Cookie, le nuove regole

Cookie, una recente ricerca ha portato alla luce una realtà molto amara: il 97% dei siti web in Europa non rispetta almeno una delle previsioni del GDPR. Il dato è emerso a pochissimi giorni dall’entrata in vigore definitiva delle Nuove Linee Guida del Garante per la protezione dei dati personali in tema di privacy e cookie sui siti web:

le nuove Linee Guida sono già in vigore!

I siti web non in regola sono quindi sanzionabili e webmaster e proprietari possono incorrere in sanzioni fino al 4% del fatturato annuale.

Per approfondire > Garante Italiano: in una pagina a tema tutte le nuove linee guida adottate sui cookie


La conformità in pochi passaggi: con Acconsento.click siamo pronti alla sfida

In vista di questa importante scadenza, ci siamo rimboccati le maniche, abbiamo studiato approfonditamente la nuova normativa e migliorato la nostra soluzione Acconsento.click

Acconsento.click è una soluzione in cloud dotata di uno scan engine che individua i cookie attivi sui siti web e genera un'informativa specifica e personalizzata conforme alle disposizioni del Regolamento Generale di Protezione dei Dati e successive linee guida:

  • dal lato del webmaster, acconsento.click è un piccolo blocco di codice da aggiungere al proprio sito web, generato su misura dopo la scansione automatizzata del sito stesso.
  • per l'utente navigante consente la visualizzazione non solo delle informative, ma anche di esprimere un consenso granulare secondo le proprie volontà. L'utente potrà anche modificare le proprie preferenze in qualsiasi momento, grazie al pannello di controllo che vedrà sempre disponibile sul sito web. Il sito web ne guadagnerà in reputazione verso l'utente, che sentirà tenute davvero in considerazione le proprie preferenze. 

Acconsento.click ha recepito le nuove Linee Guida

Le nuove Linee Guida del Garante sono entrate in vigore il 10 Gennaio 2022: adesso i siti web non conformi sono sanzionabili. Con il supporto di importanti studi legali, abbiamo studiato approfonditamente tutte le novità e le abbiamo integrate in Acconsento.click. Adottare Accosento.click renderà immediatamente conforme alle normative attuali (non solo il GDPR, ma anche le Linee Guida del Garante per la protezione dati personali e dell' European Data Protection Board).

Le novità che abbiamo introdotto non sono soltanto miglioramenti funzionali, ma vengono incontro a PRECISI OBBLIGHI NORMATIVI.

Ecco tutte le novità introdotte:

    • Cookie banner:
      i pulsanti “Accetta” e “Rifiuta” sono stati resi obbligatori. Le informative che non prevedono la possibilità di rifiutare il consenso non sono più legali.
    • Scelte granulari per l'utente:
      l'utente adesso può esprimere scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare.
    • Preferenze modificabili in qualsiasi momento:
      l'utente adesso può aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
    • Raccolta del consenso per scorrimento:
      il consenso via semplice scorrimento del mouse è stato reso non valido, come previsto dalla Nuova Normativa.
    • Stop al cookie wall:
      il cookie wall è stato eliminato. Le nuove disposizioni hanno infatti reso illegale l'obbligo di accettare i cookie per poter accedere ai contenuti di un sito web.
    • Validità delle preferenze dell’utente relative al consenso:
      dopo aver chiesto il consenso la prima volta, viene mantenuto per 6 mesi prima di poterlo chiedere nuovamente, salvo se viene svuotata la cache o se vengono cambiate le preferenze dall'utente stesso. 
    • Prova del consenso:
      Acconsento.click fornisce tutto il necessario per dimostrare, in caso di bisogno, che il gestore del sito ha ottenuto un consenso al trattamento dei dati valido perchè espresso secondo le previsioni del GDPR e delle Nuove Linee Guida Cookie.

Insomma non si potranno più utilizzare i cookie?
No affatto, Acconsento.click tiene conto dell'utilità e del valore che i cookie possono fornire ai gestori di un sito web: ecco cosa sarà possibile fare rimanendo conformi alla normativa vigente

  • Installazione di Cookie statistici (analytics)
    i cookie statistici di prima parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo).
  • Installazione di Cookie statistici di terza parte
    I cookie statistici di terza parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni, che possiamo valutare assieme.

Il tuo sito web è in regola? E quello dei tuoi clienti?
Contattaci, valutiamolo assieme e risolviamo il problema!

Adottare Accosento.click garantisce la conformità alle normative attuali in fatto di privacy e cookie!

Comunicazione DPO

Comunicazione DPO al Garante Privacy, la procedure online semplifica la comunicazione.

La procedura online è disponibile oltre che per pubbliche amministrazioni, anche per le imprese tenute alla nomina del DPO, responsabile della protezione dei dati, devono utilizzare per effettuare le dovute comunicazioni al Garante Privacy. Si tratta, lo ricordiamo, dell’adempimento previsto dall’articolo 37 del GDPR, il tanto atteso Regolamento UE che entra in vigore in tutti gli Stati Membri il 25 maggio.

La procedura per la comunicazione dei dati del DPO (RPD – Responsabile Protezione Dati), è disponibile online sul sito dell’Authority. Nei giorni scorsi, il Garante aveva pubblicato un fac-simile della comunicazione, puramente esemplificativa, per consentire ai soggetti coinvolti di familiarizzare con l’adempimento.

Dati richiesti

Il modulo da compilare si compone di quattro parti. Nella sezione A si inseriscono altri dati relativi al soggetto che effettua la comunicazione. E al momento che il titolare del trattamento è l’impresa o il professionista tenuto alla comunicazione dei dati o la pubblica amministrazione, la comunicazione sarà effettuata dal legale rappresentante dell’azienda o dell’ente, o da un suo delegato. Bisogna indicarne cognome, nome e indirizzo di posta elettronica. Se la comunicazione è effettuata dal rappresentante legale, bisogna indicare anche nome e cognome del delegante.

La sezione B è dedicata al titolare o responsabile del trattamento. In base alla definizione contenuta nel GDPR, il titolare del trattamento è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il responsabile del trattamento è :

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Si barra la casella relativa all’iscrizione o meno agli indici nazionali dei domicili digitali e poi si compilano i campi seguenti: denominazione, codice fiscale o partita IVA, e via dicendo. Se il soggetto risulta iscritto agli indici nazionali, è obbligatorio indicare l’indirizzo PEC (posta elettronica certificata), mentre la mail ordinaria è facoltativa. Viceversa, per coloro che non sono iscritti agli indici nazionali, o che operano in altri stati, è obbligatorio compilare il campo dedicato all’e-mail mentre è facoltativa la PEC.

I gruppi imprenditoriali, dovranno compilare anche l’apposita sezione B1, segnalando se il soggetto che effettua la comunicazione è la controllante, una controllata, o se non fa parte di un gruppo imprenditoriale che si è avvalso della designazione del RPD di gruppo.

 

La sezione C riguarda il Responsabile della Protezione Dati (Data Protection Officer). Si indica innanzitutto se il soggetto è interno o esterno (in questo caso, bisogna anche specificare se si tratta di persona fisica o giuridica) e quindi si compilano i campi relativi alle sue generalità e ai dati di contatto.

 

Infine, la sezione D è dedicata alle modalità con cui il titolare dei dati decide di pubblicare i dati di contatto del DPO (sito web o altro).

 

Dopo aver compilato e inviato il file digitale, arriva una mail con un file allegato, che va sottoscritto con firma digitale o firma elettronica qualificata e inviato in formato CAdES, il tutto entro 48 ore. Il file così inviato costituisce l’avvenuta comunicazione: verrà analizzata dal Garante, che può rigettarla o accoglierla.

