databreach Archivi

Articoli

Data breach Unicredit, il Garante infligge una sanzione pecuniaria da 600 mila euro

Il Data Breach Unicredit: quali criticità?

Con il recente Provvedimento del 10 giugno 2020, il Garante ha ingiunto all’istituto bancario Unicredit S.p.A. di pagare la somma di 600 mila euro a titolo di sanzione amministrativa pecuniaria per le violazioni verificatesi nel corso del biennio 2016 – 2017.

La società bancaria, in data 25 luglio 2017, aveva comunicato al Garante di aver subito un’intrusione informatica, verificatasi in due momenti distinti in un arco temporale compreso tra aprile 2016 e luglio 2017: tali attacchi, in particolare, sono stati perpetrati attraverso le utenze di alcuni dipendenti di un partner commerciale esterno (la società Penta Finanziamenti Italia S.r.l.); adoperando l’applicativo “Speedy Arena”, hanno così determinato accessi non autorizzati a dati personali riferiti a circa 762.000 interessati.

Nel complesso, all’esito delle risultanze istruttorie compiute dall’Autorità, è risultato che i dati oggetto della violazione consistevano in:

Dati anagrafici e di contatto;
Professione;
Livello di studio;
Estremi identificativi di un documento di riconoscimento e informazioni relativi a datore di lavoro;
Salario;
Importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban.

Alla luce di tali evidenze, il Garante ha adottato, in data 28 marzo 2019, il provvedimento n. 87 n. 9104006, con il quale ha dichiarato illecito il trattamento dei dati personali posto in essere da Unicredit, in qualità di titolare del trattamento, perché effettuato in violazione:

Delle misure minime di sicurezza previste dagli artt. 33 e ss. del Codice e dal disciplinare tecnico di cui all’Allegato B) al Codice stesso. Con particolare riferimento alle misure minime di sicurezza, l’Autorità ha constatato l’utilizzo di un non idoneo sistema di autorizzazione dell’applicativo Speedy Arena e l’assenza del “limite di accesso” dei profili di autorizzazione ai soli dati necessari per effettuare le operazioni di trattamento
Delle misure prescritte con il provvedimento 192 del 12 maggio 2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”. In tal caso, l’Autorità ha verificato l’inadeguatezza e la non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo Speedy Arena, alla mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo e alla mancata esecuzione di attività di audit interni di controllo;

In sintesi, sfruttando alcune debolezze della sicurezza dell’applicativo, la Società ha subito l’intrusione di soggetti ignoti attraverso le credenziali assegnate al personale Penta: questi hanno avuto accesso ai dati personali presenti in pratiche di finanziamento che non rientravano nell’ambito del mandato di Penta, determinando in questo modo il data breach oggetto della comunicazione del 25 luglio 2017.

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

Le posizioni del Garante evidenziano la necessità, per aziende, società e Pubbliche Amministrazioni, di percorsi formativi:

integrati, che coinvolgano le varie figure professionali;
mirati ad assicurare la sicurezza del trattamento;
aggiornati su tutte le principali questioni connesse al GDPR.

Per tali ragioni, Hedya propone il percorso formativo innovativo “Le Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema. Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

Corsi di formazione per Data Protection Officer

Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALE” per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

2 Luglio 2020/da Hedya

News

Il Garante privacy presenta la relazione 2019: ancora troppe vulnerabilità informatiche

GDPR e tutela degli interessati: quali regole per garantire la protezione dati?

Lo scorso 23 giugno, l’Autorità Garante per la protezione dei dati personali ha presentato la Relazione annuale sull’attività svolta nel corso del 2019.

Nel complesso, le attività consultive e di vigilanza dell’Autorità di controllo si sono incentrate innanzitutto sulle importanti novità introdotte dal GDPR. Al contempo, sono state esaminate le più rilevanti questioni connesse alla tutela dei diritti fondamentali nel mondo digitale, quali ad esempio:

Le implicazioni etiche della tecnologia;
L’economia fondata sui dati e la monetizzazione delle informazioni personali, i Big data e le grandi piattaforme;
L’intelligenza artificiale e le problematiche poste dagli algoritmi;
La sicurezza dei sistemi e la protezione dello spazio cibernetico;
La pervasività delle diverse forme di controllo e sorveglianza, nonché il ricorso sempre più diffuso ai dati biometrici;
Le fake news, l’Internet delle cose e il revenge porn.

Tra i molteplici temi trattati, l’Autorità ha rilevato forti ed elevate criticità sul fronte della cybersecurity: in particolare, la proliferazione di attacchi informatici nel corso del 2019 sarebbe causata dalla scarsa attenzione in ordine alla predisposizione delle più opportune misure di sicurezza. Tale carenza risulta presente non solo nel contesto delle pubbliche amministrazioni, ma anche delle imprese e delle piattaforme on line.

