Articoli

Università “all’esame” del Garante: la tutela del whistleblowing non rispetta il GDPR

Tutela del whistleblowing a prova del GDPR: errori da non commettere

Con il recente Provvedimento del 23 gennaio, il Garante privacy ha sanzionato l’Università La Sapienza di Roma, per una somma pari a 30 mila Euro.

La vicenda, risalente al dicembre 2018, ha ad oggetto l’avvenuta diffusione di dati personali trattati attraverso la piattaforma che l’Ateneo, all’epoca dei fatti, utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi, nell’ambito della disciplina del c.d. whistleblowing.

Come è noto, con l’introduzione della legge n. 179/2017, è stata potenziata l’applicazione on line per le segnalazioni di illeciti o irregolarità e comunicazioni di misure ritorsive, ai sensi dell’art. 54-bis, d.lgs. 165/2001: le Pubbliche Amministrazioni, pertanto, sono tenute a predisporre una piattaforma interna, affinché possano essere effettuate le segnalazioni nel più completo rispetto delle regole sull’anonimato.

Con nota del 14 dicembre 2018 (prot. n. 37333), l’Università degli studi di Roma “La Sapienza” ha notificato al Garante, ai sensi dell’art. 33 del GDPR, la dispersione di dati personali comuni (nome, indirizzo e-mail) relativi a 2 segnalanti.

In particolare, tali dati ottenuti tramite la piattaforma whistleblowing, sono stati oggetto:

  • Di illecita pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate, contenute nell’applicativo;
  • Di indicizzazione delle pagine web in questione da parte di motori di ricerca web.

 

Nel corso dell’istruttoria sono emerse molteplici criticità, inerenti alla sicurezza del trattamento. In particolare, il Garante ha individuato significative criticità in relazione alle misure tecniche per il controllo degli accessi e per il trasporto e la conservazione dei dati.

Per tali ragioni, l’Autorità ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Università degli studi di Roma, per aver, in particolare, omesso di adempiere agli obblighi di sicurezza imposti dall’art. 32 del GDPR.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce del Garante privacy confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Pirateria Ransomware, nuove minacce: se paghi, ti costerà meno delle sanzioni GDPR

Nuove frontiere per la pirateria ransomware

 

Come visto nel precedente post, il ransomware è un programma informatico molto dannoso, perché capace di infettare un dispositivo o un server, impedendone di fatto l’operatività. La maggior parte dei pirati informatici, ormai, non si limita a crittografare i dati sui sistemi delle vittime, ma ne effettua una copia precisando che, in caso di mancato pagamento, tutti i dati e le informazioni rubate sarebbero stati venduti o resi pubblici.

 È questo, ad esempio, il caso di Sodinokibi, che in principio sfruttava una vulnerabilità in Oracle WebLogic per installarsi silente nei computer delle vittime, mentre ora il codice malevolo è inviato con email spam, relative a presunte comunicazioni legali con archivi compressi allegati.

 

Per rendere le minacce più serie, così da ottenere più efficacemente congrui riscatti, uno degli elementi utilizzati è quello di agitare il rischio di una multa ai sensi del nuovo GDPR.

La novità, in questo caso, è che la minaccia di diffondere e rendere pubblici i dati non fa leva sul timore di un danno reputazionale che potrebbe subire l’azienda o la PA: in questi casi, infatti, il cyber – criminale paventa l’attivazione del meccanismo sanzionatorio previsto dal GDPR, in caso di mancato pagamento del riscatto richiesto.

Con questa nuova tecnica, la vittima potrebbe preferire il pagamento del riscatto, piuttosto che incorrere in un eventuale procedimento di accertamento dell’Autorità Garante, che lo esporrebbe all’irrogazione di misure correttive, ma soprattutto di sanzioni amministrative pecuniarie.

 

 

L’importanza della formazione come fattore di prevenzione

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si suggeriscono, i seguenti percorsi formativi e di aggiornamento:

 

/da

Data Breach, il Garante privacy lancia un nuovo modello di notifica

Che cosa cambia?

La gestione di un Data breach costituisce un tassello importante nella trama operativa della Data Protection, che spesso incontra difficoltà nella identificazione delle corrette modalità procedurali di comunicazione e notificazione all’autorità di controllo. Il GDPR prevede che in caso di Data breach, e dunque di violazione dei dati personali, il titolare del trattamento:

  • È tenuto a notificare l’evento al Garante senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
  • Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve altresì fornire adeguata comunicazione a tutti gli interessati, utilizzando a tal scopo i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

 

La gestione del Data breach, tuttavia, non si esaurisce nel predisporre le opportune comunicazioni e/o notificazioni: il titolare del trattamento, infatti, a prescindere dalla notifica al Garante, è tenuto a documentare tutte le violazioni dei dati personali, predisponendo un apposito registro; tale documentazione potrà costituire, successivamente, l’oggetto delle attività ispettive svolte dall’Autorità, nel corso delle eventuali verifiche sul rispetto della normativa.

Con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha introdotto un nuovo modello ufficiale, contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

Alla luce delle nuove prescrizioni, tutti i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante.

 

Come aggiornarsi? Hedya propone percorsi di formazione e aggiornamento

 

Il recente provvedimento del Garante per la protezione dati dimostra che la disciplina della protezione dati non si esaurisce nella mera conoscenza della normativa europea e nazionale, ma richiede costanti interventi di aggiornamento sulle più recenti prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità al GDPR.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

Ulteriori informazioni sono disponibili qui.

/da