Attenzione: è molto importante che il file firmato digitalmente corrisponda perfettamente a quello contenuto nella mail inviata, quindi il consiglio è di non aprire il file ricevuto, limitandosi a salvarlo in locale e ad apporre la firma digitale, per non rischiare di vedersi rifiutare la domanda. L’eventuale rigetto è comunicato via mail (all’indirizzo indicato nella sezione A del modulo).

Se invece la comunicazione viene considerata valida, il soggetto che ha effettuato la comunicazione riceve (sempre via mail), un numero di protocollo utilizzato per la registrazione dei dati comunicati. Il titolare del trattamento riceve, all’indirizzo di posta elettronica indicato nella sezione B, un documento informatico con le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati. Il soggetto designato come responsabile del dati riceverà, mediante comunicazione inviata all’indirizzo PEC indicato al punto 5 della sezione C, un documento informatico contenente le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati.

Il numero di protocollo diventa il riferimento per tutte le successive comunicazioni con il Garante privacy.

Green Pass, la soluzione

Green Pass, il famigerato "biglietto verde", sta facendo impazzire imprenditori e pubbliche amministrazioni.

I consulenti inviano continuamente registri e modelli, i responsabili del G.D.P.R., informative e lettere di incarico, alcuni favorevoli al registro dei controlli, altri sfavorevoli.

La maggiore difficoltà si incontra per il titolare, nel dover/poter verificare nel più breve tempo possibile l'effettiva validità del Grenn Pass.

La soluzione oltre ad esistere, è anche facilmente percorribile ad un costo accessibilissimo. Viene in nostro aiuto una soluzione sviluppata da una azienda Leader nel settore della gestione delle presenze.

Parliamo di Libemax S.r.l., azienda Bergamasca, specializzata nella gestione delle problematiche legate alle timbrature, presenze, controllo accessi e gestione.

Libemax ha ideato svariate modalità per supportare, sistemi che non richiedono la presenza di un operatore dedicato (a differenza di App Verifica C19).

Usando l'algoritmo della validazione europea, il Lettore Green Pass consente la verifica di tutti i certificati rilasciati in Europa e, garantendo al 100% la tutela della privacy, non memorizza in alcun modo i dati sanitari e sensibili.

Come da DPCM del 12 ottobre 2021:
Oltre all’app "VerificaC19", saranno rese disponibili per i datori di lavoro, pubblici e privati, specifiche funzionalità che consentono una verifica quotidiana e automatizzata del possesso delle certificazioni. Tali verifiche potranno avvenire attraverso: l’integrazione del sistema di lettura e verifica del QR code del certificato verde nei sistemi di controllo agli accessi fisici, inclusi quelli di rilevazione delle presenze, o della temperatura;

Grazie all'integrazione con App Rilevazione Presenze, prima di ogni timbratura di ingresso al dipendente viene richiesto il Green Pass. Se il certificato è memorizzato sul dispositivo della persona, il processo è automatico.

Ecco le due soluzioni cheil nostro partner Libemax ha ideato:

Funzionalità Presenze

Ogni giorno, alla prima timbratura, verrà richiesto al dipendente di scansionare il QR Code o di caricarlo da galleria (immagine o PDF).

Per tutte le successive timbrature della giornata non sarà più richiesto nulla.

Il giorno successivo, alla prima timbratura, verrà selezionato in automatico il Green Pass verificato il giorno precedente (non viene memorizzato sui nostri server, ma sul dispositivo del dipendente). Se valido non verrà segnalato nulla, al contrario sarà richiesto di aggiornarlo.

Da pannello web sarà possibile vedere lo stato dei certificati dei dipendenti della giornata e i dati anonimizzati dei giorni precedenti.

Sono a disposizione API per collegamenti con sistemi esterni.

Timbratrice mobile

Dopo aver passato il badge, ad ogni timbratura di ingresso verrà richiesto di mostrare il Green Pass. Se il certificato non è valido verrà impedita la timbratura.

Da pannello web sarà possibile vedere lo stato dei Green Pass dei dipendenti della giornata e i dati anonimizzati dei giorni precedenti.

Sono a disposizione API per collegamenti con sistemi esterni.

Non esitare a contattare i nostri esperti per fissare un appuntamento gratuito ed una dimostrazione pratica, potete anche inviare una email a greenpass@mbli.it, sarete ricontattati al più presto.

Telemarketing selvaggio: il Garante sanziona tre call center

Telemarketing selvaggio, il Garante sanziona tre Call Center, questo è il titolo che oggi compare tra le news del sito del Garante della Privacy.

Si iniziano a vedere il primi controlli dell’organo di controllo che per vari fattori ancora non sono entrati nel vivo; un pò per la pandemia, un pò per il ritardo nella partenza, di fatto le aziende che oggi si sono adeguate al G.D.P.R., sono veramente poche, in particolare qui al “SUD”, dove tutto è sempre più “complicato”.

Riportiamo per comodità il testo integrale riportato tra le news del sito del Garante, ricordando che il telemarketing è un servizio sempre più a rischio di violazione privacy.

Telemarketing selvaggio, il Garante sanziona Call Center, il titolo che compare tra le news del sito del Garante della Privacy.

Telemarketing selvaggio: il Garante sanziona tre call center

I primi provvedimenti dell’Autorità dopo quelli sulle compagnie telefoniche

Rispettare la volontà degli utenti di non essere più disturbati, effettuare telefonate di marketing solo con preventivo specifico consenso, adottare adeguate misure tecniche e organizzative per rispettare la privacy degli utenti. Queste sono alcune delle prescrizioni, in aggiunta a sanzioni pecuniarie, che il Garante per la protezione dei dati personali ha imposto a tre società di call center che disturbavano con offerte commerciali indesiderate decine di migliaia di utenti.

[VEDI PROVVEDIMENTI DOC. WEB N. 9577042, 9577065 E 9577371] .

Dopo le sanzioni alle compagnie telefoniche che avevano commissionato ai call center campagne promozionali senza adeguate istruzioni e controlli, l’Autorità ha effettuato verifiche sull’operato delle società incaricate delle attività di telemarketing.

Dalla complessa attività istruttoria e ispettiva del Garante è emerso che i tre call center avevano chiamato numerose persone non incluse nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze ‘fuori lista’.

I numeri telefonici fuori lista erano spesso riferibili a utenti che non avevano fornito un libero e specifico consenso a essere contattati per promozioni commerciali o si erano appositamente iscritti nel Registro pubblico delle opposizioni. In molti, tra l’altro, avevano più volte manifestato agli operatori dei call center o della società committente la volontà di non essere più disturbati e di essere inseriti nelle cosiddette black list.

Alcuni numeri telefonici utilizzati per le chiamate commerciali, inoltre, non appartenevano a utenze “referenziate”, ovvero suggerite da qualche familiare o conoscente, ma erano di provenienza incerta o non verificata e documentata.

Il Garante ha poi rilevato la violazione del principio di privacy by design, ossia la mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal Regolamento Ue (Gdpr).

Nel calcolare l’ammontare delle sanzioni, l’Autorità ha tenuto conto, tra i vari aspetti, del differente livello di gravità delle violazioni commesse dai tre call center e della cooperazione offerta all’Autorità, ma anche del periodo di grave crisi socio-economica collegata all’emergenza pandemica.