Le tipologie di violazione dei dati personali più frequenti hanno riguardato:

Attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
Accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
Perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
Smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
Comunicazione o diffusione accidentale di dati personali.

L’eccessiva vulnerabilità dei sistemi pubblici e privati sarebbe confermata dal cospicuo numero di data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati, che ammontano a ben 1443.

Per tali ragioni, il Garante ha fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che rendono il dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto ostaggio dell’hacker, che richiede poi alla vittima una ricompensa in denaro considerevole per ripristinare i dati e i documenti.

Secondo il Garante, l’attenzione riposta sulla sicurezza dovrebbe essere massima, dal momento che costituisce una minaccia particolarmente pericolosa nell’epoca del Covid-19, che ha portato molte più persone e per molto più tempo ad essere connesse online.

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dall’Autorità di controllo per la protezione dati dimostra che per poter operare correttamente sul web e nei luoghi di lavoro, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

Il percorso formativo“IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALE” per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.
Il percorso formativo “LE NUOVE PROFESSIONI DIGITALI. Obiettivi, definizioni e obblighi per le Pubbliche Amministrazioni”.

Inoltre, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Si segnalano, per i percorsi formativi e di aggiornamento:

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.
Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

30 Giugno 2020/da Hedya

News

Indennità Covid-19 nel mirino hacker: clonato il portale INPS

L’Inps nel mirino malware: quali condotte adottate dagli hacker?

Come abbiamo esaminato nei precedenti post, nel corso degli ultimi mesi si sono verificati numerosi attacchi malevoli, che hanno sfruttato il timore del contagio e lo stato di necessità economica della popolazione.

Da ultimo, infatti, il portale dell’Inps è stato oggetto di un importante data breach, classificato dal Garante per la protezione dei dati personali come un episodio a rischio “elevato” per i diritti e le libertà dei soggetti coinvolti.

La popolarità e la centralità che l’Inps ha assunto nel corso degli ultimi due mesi, in ragione delle massicce richieste di sussidi economici, hanno costituito gli indispensabili presupposti per il lancio di una nuova campagna malevola. Al fine di indurre i contribuenti in inganno, è stato predisposto un portale che richiamava graficamente ed intuitivamente il sito dell’Istituto di previdenza; l’unica più spiccata differenza con il sito ufficiale consiste nel dominio della pagina fake, creato in data 25 maggio 2020 e registrato come “inps-it[.]top”.

In particolare, sfruttando la richiesta di indennità Covid-19, gli hacker hanno esposto una pagina clone del sito INPS sul dominio fake, proponendo in download una sedicente “domanda per la nuova indennità COVID-19”: il file, in realtà, restituisce un file APK malevolo per utenti Android (con Build$VERSION.SDK_INT < 26). Il malware così veicolato è dunque destinato esclusivamente agli utenti Android.

Dalla prima analisi svolta da Cert-AgID, si è verificato che il download della domanda determina l’installazione sul dispositivo del file “acrobatreader.apk”, contenente un malware di tipo Trojan–Banker. Come esaminato nei precedenti post, una volta installati, i Banking Troyan possono osservare e tracciare le azioni compiute dall’utente: in tal caso, il malware propone le istruzioni per abilitare il servizio di accessibilità, al fine di sfruttare le legittime funzioni di tale servizio e quindi consentire al malware un accesso più ampio alle API di sistema per dialogare con altre app presenti sul dispositivo, al fine di carpire password ovvero informazioni bancarie e della carta di credito.

L’attività fraudolenta così realizzata si aggiunge alla nota campagna di phishing dello scorso aprile, causata ai danni degli utenti Inps.

Le minacce informatiche costituiscono una costante sfida nel trattamento dati. Esse richiedono, in capo al Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:

La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
L’implementazione di misure che garantiscano la privacy by default e by design;
Il rispetto dei diritti dell’interessato;

Si ricorda, inoltre, che il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.

Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute: questi, in realtà, contengono varie minacce, come quelle adware “advertising supported software” (software sovvenzionato da pubblicità). Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

“Smart working, Privacy e Cyber Security”;
“La Protezione dei Dati Personali nei luoghi di lavoro pubblici e privati”.

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

Inoltre, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Si segnalano, per i percorsi formativi e di aggiornamento:

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.
Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

3 Giugno 2020/da Hedya

News

Al via le App di Contact Tracing Covid: in Olanda è già Data breach

App anti-Covid e rischio Data breach

La recente epidemia di Coronavirus ha gradualmente conquistato lo scenario internazionale. Tutti gli Stati membri dell’Unione europea, hanno predisposto nuove misure per il monitoraggio dei contagi, basati software di contact tracing o tracciatura dei contatti, che costituisce una delle azioni di sanità pubblica utilizzate per la prevenzione e contenimento della diffusione di molte malattie infettive.

