GDPR

GDPR, Sicurezza informatica

Come prepararsi ad un Data Breach

Partiamo da una certezza: prima o poi una perdita di dati si verificherà: è inevitabile e deve essere messo in conto e, a quel punto per ogni azienda o professionista lo scenario non è certo dei migliori, specialmente se non è stata prevista una procedura di intervento.

Il data breach non è un’attività che termina con il recupero dei dati, magari dopo aver pagato un riscatto in bitcoin, ma qualcosa di più complesso di cui è bene essere consapevoli ad iniziare dal fatto che si verificherà.

Non sto parlando solo di un attacco hacker che viene portato a buon fine, ma di altre possibili forme di perdita di dati che possono accadere: dalla perdita di un cellulare o di una pen drive o un dipendente che lascia in autogrill il tablet; dal virus che ci fa scomparire una parte della memoria nell’hard disk al ransomware.

Adesso però che avete fatto i datti i debiti scongiuri e le macumbe del caso andiamo a rivedere se al momento in cui vi siete adeguati al GDPR (perché vi siete adeguati, vero?) avete anche individuato le procedure da attivare nel caso in cui la vostra segretaria, magari distratta dal social, ha scaricato la mail che ha consegnato il databese dei vostri clienti ad un ricattatore al quale, con l’appoggio della polizia postale, avete deciso di non pagare il riscatto.

Adesso oltre a prendervela con la segretaria e ringraziare il backup dei dati (perché avete un sistema di backup, vero?) dovete semplicemente informare il Garante dell’accaduto e tutti i vostri contatti che da questo scivolone potrebbero subire qualche danno o pregiudizio. Certo, una misura del genere dovrebbe essere stata prevista al momento della definizione della privacy policy, perché siete consapevoli che il Garante deve essere avvertito senza indugio e comunque non oltre settantadue ore dall’evento; e sapete anche che non è consigliato scrivere del data breach sul vostro sito aziendale di quanto accaduto.

Prescindendo dall’autogol che sarebbe in termini di danno di immagine il Garante ha detto che non è sufficiente limitarsi a dire online che avete avuto un piccolo problema di perdita dati ma che i vostri clienti non corrono rischi; devono solo cambiare la password di accesso.

Un data breach a luci rosse mette in pericolo 330000 utenti

Non funziona così: è necessario ai sensi del Regolamento informare le persone i cui dati sono stati esposti a un possibile rischio, di che cosa effettivamente possa loro accadere adesso che i loro dati anche solo di contatto possono essere finiti in mano ad una delle disgrazie peggiori di quest’epoca: un call center che ha poco rispetto per la privacy delle persone e preferisce chiamarle a casa dopo le otto di sera perché “almeno siamo sicuri di trovare qualcuno a cui sottoporre le nostre offerte e sconti speciali!” 

Se avete predisposto un sistema di gestione privacy adeguato alla vostra struttura e alla tipologia di dati che dovete trattare è possibile che il Garante limiti le sue decisioni ad una sanzione leggera quali una censura o un avvertimento: l’equivalente di un cartellino giallo che offre una seconda opportunità.

Ma se venisse rilevato che non avete posto in essere quantomeno le misure minimali di protezione o intervento, le conseguenze potrebbero andare da una sanzione ad almeno quattro zeri che, per un’impresa anche di medie dimensioni, non sono proprio noccioline.

Qualcuno potrebbe pensare che in caso di data breach sia meglio quindi far finta di niente e che il Garante non se ne accorge di sicuro. Il problema è che potrebbe “fare la spia” uno dei vostri clienti che, magari, ha scoperto i suoi dati on line. A quel punto dovrete fare i conti anche con l’omessa denuncia. La protezione dati non è solo una questione di antivirus, ma anche di atti, documenti, informative, lettere di incarico e procedure. Non è meglio parlarne prima?
Avv. Gianni Dell’Aiuto

contattaci
GDPR

Data Breach: non solo sanzioni

E’ possibile approntare adeguate difese tecniche, antivirus, cambio password, backup e quanto di meglio possa offrire il mercato, ma le tipologie di attacco usate dai pirati informatici possono manifestarsi con una fantasia degna di sceneggiatori holliwoodiani.

Riusciamo ad immaginare, ad esempio, le conseguenze di una mail inviata a tutti i vostri clienti con la quale, in prossimità di un pagamento, ricevono da un indirizzo email assolutamente riferibile alla vostra azienda un diverso Iban? Ipotesi meno improbabile di quanto si possa pensare e che sfrutta l’anello più debole della sicurezza aziendale: il fattore umano. Impiegati magari in smartworking attenti anche al figlio impegnato in didattica a distanza, una rete casalinga più debole, quindi meno protetta, di quella aziendale o l’uso del computer di lavoro per acquisti online o per navigare sui social ed ecco che il pagamento dovuto, magari anche di importo rilevante, finisce sul conto corrente alle Bahamas di questa moderna Banda Bassotti armata di tastiera.