Il primo call center ha commesso il maggior numero di violazioni. Ha, tra l’altro, disturbato un numero più significativo di persone e con un’elevata frequenza, tanto che un utente è stato contattato, nonostante la sua opposizione, anche 155 volte in un mese. Dovrà quindi pagare una sanzione di 80.000 euro.

Anche il secondo call center ha presentato criticità di sistema, relative in particolare alla carente verifica della liceità dei dati contenuti nelle liste di contatto acquistate da imprese terze, anche in relazione alla validità dei consensi forniti per il marketing. Durante l’istruttoria il call center ha, però, affermato di aver proceduto alla nomina di un nuovo Dpo e di aver intrapreso un percorso di complessiva revisione della propria strategia commerciale e della privacy policy. Alla società è stata comminata una sanzione di 15.000 euro.

Al terzo call center è stata contestata una sanzione minore, essendosi adoperato per gestire il problema delle liste di utenze telefoniche “referenziate” tenendo traccia di alcuni elementi come l’origine dei dati e gli operatori che avevano lavorato sulle specifiche utenze. La società, in fase di cessazione delle attività e di liquidazione volontaria, dovrà pagare una sanzione di 5.000 euro.

In tutti e tre i casi, il Garante non ha ritenuto validamente utilizzata la base giuridica del legittimo interesse, ha vietato l’ulteriore utilizzo per il marketing dei dati trattati illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati ‘fuori lista’ e a quelli presenti in black list.

Qlocker, dati criptati da ransomware con riscatto in Bitcoin


Qlocker, è il nome del ramsonware che attualmente sta effettuando un’enorme campagna di contagi, che ha come obiettivo quello di crittografare i dati degli utenti che utilizzano dispositivi di archiviazione di tipo NAS, in particolare a marchio QNAP.

Gli aggressori utilizzerebbero 7-zip per la compressione dei dati in archivi protetti da password e chiederebbero il pagamento di un riscatto in Bitcoin.

Il ransomware che sta terrorizzando gli utenti QNAP sin dal 19 aprile scorso (2021) viene identificato con il nome di Qlocker. Secondo quanto spiegato dai colleghi di BleepingComputer, il ransomware sarebbe in grado di utilizzare 7-zip per spostare tutti i dati degli utenti all’interno di archivi compressi e protetti da password.

Mentre l’attacco da Qlocker è in corso, il gestore delle risorse dei NAS QNAP mostra numerose istanze di 7-zip (7z) in esecuzione da riga di comando.

 

Quando il ransomware Qlocker termina la propria procedura, i file del dispositivo QNAP sono memorizzati in archivi 7-zip protetti da password dall’estensione .7z. Per estrarre questi archivi, le vittime devono inserire una password conosciuta solo dall’attaccante.

Dopo che i dispositivi QNAP sono criptati, gli utenti vengono lasciati con una nota di riscatto chiamata “!!!READ_ME.txt” che include una chiave client unica che le vittime devono inserire per accedere al sito di pagamento Tor del ransomware. A tutte le vittime viene detto di pagare 0,01 Bitcoin, l’equivalente di circa 450 euro al momento della scrittura di questo articolo, per ottenere la password necessaria a liberare i propri dati.

 

Recentemente QNAP ha risolto alcune vulnerabilità critiche che potrebbero consentire agli aggressori di ottenere l’accesso completo a un dispositivo ed eseguire un ransomware. QNAP ha risolto queste due vulnerabilità chiamate CVE-2020-2509CVE-2020-36195 il 16 aprile.

QNAP ha risposto alle domande di BleepingComputer affermando che è possibile che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware sui dispositivi vulnerabili. È dunque fortemente raccomandato l’aggiornamento di QTS, Multimedia Console e Media Streaming Add-on alle ultime versioni.

Questo ovviamente non riporterà indietro i vostri file ma vi proteggerà con molta probabilità da futuri attacchi che utilizzano tale vulnerabilità.

Obblighi legali siti WEB

obblighi e leggi per non rischiare sanzioni, la normativa sui siti web è chiara

Aprire un sito web è un’avventura fantastica, che però ha i suoi lati noiosi legati alla burocrazia. Quando si deve pubblicare un progetto online è necessario attenersi alla normativa italiana ed europea relativa alle pubblicazione di contenuti web e al commercio elettronico. Facciamo una rapida analisi della disciplina che regolamenta i comportamenti delle aziende che decidono di lavorare online. 

I dati della tua azienda: come e dove indicarli sul web

Secondo l’Art. 2250 del Codice Civile, tra gli obblighi troviamo i dati societari devono essere obbligatoriamente comunicati online. Ma quali informazioni bisogna comunicare? Dipende dalla natura giuridica dell’azienda:

  • Le Ditte individuali devono indicare la Partita Iva nel sito aziendale (inclusi i siti utilizzati per motivi pubblicitari).
  • Le Società di persone costituite da due o più soci devono comunicare sia negli atti che nella corrispondenza (fatture, DDT) questi dati: la ragione sociale, la sede dell’azienda, codice fiscale/partita Iva, sede del Registro delle Imprese a cui si è registrati e numero di iscrizione e (se esiste) lo stato di liquidazione dell’azienda.
  • Società di capitali di cui fanno parte le Società per Azioni (S.P.A.), le Società a Responsabilità Limitata (S.R.L.) e le Società in Accomandita per Azioni (S.A.P.A.) devono segnalare negli atti, nel sito web, nella corrispondenza (fatture, DDT ed e-mail), nelle pagine aziendali sui social media:

Cosa Comunicare?

  • Ragione sociale
  • Sede della società
  • Partita Iva/ Codice Fiscale
  • Dati relativi al Registro delle Imprese ovvero l’ufficio e il numero di registrazione
  • Capitale sociale relativo all’ultimo bilancio
  • Eventuale stato di liquidazione o stato di società singola

Se non si rispettano queste disposizioni si rischiano delle sanzioni tra i 206 e 2.065 euro inviate dalla Camera di Commercio. Mica male.

E-Commerce: cosa devi sapere se vuoi vendere online, obblighi da rispettare

Il commercio elettronico è regolato dalla normativa comunitaria a cui sono legati i 28 stati membri dell’Unione Europea, vediamo i punti principali della normativa:

  • La direttiva europea 2011/83 detta le leggi del risarcimento: il termine per restituire la merce è di 14 giorni. Le merci si possono restituire anche nel caso si cambi idea o per qualsiasi altra ragione. Eventuali costi di restituzione a carico dell’utente devono essere specificati in anticipo ovvero al momento dell’acquisto o in una pagina apposita dell’e-commerce.
  • I dati del rivenditore e del prestatore devono essere resi pubblici, anche il numero di iscrizione al Registro delle Imprese e l’indicazione degli estremi del responsabile in caso di attività soggette a licenza e altra concessione.
  • Per eventuali extra è vietato ricorrere a caselle preselezionate, come succedeva una volta. Le caselle che elencano i servizi extra devono essere deselezionate di base, sarà poi il cliente a cliccare sui servizi aggiuntivi che desidera acquistare.
  • Il prezzo dei prodotti deve essere chiaro. I costi aggiuntivi devono essere specificati al momento dell’ordine e non al momento del pagamento.

Trattamento della Privacy e i Cookie: tutela i tuoi clienti

I dati sensibili dell’utente che accede o acquista sul sito o che rilascia durante telefonate o altra corrispondenza sono assolutamente riservati. Uno spazio del sito web deve essere destinato all’informativa sulla tutela della privacy. La mancata pubblicazione può dare avvio a sanzioni che vanno dai 6.000 ai 36.000 euro. Per utilizzare i dati dell’utente è necessario un consenso informato, che deve essere dato dopo la lettura di tale informativa. Tra gli obblighi troviamo dal 2012 il comunicare l’uso dei cookies, strumenti che memorizzano i dati di navigazione.