L’impiego delle App, anche se gestite da autorità pubbliche, richiede comunque il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.

Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, dovranno essere garantiti:

La sussistenza di una base giuridica legittimante le operazioni di trattamento;
La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
La predisposizione di misure che garantiscano la sicurezza del trattamento;
L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.

Tra le misure necessarie, occorre predisporre adeguate misure di sicurezza per evitare la compromissione dei dati. Nel corso dell’ultima settimana, infatti, si è già verificata un primo attacco all’applicazione predisposta in Olanda, Covid19 Alert!, che ha così subito un data breach.

L’app olandese consente di conoscere, similmente a quanto previsto per la app italiana Immuni, se vi è stata la registrazione del telefono di un contagiato positivo al coronavirus in prossimità.

A causa di un errore umano, sono stati resi accessibili e resi pubblici i dati personali relativi a molteplici utenti, come il nome e cognome, l’indirizzo email, nonché password criptate. Tali dati, in particolare, erano accessibili da una diversa app degli sviluppatori.

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

Corsi di formazione per Data Protection Officer

Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

27 Aprile 2020/da Hedya

News

Data Breach Inps, per il Garante è segno di un’insufficiente cultura della protezione dati nel nostro Paese

Il Data Breach Inps: ancora criticità per le PA?

Il caso di Data breach che ha colpito il portale dell’Inps rappresenta soltanto l’ultima delle molteplici violazioni che hanno interessato le Pubbliche Amministrazioni. Come dichiarato dal Garante per la protezione dei dati personali, infatti, l’assenza di adeguate misure di sicurezza per la tutela delle banche dati e dei siti delle amministrazioni pubbliche rappresenta una questione critica costante.

Le amministrazioni pubbliche, infatti, trattano quotidianamente ingenti moli di dati personali, per lo svolgimento delle proprie funzioni e l’erogazione di servizi pubblici online.

Le Pubbliche amministrazioni, in particolare, devono garantire:

La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
L’implementazione di misure che garantiscano la privacy by default e by design;
Il rispetto dei diritti dell’interessato;
La nomina del Data protection Officer (DPO)

Il data breach dell’Istituto ha messo in luce una serie di criticità. Per consentire l’erogazione di sussidi economici, l’Inps aveva istituito sul proprio sito, dal 1 aprile 2020, una pagina dedicata a tale richiesta, previa registrazione del richiedente. Sin dai primi utilizzi del portale, tuttavia, è stato possibile accedere in modo incontrollato ai dati personali di un numero elevatissimo di contribuenti: in particolare, sono stati visibili in chiaro milioni di dati personali relativi ai dati inseriti nella registrazione, tra cui anche gli Iban personali e gli indirizzi di residenza. L’episodio ha dimostrato tutta la vulnerabilità delle misure di sicurezza precedentemente predisposte, violando l’art. 32 GDPR e richiedendo l’intervento del Garante che ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati.

Nel complesso, la violazione ha permesso l’emergere di ulteriori criticità, che non incidono sulle misure di sicurezza. In particolare:

L’assenza di un Responsabile della protezione dati al momento della verificazione della violazione;
La possibile condizione di conflitto di interessi del Resposabile per la protezione dati, per tutto il periodo di esercizio della funzione.

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

Le posizioni del Garante evidenziano la necessità, per le Pubbliche Amministrazioni, di percorsi formativi:

integrati, che coinvolgano le varie figure professionali;
mirati ad assicurare la sicurezza del trattamento;
aggiornati su tutte le principali questioni connesse al GDPR.

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

Corsi di formazione per Data Protection Officer

Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Formazione e consulenza in materia di Digitalizzazione

Il percorso è rivolto:

a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

15 Aprile 2020/da Hedya

News

Università “all’esame” del Garante: la tutela del whistleblowing non rispetta il GDPR

Tutela del whistleblowing a prova del GDPR: errori da non commettere

Con il recente Provvedimento del 23 gennaio, il Garante privacy ha sanzionato l’Università La Sapienza di Roma, per una somma pari a 30 mila Euro.

La vicenda, risalente al dicembre 2018, ha ad oggetto l’avvenuta diffusione di dati personali trattati attraverso la piattaforma che l’Ateneo, all’epoca dei fatti, utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi, nell’ambito della disciplina del c.d. whistleblowing.

Come è noto, con l’introduzione della legge n. 179/2017, è stata potenziata l’applicazione on line per le segnalazioni di illeciti o irregolarità e comunicazioni di misure ritorsive, ai sensi dell’art. 54-bis, d.lgs. 165/2001: le Pubbliche Amministrazioni, pertanto, sono tenute a predisporre una piattaforma interna, affinché possano essere effettuate le segnalazioni nel più completo rispetto delle regole sull’anonimato.

