contemplati nel GDPR.

In questi casi, l’amministratore deve agire bilanciando due contrapposte esigenze, ovvero:

  • La tutela della riservatezza dei singoli condomini;
  • La trasparenza nella gestione del condominio.

Le criticità connesse a tale bilanciamento, in realtà, risultano anteriori all’entrata in vigore del GDPR: sin dal 2013, infatti, il Garante privacy aveva realizzato un Vademecum, contenente informazioni operative:

  • sulla qualifica soggettiva del condominio, dell’amministratore e dei condomini;
  • sulle modalità di svolgimento dell’assemblea condominiale (ad esempio, in caso di videoregistrazione delle sedute assembleari).

Nell’ambito delle proprie attività gestorie, i problemi più frequenti che coinvolgono l’amministratore di condominio riguardano gli stati di morosità dei condomini. In tali casi, l’amministratore potrà rispondere del reato di diffamazione, previsto dall’articolo 595 del codice penale, qualora le modalità di comunicazione dello stato di morosità non sia considerato idoneo.

La giurisprudenza ha infatti affermato che risponde del reato di diffamazione l’amministratore di condominio che:

  • per evitare il rischio imminente dell’interruzione della fornitura idrica condominiale, affigga sull’ascensore dello stabile l’elenco dei condomini morosi. In questo caso, la condotta è stata ritenuta sproporzionata e, comunque, ingiustificata atteso l’inevitabile pregiudizio recato alla persona offesa, che ben poteva essere notiziata in altro modo, anche perché l’amministratore era a conoscenza dello stato di insolvenza dei condomini da diverso tempo;
  • rende noto a terzi lo stato di morosità di determinati condomini. Il caso riguardava l’invio, da parte del legale dell’amministratore del condominio, di una serie di lettere di sollecito indirizzate a diversi destinatari nelle quali si dava comunicazione che il condomino era inadempiente al pagamento delle spese condominiali: in tali casi, seppur la notizia fosse vera, il mezzo e la forma verbale adoperata è stata qualificata diffamatoria.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce giurisprudenziali confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da