Fusioni e scissioni: puoi comunicarle anche online

Ulteriori obblighi porta il Decreto Legislativo n. 123 del 22 Giugno 2012 che tra le più importanti novità che permettono di raggirare la burocrazia e velocizzare il processo di fusione o scissioni di una società. Se prima si potevano realizzare con con una comunicazione al Registro delle Imprese da qualche anno si possono pubblicare sul sito web aziendale ma questi documenti devono essere autentificati con firma digitale e marcatura temporale.

Se desideri gestire un sito web devi conoscere anche questi lati meno divertenti, ma sempre utili per non rischiare brutte sorprese. Per approfondire l’argomento ti consigliamo di visitare la pagina dedicata alla creazione di nuove imprese in Europa, dove potrai trovare tanti spunti per migliorare il tuo progetto imprenditoriale dal punto di vista legislativo.

Cancellazione Sicura

Cancellazione Sicura grazie all’introduzione del GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati) maggio 2016, ha portato alla ribalta le strategie di distruzione dei dati e l'obbligo della cancellazione sicura.

Grazie alle multe potenzialmente punitive per la mancanza di conformità e per la responsabilità ora in capo al team dei leader senior, lo storage dei dati è ora fermamente in cima alle priorità per molte organizzazioni.

Tuttavia, conoscere il problema e intraprendere delle azioni pragmatiche per affrontarlo sono chiaramente due cose diverse.

Il problema è che le organizzazioni non sempre sanno dove si trovano i loro dati, così rispondere alle richieste di accesso per soggetto (subject access requests, SAR) in relazione alle informazioni personali è destinato a diventare un processo complesso e dispendioso in termini di tempo e denaro.

Ai sensi dell’Articolo 17 del GDPR, le organizzazioni devono essere in grado di dimostrare di utilizzare processi di cancellzione sicura dei dati in maniera permanente.

Una volta intrapresa la verifica iniziale dei dati (la maggior parte delle organizzazioni dovrebbe essere a buon punto nel completamento di questo processo in preparazione al GDPR) la fase successiva consiste nell’eliminare i dati personali che non sono più rilevanti, che non sono più utilizzati per uno scopo specifico o che si riferiscono a minori di anni 16.

Cancellare sicura dei dati

In ogni caso, eliminare semplicemente i dati o riformattare i supporti magnetici (inclusi hard disk e nastri) non sarà sufficiente per garantire che non siano presenti dati personali inesatti in qualche parte dell’attività.

Se i dati vengono eliminati da qualsiasi tipo di supporto, in molti casi possono essere recuperati, anche quando l’hardware è danneggiato da acqua o fuoco.

Fortunatamente, sono disponibili molte soluzioni software che ripuliscono completamente i dispositivi in modo che essi possono essere riutilizzati, rivenduti o riciclati in modo sicuro.

Esistono anche soluzioni che assicurano la cancellazione sicura, sia in maniera permanente solo file specifici e mirati. Esistono ovviamente anche soluzioni di cancellazione più definitive, come il degaussing, che smagnetizza i nastri magnetici e rende il dispositivo completamente illeggibile (e inutilizzabile), il processo è chiamato cancellazione sicura.

I dischi virtuali dovrebbero anche essere considerati come parte di qualsiasi processo di eliminazione dei dati. I fornitori di servizi di terze parti in particolare utilizzano l’infrastruttura virtualizzata per ripartire lo spazio storage su più clienti, al fine di ottenere delle economie di scala.

Molti fornitori si trovano quindi a dover affrontare il problema di eliminare in maniera sicura determinate aree dell’infrastruttura di storage virtuale lasciando il resto intatto, per esempio in caso di scadenza per un cliente del contratto dei servizi gestiti.

I rischi delle unità fisiche

Un’altra importante fonte di rischio sono le unità fisiche, che tendono a essere riciclate e riutilizzate dalle organizzazioni che cercano di contenere i costi dello storage.

Se non si utilizzano gli strumenti e i software adeguati per la cancellazione dei dati, le organizzazioni non possono avere la certezza che siano stati rimossi i dati sensibili prima che il dispositivo venga reimplementato o rispedito al produttore.

In una ricerca condotta su 64 dischi acquistati online da diversi paesi, tra cui Stati Uniti, Germania, Francia, Italia, regione Asia-Pacifico, Polonia e Regno Unito, una azienda leader nel settore ha rilevato che 30 dischi contenevano ancora tracce di dati personali.

Uno dei dischi, in particolare, ha fatto scattare un allarme. Apparteneva a una società che si avvaleva di un service provider per cancellare e rivendere vecchi dischi.

Nonostante questo, il disco conteneva un’elevata quantità di informazioni altamente sensibili, tra cui nomi utente, indirizzi di abitazioni, numeri di telefono e dettagli delle carte di credito.

Conteneva un elenco di dipendenti di circa 100 nomi che includeva informazioni relative a esperienza lavorativa, titoli professionali, numeri di telefono, conoscenza delle lingue, periodi di ferie e 1 MB di rubrica offline.

Quasi un terzo (21 dischi) conteneva foto personali, documenti privati, e-mail, video, audio o musica. Su otto dischi sono state trovate informazioni relative ad account utente, compresi dati di accesso come nomi e cognomi, dettagli di contatto, indirizzi e-mail, nomi e password di account online.

Su circa 9 dischi sono stati recuperati dei dati commerciali, tra cui nomi di società, buste paga, numeri di carte di credito, informazioni sui conti correnti bancari, dettagli di investimento e dichiarazioni dei redditi.

Il problema si estende al mondo business, dato che gli accessi agli account aziendali degli utenti vengono effettuati dai dispositivi mobili personali. Nel corso di questa indagine, abbiamo rilevato che sei dischi contenevano dati di business critichi come file CAD, PDF, JPG e password.

Abbiamo inoltre trovato configurazioni complete di store online, file di configurazione e video di training per POS nella nostra valutazione di questi sei dischi. Altri cinque includevano ulteriori dati relativi al lavoro: fatture e ordini di acquisto, la maggior parte dei quali riportava informazioni personali sensibili.

Gli utenti non conoscono i rischi

In un sondaggio precedente condotto su 2.000 consumatori del Regno Unito, abbiamo scoperto che molti utenti non sono consapevoli dei rischi derivanti dal mancato backup dei dati o da uno scorretto riciclo dei propri dispositivi.

Quasi 1 su 10 (11%) ha ammesso di non essere sicuro che i dati fossero stati cancellati in maniera permanente nel momento di riutilizzare o gettare via vecchi cellulari, tablet o computer.

Solo il 32% ha affermato di effettuare regolarmente il backup dei dati sui propri dispositivi elettronici, mentre il restante 68% rischia la perdita di informazioni personali o lascia i dati sui propri dispositivi che possono essere persi, danneggiati, rivenduti o smaltiti.

Indagini forensi

Nel mondo si è verificata una proliferazione di gadget, dagli smartphone agli iPad fino ai digital assistant con comando vocale, televisori e frigoriferi in grado di registrare e trasmettere dati.

I sensori industriali e le telecamere CCTV contribuiscono a produrre dati così estesi e complessi che è necessario un nuovo approccio per archiviarli, proteggerli e cancellarli su richiesta dei singoli.

Gli esperti di informatica forense possono utilizzare i dati per costruire o fare a pezzi una causa. Un esempio di tale possibilità si è registrato quando la pubblica accusa ha scoperto che i dati Fitbit di una donna assassinata non combaciavano con l’alibi del marito.