Con nota del 14 dicembre 2018 (prot. n. 37333), l’Università degli studi di Roma “La Sapienza” ha notificato al Garante, ai sensi dell’art. 33 del GDPR, la dispersione di dati personali comuni (nome, indirizzo e-mail) relativi a 2 segnalanti.

In particolare, tali dati ottenuti tramite la piattaforma whistleblowing, sono stati oggetto:

Di illecita pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate, contenute nell’applicativo;
Di indicizzazione delle pagine web in questione da parte di motori di ricerca web.

Nel corso dell’istruttoria sono emerse molteplici criticità, inerenti alla sicurezza del trattamento. In particolare, il Garante ha individuato significative criticità in relazione alle misure tecniche per il controllo degli accessi e per il trasporto e la conservazione dei dati.

Per tali ragioni, l’Autorità ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Università degli studi di Roma, per aver, in particolare, omesso di adempiere agli obblighi di sicurezza imposti dall’art. 32 del GDPR.

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti pronunce del Garante privacy confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

Corsi di formazione per Data Protection Officer

Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Formazione e consulenza in materia di Digitalizzazione

Il percorso è rivolto:

a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

24 Febbraio 2020/da Hedya

News

Pirateria Ransomware, nuove minacce: se paghi, ti costerà meno delle sanzioni GDPR

Nuove frontiere per la pirateria ransomware

Come visto nel precedente post, il ransomware è un programma informatico molto dannoso, perché capace di infettare un dispositivo o un server, impedendone di fatto l’operatività. La maggior parte dei pirati informatici, ormai, non si limita a crittografare i dati sui sistemi delle vittime, ma ne effettua una copia precisando che, in caso di mancato pagamento, tutti i dati e le informazioni rubate sarebbero stati venduti o resi pubblici.

È questo, ad esempio, il caso di Sodinokibi, che in principio sfruttava una vulnerabilità in Oracle WebLogic per installarsi silente nei computer delle vittime, mentre ora il codice malevolo è inviato con email spam, relative a presunte comunicazioni legali con archivi compressi allegati.

Per rendere le minacce più serie, così da ottenere più efficacemente congrui riscatti, uno degli elementi utilizzati è quello di agitare il rischio di una multa ai sensi del nuovo GDPR.

La novità, in questo caso, è che la minaccia di diffondere e rendere pubblici i dati non fa leva sul timore di un danno reputazionale che potrebbe subire l’azienda o la PA: in questi casi, infatti, il cyber – criminale paventa l’attivazione del meccanismo sanzionatorio previsto dal GDPR, in caso di mancato pagamento del riscatto richiesto.

Con questa nuova tecnica, la vittima potrebbe preferire il pagamento del riscatto, piuttosto che incorrere in un eventuale procedimento di accertamento dell’Autorità Garante, che lo esporrebbe all’irrogazione di misure correttive, ma soprattutto di sanzioni amministrative pecuniarie.

L’importanza della formazione come fattore di prevenzione

Per tali ragioni, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Si suggeriscono, i seguenti percorsi formativi e di aggiornamento:

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.
Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

17 Dicembre 2019/da Hedya

News

Data Breach, il Garante privacy lancia un nuovo modello di notifica

Che cosa cambia?

La gestione di un Data breach costituisce un tassello importante nella trama operativa della Data Protection, che spesso incontra difficoltà nella identificazione delle corrette modalità procedurali di comunicazione e notificazione all’autorità di controllo. Il GDPR prevede che in caso di Data breach, e dunque di violazione dei dati personali, il titolare del trattamento:

È tenuto a notificare l’evento al Garante senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve altresì fornire adeguata comunicazione a tutti gli interessati, utilizzando a tal scopo i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

La gestione del Data breach, tuttavia, non si esaurisce nel predisporre le opportune comunicazioni e/o notificazioni: il titolare del trattamento, infatti, a prescindere dalla notifica al Garante, è tenuto a documentare tutte le violazioni dei dati personali, predisponendo un apposito registro; tale documentazione potrà costituire, successivamente, l’oggetto delle attività ispettive svolte dall’Autorità, nel corso delle eventuali verifiche sul rispetto della normativa.

Con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha introdotto un nuovo modello ufficiale, contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

Alla luce delle nuove prescrizioni, tutti i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante.

Come aggiornarsi? Hedya propone percorsi di formazione e aggiornamento

Il recente provvedimento del Garante per la protezione dati dimostra che la disciplina della protezione dati non si esaurisce nella mera conoscenza della normativa europea e nazionale, ma richiede costanti interventi di aggiornamento sulle più recenti prassi applicative.

Per tali ragioni, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità al GDPR.

Si segnalano, per i percorsi formativi e di aggiornamento:

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.

Ulteriori informazioni sono disponibili qui.

11 Novembre 2019/da Hedya