In base alle posizioni registrate dal Fitbit e dal controllo dell’attività, gli investigatori hanno potuto compilare una cronologia degli spostamenti che ha dimostrato che la donna non era nel luogo indicato dal marito al momento dell’omicidio. Richard Dabate è ora fuori su cauzione, in attesa del processo per aver ucciso la moglie.

Questo caso serve a dimostrare che un esperto di informatica forense caparbio sarà in grado di recuperare i dati da quasi tutti i dispositivi, indipendentemente dallo stato in cui si trovano.

I numerosi studi che abbiamo condotto nel corso degli anni sui dispositivi persi o riciclati mostrano spesso una mancanza di attenzione, che espone gli individui e le organizzazioni per cui lavorano a un elevato livello di rischio.

L’effetto GDPR

Con l’entrata in vigore della nuova legislazione GDPR, le società, sia del settore pubblico che di quello privato, dovranno dimostrare che i dati sono stati cancellati in maniera sicura, in linea con le nuove linee guida, e documentare di essere completamente affidabili per il monitoraggio, la revisione e l’accesso alle relative procedure di trattamento.

Dovranno mostrare disponibilità a ridurre al minimo l’elaborazione e la conservazione non necessaria dei dati, oltre a implementare misure di protezione per tutte le attività correlate ai dati stessi.

Molte organizzazioni stanno già considerando il GDPR come un motivo per applicare le best practice alle proprie strategie di data storage.

Implementare una politica di cancellazione end-to-end comporta parecchi vantaggi di business, non derivanti semplicemente dall’attenzione che viene ora dedicata alla legislazione rivista in ambito europeo.

Costi – il data storage, sia fisico che virtuale, è costoso. Essere in grado di cancellare i dati in maniera sicura consente alle società di riciclare e riutilizzare i supporti di archiviazione senza il timore di mettere inavvertitamente i dati sensibili nelle mani di altri.

Sicurezza – La differenza tra eliminazione e cancellazione è spesso fraintesa e talvolta si pensa che siano la stessa cosa. È importante per le società comprendere che se i dati vengono eliminati, essi possono essere recuperati. Al contrario, se sono adeguatamente cancellati, saranno irrecuperabili.

Restare aggiornati – L’attenzione sulla conservazione e la cancellazione dei dati non è una novità (PCI DSS, ISO 270001), ma dato che il mondo diventa sempre più dipendente dai dati, è comprensibile che si avverta l’esigenza di regolamenti maggiormente focalizzati e applicati a livello mondiale.

Il GDPR regolerà anche importanti aspetti come la globalizzazione o sviluppi tecnologici popolari, come Facebook, Twitter, Google+ e altre piattaforme di social media. La nuova legislazione comprenderà tutte le nuove modalità di comunicazione dell’era digitale e le relative informazioni che vengono generate dalla nostra interazione con questa tecnologia.

In base alla nostra esperienza, sembra che i professionisti nella protezione dei dati siano in generale ben informati in relazione alla nuova legislazione GDPR.

La sfida per loro è quella di colmare il divario tra i requisiti teorici e le attività pratiche di implementazione, oltre a gestire l’impatto che tutto ciò avrà sulle aziende per cui lavorano. Ciò include la capacità di cancellare i dati in maniera sicura e con un processo verificabile.

Al contrario, ci sono ancora parecchie organizzazioni che non hanno assegnato le attività associate alla protezione dei dati all’interno del proprio business, che si tratti di un singolo addetto alla protezione dei dati o un team. Per queste società, il tempo sta scadendo.

Cosa sta facendo la tua organizzazione per smaltire i dati in maniera adeguata e perché? Credi di essere preparato per il GDPR?

Cancellare i dati in modo certo e definitivo al momento della dismissione del device o della sostituzione dell'unità di memoria è un obbligo ripetutamente indicato dal GDPR:


Art. 4 del GDPR 2016/679

Nella definizione di "trattamento" sono incluse la cancellazione o la distruzione dei dati.


Art. 5 del GDPR 2016/679

Si specifica che i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.


Art. 17 del GDPR 2016/679

Si obbliga ad avvalersi di sistemi di rimozione certificata per rimuoverli in modo permanente nel rispetto della loro Privacy (diritto all'oblio).

VPN, cos'è e come funziona

Le Virtual Private Network (VPN) rappresentano un modo per estendere l’accessibilità delle reti aziendali anche a utenti remoti e altri siti dell’impresa in modo il più possibile sicuro, flessibile ed economico. Possono essere oggi implementate in diverse modalità per venire incontro alle specifiche esigenze degli utenti.

Quasi tutte le aziende che hanno una rete informatica interna, con computer, server e sistemi di archiviazione dei dati, hanno anche anche dipendenti o collaboratori che si trovano a lavorare (stabilmente o temporaneamente) in mobilità o da casa. Molte hanno anche sedi distaccate, più piccole di quella centrale, quali uffici periferici, punti vendita, magazzini o stabilimenti. Da anni esiste la tecnologia VPN (Virtual Private Network) per risolvere queste problematiche. Vediamo di cosa si tratta.

Cos’è una VPN e a cosa serve

Il significato di VPN è Virtual private network ed essa consente alle aziende di ampliare praticamente senza limiti geografici la propria rete privata centrale, creando una “rete virtuale privata”, che permette a utenti e siti periferici (branch) di connettersi al “major network” aziendale attraverso reti IP geografiche noleggiate da provider di telecomunicazioni, basate sul protocollo Mpls (Multiprotocol Label Swithcing), o reti pubbliche e condivise come Internet e le piattaforme cloud.

Grazie alle VPN Mpls o quelle over Internet, gli utenti remoti o i siti esterni di un’azienda possono collegarsi, da qualsiasi parte del mondo, in qualunque momento e con i dispositivi più disparati, alla LAN (Local area network) delle proprie sedi aziendale, in modo sicuro e il più possibile economico. Nell’ambito di queste connessioni, i client possono stabilire comunicazioni con un singolo computer o con tecnologie condivise con altri utenti quali un server applicativo, un database, un NAS (Network Attached Storage), stampanti e così via.

Cosa significa tunneling?

Alla base del funzionamento di una Virtual Private Network vi è la creazione di un tunnel (ovviamente virtuale) all’interno del quale due o più partecipanti a una sessione virtual private network possono scambiarsi dati al riparo da occhi indiscreti. Per la creazione di questo canale privato, pur utilizzando un’infrastruttura condivisa, è necessario un protocollo di tunneling. Di queste tecnologie oggi ne esistono di diverse, ma tutte hanno in comune alcuni aspetti.

Ecco come funziona una VPN

Innanzitutto nel data center dell’azienda, o nel suo private cloud (nel caso si abbia optato per questa soluzione) deve essere installato un server VPN, chiamato anche Virtual private network Hub o Central Hub, su cui sono gestiti tutti e tre i livelli del framework di sicurezza di una Virtual Private Network:

  • un sistema di autenticazione degli utenti,
  • un layer per la gestione dei metodi di cifratura dei dati scambiati fra i vari nodi della rete,
  • un firewall che controlla gli accessi alle diverse porte delle reti.

Il VPN Hub deve essere anche connesso a un router e a uno o più switch che permettono l’assegnazione di indirizzi IP pubblici (statici o dinamici) a tutti i partecipanti della VPN (dati che devono necessariamente essere presenti negli header dei pacchetti incapsulati nei tunnel).

Quindi, tutti i dispositivi che gli utenti intendono utilizzare devono essere dotati di un client VPN, che può anche essere:

  • un’applet nativa del sistema operativo del dispositivo;
  • un software o un estensione per il browser scaricabile dal sito del gestore di servizi VPN;
  • un agente software fornito insieme a un hardware che supporti la creazione di queste reti (router, firewall, NAS, etc);
  • un programma sviluppato da un vendor di sicurezza.

Tipi di VPN per topologia

Virtual Private Network è un modo di utilizzare le reti condivise e pubbliche globali per ampliare in modo controllato e protetto i confini di un major network aziendale privato, ma non significa un unico tipo di tecnologia e di implementazione.

Da un punto di vista delle topologie di VPN possiamo identificarne due tipi, spesso compresenti nella stessa azienda:

  • le VPN remote access, è la tipologia più semplice e comune e prevede esclusivamente la possibilità che alcuni utenti possano connettersi da remoto al major network dell’azienda.
  • le VPN site-to-site permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi.

Questo tipo di VPN, dal punto di vista topologico, utilizza solitamente il modello hub-and-spokes. Il nome deriva dall’analogia con la ruota di una bicicletta. In questo caso l’hub (mozzo) è il major network aziendale, presso il quale si trova il server VPN. Gli spoke (raggi) sono le reti geografiche (MPLS o Internet) utilizzate per connettere al major network le sedi remote. Anche presso quest’ultime possono essere implementate soluzioni di Virtual Private Network che permettono l’accesso ai loro server da parte di utenti remoti o ulteriori branch che – a cascata – possono anche essere reinstradati verso il major network della sede centrale.

Tipologie di soluzioni per sicurezza, amministrazione e flessibilità

Oltre alle differenze topologie, esistono fra le Virtual Private Network anche diversità in funzione del livello di security e non solo. In particolare le VPN si suddividono in tre principali categorie: Trusted VPN, Secure VPN e Hybrid VPN.

Trusted VPN

Le Trusted VPN sono reti private virtuali in cui non è previsto un tunneling crittografato. Tradizionalmente appartengono a questa categoria le Virtual Private LAN create all’interno di un’azienda. I Virtual Private LAN Services si basano sul sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra.

Come abbiamo già segnalato, le VPN non necessariamente utilizzano Internet come rete geografica: possono utilizzare anche le WAN MPLS. Questi fornitori sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. Nel loro armamentario, quindi, ci sono le tecnologie utilizzate dal Trusted VPN.

Secure VPN

Il vantaggio principale delle Secure VPN è che i tunnel VPN sono creati utilizzando protocolli di cifratura e sicurezza quali IPsec, TSL/SSL, PPTP (Point to Point Tunneling Protocol) o SSH. Tali protocolli sono utilizzati da entrambi i nodi di una VPN. Di conseguenza, se un hacker riuscisse a intercettare i pacchetti di un traffico di rete, vi troverebbe dentro solo dati illeggibili. A differenza di una Trusted VPN, una Secure VPN consente di utilizzare Internet in modo estremamente flessibile: quello che conta è solo avere a disposizione delle connessioni, anche Wi-Fi pubbliche.

Hybrid VPN

Oggi sta emergendo il modello Hybrid VPN, che consente di coniugare i vantaggi delle Trusted VPN (come il controllo dei percorsi) e delle Secure VPN (la crittografia dei contenuti e dei tunnel). Molte Trusted VPN si stanno aggiornando con l’aggiunta di funzionalità Secure Virtual private network come security overlay sulle tecnologie già utilizzate.

VPN e sicurezza informatica

Sono molti i vantaggi delle VPN in termini di sicurezza. Innanzitutto, l’autenticazione degli utenti, che oggi può non avvenire solo con l’utilizzo di username e password, ma anche con smartcard, riconoscimento biometrico e altri metodi ancora.

Quindi la privacy dei dati. I principali protocolli utilizzati per creare VPN utilizzano algoritmi e protocolli crittografici molto robusti. E questo vale tanto per prodotti open source quali OpenVPN e SoftEther VPN, quanto per le tecnologie non a sorgente libero come SSTP, introdotto da Microsoft nel 2007, che sfrutta la tecnologia SSL 3.0, e IKEv2 , sviluppato da Microsoft e Cisco, che punta invece sulla tecnologia IPsec.

Dal punto di vista della sicurezza, va segnalato che il protocollo di tunneling MPPE è ormai da considerarsi obsoleto. Vi è poi il protocollo L2TP, che funziona a livello 2, non include un sistema di crittografia specifico, ma permette di creare tunnel che possono trasportare comunicazioni cifrate con diversi protocolli. Una sua evoluzione è L2TP/IPsec, in cui IPsec viene utilizzato per l’autenticazione. Un aspetto di security che va considerato, nel caso un’azienda optasse per servizi in cloud, è se il provider raccoglie o no informazioni sull’utilizzo dei servizi virtual private network, e che uso ne fa.

Come scegliere una Virtual Private Network

La scelta della soluzione giusta non può non richiedere un’attenta valutazione dei pro e dei contro dei diversi tipi di VPN, dei protocolli di sicurezza utilizzati e del fornitore della tecnologia o dei servizi gestiti.

Per creare Virtual private network con i metodi tradizionali, utilizzando i software più diffusi (e spesso nativi) e poco hardware, non si spende molto: l’importante è avere risorse competenti. Sul mercato ci sono anche ottimi fornitori di VPN as a service, utilizzati anche da molti utenti consumer, che offrono tariffe competitive che partono da pochi dollari al mese per utente, con molti gigabyte a disposizione e la possibilità di utilizzare più dispositivi contemporaneamente. Di certo salgono se si desidera implementare, on-premises o in cloud, soluzioni scalabili, affidabili, con funzionalità di amministrazione e sicurezza avanzate come la central client administration e il security policy enforcement.

Inoltre, va tenuto presente l’emergere delle VPN layer 3. Sempre più aziende desiderano connettere un numero crescente di siti e di relative LAN, al major network e fra di loro, in modalità virtual private network. Questo comporta un esplosione di indirizzi IP da gestire, moltissimi dei quali inevitabilmente identici. Diventa necessario quindi affrontare la situazione a livello di internetworiking, e quindi di livello 3 del modello OSI (network). I provider di servizi MPLS, grazie all’esperienza nella connettività site-to-site, sono avvantaggiati nel fornire soluzioni layer 3, che se sfruttano le proprie infrastrutture, sono chiamate MPLS Layer 3 VPN. Ma in molti casi anche le L2 sono e resteranno sufficienti.

Alcuni criteri per scegliere le VPN migliori

Per scegliere le VPN migliori è necessario basarsi sulle proprie reali esigenze, valutare le funzioni opzionali disponibili, tenendo presente che una buona opzione deve essere caratterizzata da riservatezza, sicurezza e dalla capacità di proteggere le informazioni. Può essere necessario rivolgersi a soluzioni premium.

Tra le funzioni da valutare la possibilità di fruire del servizio di split tunneling per accedere in modo trasparente a più domini di sicurezza; la garanzia che eventuali errori DNS siano risolti; la disponibilità del servizio kill switch che permette di mantenere sempre aperta la connessione virtual private network anche nel caso di interruzione di Internet.

Breve riepilogo dei protocolli utilizzati da virtual private network sicure

Ecco qui di seguito i protocolli più conosciuti che implementano una virtual private network sicura, esse solitamente utilizzano protocolli crittografici, anche se non sempre.

  • IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell’IPv6);
  • PPTP (point-to-point tunneling protocol) di Microsoft;
  • SSL/TLS, utilizzate sia per il tunneling dell’intera rete sia per assicurarsi che sia essenzialmente un web proxy;
  • VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN;
  • MPVPN (Multi Path Virtual Private Network), è il trademark registrato da Ragula System Development Company.

Alcune reti VPN sicure non usano algoritmi di cifratura, in quanto partono dal presupposto che un singolo soggetto fidato possa gestire l’intera rete condivisa e che quindi l’impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che si basano su questa filosofia sono per esempio:

  • L2F (layer 2 Forwarding), sviluppato da Cisco;
  • L2TP (Layer 2 Tunneling Protocol), sviluppato da Microsoft e Cisco;
  • L2TPv3 (layer 2 Tunneling Protocol version 3);
  • Multi Protocol Label Switching (MPLS), spesso usato per costruire una Trusted VPN.

GDPR: da fine maggio le sanzioni

Verso il primo anno dall'entrata in vigore del Regolamento Privacy 679/2016: in vista ispezioni e sanzioni in caso di violazioni relative a GDPR.

Recentemente, il Garante della protezione dei dati personali ha definito il regolamento europeo come “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”.

La nuova normativa ha avuto un impatto positivo nella sensibilità dei cittadini. Infatti, secondo i dati pubblicati dall’Autorità Garante nel bilancio relativo al primo anno dall’entrata in vigore del GDPR.

Al 31 marzo scorso sono stati registrati 7.219 reclami, in costante aumento dal 2018, e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi, a questi dati si aggiungono il numero dei contatti con l’Ufficio relazioni del Garante, quasi 10.000 e le comunicazioni dei dati di contatto dei Responsabili Protezione Dati quasi 50.000.

GDPR: controlli Privacy e GdF nelle imprese, la novità adesso è data dalla dall’immediatezza della scadenza del periodo di tolleranza per le inadempienze previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101, dal 20 maggio il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati.

Al termine del periodo di tolleranza prenderanno il via le ispezioni in collaborazione con la Guardia di Finanza.

In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute. In ambito pubblico, si porrà l’attenzione sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.

In presenza di una violazione si possono avere varie conseguenze:

  • l’autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell’immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
  • se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali;
  • la violazione può portare a danni reputazionali a carico del titolare  con gravi conseguenze sull’attività dell’azienda;
  • la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari;
  • la violazione può portare all’applicazione di sanzioni amministrative da parte dell’autorità di controllo;
  • la violazione può portare all’applicazione di eventuali sanzioni penali.

Il regolamento europeo distingue due gruppi di violazioni.

Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:

  • inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
  • inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
  • inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:

  • inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
  • inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.

L’autorità di controllo ha il potere di irrogare sanzioni correttive.

Essi consistono nel:

  • rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
  • rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
  • imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
  • ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
  • revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
  • infliggere le sanzioni amministrative pecuniarie;
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Il timore dell’erogazione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.

Secondo una ricerca pubblicata a febbraio 2019 dall’Information Security & Privacy della School of Management del Politecnico di Milano solo il 23% delle imprese italiane si è adeguata al GDPR, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l’88% ha un budget dedicato.

Nel workshop organizzato da PrivacyLab a metà aprile 2019 sono numerosi i siti istituzionali ancora senza informativa privacy aggiornata, uno studio di Federprivacy evidenzia fenomeno più grave ed esteso: il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri, e il 36% non rende noti i recapiti per contattare il DPO, figura obbligatoria per tutte le pubbliche amministrazioni.

Compilance, ottemperare al G.D.P.R.

La nostra suluzione per la compilance G.D.P.R.

Ottemperare correttamente alle disposizioni ed essere compliant al GDPR, le aziende devono definire un percorso di adeguamento e poter dimostrare le azioni implementate e quelle ancora da fare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento consigliato è articolato in 7 step, vediamoli nel dettaglio.

Il regolamento generale sulla protezione dei dati personali UE 2016/679 (GDPR), già in vigore ma pienamente applicabile dal 25 maggio 2018, ha introdotto un vero e proprio cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio elenco delle misure minime di sicurezza da adottare) e la definizione di un sistema articolato di governance dei dati personali.

Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection.

In questo contesto, è fondamentale per ciascuna delle organizzazioni che deve adeguarsi definire un percorso strutturato e sostenibile per essere GDPR compliant entro maggio 2018 e, allo stesso tempo, essere in grado di dimostrare sia le azioni implementate, e le relative motivazioni, sia le azioni ancora da implementare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento al regolamento europeo sulla privacy consigliato è articolato in 7 step:

  1. identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali (es. settore bancario – circolare n.285 del 17 dicembre 2013) e tenendo costantemente monitorata l’emanazione di nuove disposizioni e linee guida delle competenti Autorità nazionali ed europee;
  2. individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo «attivo» in fase di pianificazione, esecuzione e monitoraggio di tale percorso, ma anche nella gestione del modello di funzionamento a regime (potrebbe essere importante coinvolgere, per esempio, le funzioni Legale, Organizzazione e Risorse Umane, Sistemi Informativi, Sicurezza e Compliance);
  3. analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali, evidenziando gli assi del modello per i quali sono già state implementate delle azioni GDPR compliant, almeno in parte (per esempio nomina di responsabili esterni del trattamento, adozione di procedure per la gestione dei diritti degli interessati);
  4. mappatura preliminare dei trattamenti e creazione del registro dei trattamenti (vedi articolo 30 del GDPR), con riferimento al duplice ruolo di titolare e responsabile del trattamento potenzialmente ricopribile dall’organizzazione, e identificazione del livello di rischio associato al singolo trattamento, da legare a variabili quali le categorie di dati trattati e di interessati coinvolti, l’utilizzo di sistemi automatizzati e il trasferimento di dati extra UE;
  5. identificazione e classificazione dei gap da colmare per essere GDPR compliance, sia a livello di modello di funzionamento della Data Protection sia a livello di singoli trattamenti censiti all’interno dei registri dei trattamenti, per i quali è necessario valutare attentamente i rischi di non conformità (sanzioni, perdite finanziarie rilevanti o danni reputazionali);
  6. definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati da chi deve adeguarsi, organizzate in funzione di cantieri e sotto-cantieri di lavoro facilmente riconducibili ai requisiti del regolamento (es. cantiere “Legale” e sotto-cantieri “Diritti degli interessati”, “Informative e consensi”, “Fornitori e contratti”), ai quali è necessario attribuire un accountability univoca e condivisa tra i vari attori coinvolti nel percorso;
  7. implementazione del piano di adeguamento al GDPR precedentemente definito che, a titolo esemplificativo e non esaustivo, includerà: introduzione della figura del Data Protection Officer; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure (es. gestione dei diritti degli interessati), progettazione ed erogazione di iniziative volte sensibilizzare e formare dipendenti e collaboratori; revisione delle misure di sicurezza per la protezione dei dati personali

Per la buona riuscita del percorso, inoltre, occorre non sottovalutare la necessità di assicurare il coordinamento complessivo dello stesso attraverso: l’introduzione di un PMO (Program Management Officer); la realizzazione di allineamenti periodici, sia di natura operativa sia di natura strategica (Steering Committee); la raccolta, condivisione e archiviazione della documentazione prodotta all’interno di un unico repository.

Per concludere, è importante sottolineare che nell’ottica dell’accountability il percorso progettuale di adeguamento al GDPR costituisce già un elemento importante per la valutazione della compliance. È importante che tutte le decisioni rilevanti siano opportunamente documentate e consentano di ricostruire l’iter seguito. Andranno documentate, a titolo puramente esemplificativo, le decisioni di dotarsi o meno di un Data Protection Officer, le valutazioni circa l’adeguatezza delle misure di sicurezza adottate, le scelte di effettuare o meno una valutazione di impatto su un trattamento di dati personali.

Articolo preso da zerounoweb

Obbligo formazione, col Gdpr.

Obbligo della formazione per il nuovo regolamento privacy, il GDPR introduce l’obbligo della formazione a tutti i livelli, all’interno di società e P.A. Chi non si adegua rischia grosse sanzioni. Vediamo impatti, soluzioni e opportunità.

Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).

La base normativa

Si tratta di una novità rilevante in quanto il decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. aveva abrogato nel 2012 l’obbligo di formazione previsto al punto 19.6 del Disciplinare tecnico in materia di misure minime (allegato B al D.Lgs, 196 del 2004 “Codice della privacy) che prevedeva: “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

La formazione privacy restava e resta obbligatoria nel settore sanitario v. art. 83 del Codice della Privacy che prevede l’obbligo delle strutture di attivare “ la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

L’art. 29 del sopra citato regolamento prevede, infatti, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare ”.

Il Gruppo di lavoro ex 29 nel parere n. 3/2010 aveva individuato tra le misure comuni concernenti la responsabilità “un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.

La centralità della formazione è confermata anche dall’art. 32 “Sicurezza del trattamento” paragrafo 4 che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Come sarà la formazione

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.  Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti.

La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.

Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).

La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.

Che devono fare PA e aziende

Gli Enti pubblici le imprese, pertanto, devono:

– pianificare quanto prima un percorso ed un piano di formazione;

– accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018, data in cui il Regolamento, già in vigore, esplicherà i suoi effetti;

– prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;

– individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica;

Nella progettazione dei corsi di formazione, occorre esaminare ed individuare: i fabbisogni formativi, la struttura dell’Ente o dell’impresa, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna sessione formativa nonché le relative modalità di erogazione (in aula o a distanza) ed i precedenti corsi predisposti in materia.

Occorrerebbe, inoltre, stabilire aree di priorità di intervento, a titolo esemplificativo ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ed infine le persone autorizzate al trattamento.

Queste ultime, corrispondono agli ex incaricati del codice privacy e sono, sostanzialmente, tutti coloro che trattano dati personali. Essi dovranno essere appositamente nominati mediante una lettera di designazione contenete le istruzioni sui trattamenti che dovranno svolgere.

Nelle previsioni di budget è necessario considerare anche risorse specifiche per la formazione de Data protection Officer e dei componenti del team.

Il data protection officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di controllo deve anch’esso, ai sensi dell’art. 39 del regolamento, occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.

La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà nella logica del regolamento anche essere oggetto di specifici audit.

La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, la pietra angolare del trattamento e sul quale ricade ogni responsabilità.

La previsione di eventi formativi diretti al personale e ai collaboratori concretizza il principio di “accountability” ossia di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo n. 679/16.

Ed invero, il titolare deve dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.

I dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare, il quale potrà comunque avvalersi come intermediario di altro soggetto debitamente autorizzato.

Il programma ed il piano formativo costituiscono, pertanto, dei tasselli rilevanti del cd sistema di gestione privacy in grado di concretizzare il principio di accountability inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate.

Si suggerisce, per tale ragione, di pubblicare il piano ed i relativi materiali formativi nella sezione intranet aziendale al fine di costituire un presidio di informazione e aggiornamento a beneficio di tutta l’organizzazione e di inserire i sopra citati atti come allegati al registro del trattamento.

In ambito pubblico la formazione sulla protezione dei dati non potrà non integrarsi con la digitalizzazione dei processi, con la riforma del Codice di Amministrazione digitale, con i codici di comportamento degli enti e con le ultime recenti novità normative in materia di trasparenza, prevenzione della corruzione, Foia e whistleblowing.

Nell’ottica di un miglioramento continuo e di una gestione in qualità del sistema privacy, sarebbe consigliabile, come alcuni enti stanno progettando, prevedere sessioni informative on line per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, come diritto collettivo e sull’utilizzo consapevole e responsabile di Internet.

La formazione non deve essere considerata, pertanto, un mero adempimento burocratico ma come un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per migliorare i processi organizzativi e i servizi erogati, evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l’organizzazione.

Pseudonimizzazione

Che cos’è e cosa viene richiesto dal GDPR

La pseudonimizzazione è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l'utilizzo di informazioni aggiuntive.

Il presente articolo è stato pubblicato sul sito www.infogdpr.eu e qui sotto riportato.

Sommario

Pseudonimizzazione al centro del GDPR

Il GDPR, in applicazione dal 25 Maggio 2018, pone tra gli aspetti principali la pseudonimizzazione, una parola difficile da pronunciare, poco chiara ai più ma essenziale. Infatti, la quessto è uno strumento fondamentale per proteggere i dati personali e sensibili di persone fisiche e giuridiche al fine di garantire loro piena e totale riservatezza.

Questa tecnica consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.

Al fine di limitare il rischio di violazioni di privacy e furti d’identità, il GDPR spinge le organizzazioni a pseudonimizzare i propri dati.

Cosa dice il nuovo regolamento europeo sulla protezione dei dati? Download del regolamento formato PDF.

La situazione in Europa

Fin qui tutto chiaro, peccato però, che non tutte le aziende europee siano pienamente consapevoli di questa richiesta.

L’analisi condotta da Delphix evidenzia che fra gli stati membri analizzati nello studio, la Francia vanta un 38% di rispondenti che dichiarano di avere compreso il principio della pseudonimizzazione. Nel Regno Unito e in Germania questa quota diminuisce al 21%. In Italia non si è neanche riusciti a produrre una quantificazione percentuale e Delphix ha evidenziato una situazione “preoccupante”.

Proviamo a fare chiarezza

La pseudonimizzazione, o cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica al fine di non renderli direttamente e facilmente attribuibili allo stesso senza l’utilizzo di informazioni aggiuntive.

Risulta evidente che il dato e le informazioni aggiuntive, comunemente chiamate chiavi, debbano essere materialmente conservati in zone differenti, ad esempio server distinti, al fine di impedire un facile ricongiungimento.

Questa tecnica consente quindi di aumentare la protezione di un dato.

Si parla di pseudonimizzazione o cifratura e non di anonimizzazione poiché non esistono tecniche informatiche per rendere completamente anonimo un dato: in verità ci sarebbero anche ma se implementate non si avrebbe più la possibilità di leggere il dato originale.

Vi sono due tipologie di pseudonimizzazione in base alle chiavi utilizzate:

Pseudonimizzazione simmetrica o asimmetrica

Nella pseudonimizzazione simmetrica si utilizza la stessa chiave per cifrare, o mascherare, il dato e per renderlo nuovamente leggibile. Ovviamente questa tecnica crea il problema di come condividere la chiave senza che questa venga scoperta.

Nella pseudonimizzazione asimmettrica si utilizzano due chiavi distinte: la prima per cifrare il dato, la seconda per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

La pseudonimizzazione è sicura al 100%?

Purtroppo non è una tecnica infallibile: eventuali malintenzionati potrebbero tentare di identificare una chiave mediante tecniche di forza bruta (brute-force attack).

L’attacco brute-force consiste nell’uso di un algoritmo che prova teoricamente tutte le possibili chiavi di lettura fino a scoprire quella effettivamente corretta.

Questa motivazione ha portato allo sviluppo nuove tecniche ancora più sicure, tra cui la tokenizzazione.