Ecco perché una rigorosa applicazione degli strumenti messi a disposizione dal GDPR non è soltanto un obbligo di legge a cui adeguarsi, ma anche un preciso dovere di ogni imprenditore e professionista a fronte dei rischi in cui può incorrere e quelli che, oltretutto, fa a sua volta correre a clienti, fornitori, dipendenti e collaboratori.

Data breach, tutte le insidie dello smart working - Riskmanagement360

Si tratta di attacchi sotto forma di social engineering, tipicamente tentativi sofisticati di impersonificazione, che possono derivare non solo da un precedente furto di dati, ma anche fattispecie in cui gli aggressori inducono il destinatario a rispondere e intrattenere corrispondenza in prossimità dell’esecuzione di una transazione. Spesso, addirittura, questo tipo di attacco non prevede l’invio di link o allegati dannosi, ma email “pulite”, del tutto legittime e normali in una prassi aziendale, contenenti solo del testo. Si stima infatti che il 98% degli attacchi informatici lanciati tramite email non contengano malware. I dati forse non sono attendibili, ma è verosimile che gli attaccanti usino forme più insidiose di altre che, ormai, è noto possano creare situazioni di pericolo.

All’interno di una multinazionale del settore tecnologico, per esempio, è stato individuato un attacco a numerosi dipendenti, durante il quale il cybercriminale aveva accuratamente impersonificato il loro dirigente diretto superiore in azienda, con il quale era maggiormente probabile che le vittime comunicassero. L’oggetto di ogni email includeva il nome del dipendente interessato e proveniva da un indirizzo Gmail apparentemente non correlato, ma con un nome di dominio molto somigliante a quello dell’executive. Non solo è stato identificato il tentativo di sostituzione di persona, ma anche che l’aggressore stava usando una parodia del legittimo indirizzo personale esterno del capo.

Ecco un’altra ragione che impone di prevedere rigorose discipline di controllo nell’applicazione del GDPR, ma anche procedure a cui attenersi in caso di data breach o di possibili attacchi dei quali, diversamente, se ne avrebbe conoscenza solo quando è troppo tardi. E il Garante potrebbe anche emettere un’ulteriore sanzione da aggiungere ai danni economici, probabilmente di immagine e con i propri clienti.

contattaci
GDPR

Le definizioni del GDPR

Per fare chiarezza sul GDPR (Regolamento Europeo 679/2016) sulla protezione dei dati personali, e comprenderne l’importanza, è opportuno soffermarsi su alcune tra le più importanti definizioni che vengono date all’art. 4 per chiarirle. La norma prescrive che le definizioni sono previste “ai fini del presente regolamento.”

Per dato personale si intende ogni informazione relativa ad una persona fisica identificata o identificabile (l’Interessato, sempre ai fini del regolamento) vale a dire colui che è identificabile direttamente o indirettamente mediante elementi quali il nome, un numero di identificazione, i dati relativi all’ubicazione, l’identificativo online ovvero uno o più elementi caratterizzanti la sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In sintesi ciascun dato riferibile alla persona, ivi comprese le sue preferenze nella navigazione, i click sui social e le scelte di vita quali quelle alimentari, religiose, sessuali e così via. Un’ampia gamma di elementi.

GDPR corso gratuito sulla nuova 'Data Protection'

Il trattamento ai fini del GDPR consiste in tutte le operazioni compiute anche mediante processi automatizzati applicate a dati personali quali la loro raccolta, l’organizzazione, la conservazione, la modifica, la consultazione, l’uso nonché la loro comunicazione con qualsiasi forma o mezzo di trasmissione o di messa a disposizione, fino alla cancellazione e distruzione.

Particolare aspetto assume, nell’era digitale, caratterizzata dall’e-commerce, la profilazione, attività indispensabile specialmente per le aziende che operano in rete per conoscere i propri clienti e poter sottoporre le proposte migliori, cioè quelle con maggiori possibilità di essere accolte. Questa operazione, ormai demandata agli algoritmi, si sostanzia in qualsiasi forma di trattamento automatizzata per valutare gli aspetti personali relativi a una persona fisica, quali analizzare o prevedere le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti. Precisiamo che per questa forma di trattamento il Titolare deve ottenere, come del resto per tutte le altre, un espresso specifico consenso.

Il Titolare del trattamento è la persona fisica o giuridica, ovvero l’autorità che determina le finalità e i mezzi del trattamento di dati personali. In sostanza è la persona, l’azienda o l’ente che detiene i dati dell’Interessato e, in quanto tale, su di lui incombono gli obblighi di protezione, conservazione e quant’altro dei dati. Logico che su questa figura incombe anche l’obbligo di predisporre la disciplina della loro raccolta, conservazione, protezione e così via fino alla distruzione dei dati.

Figura diversa dal Titolare è quella del responsabile del trattamento, cioè la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento. In un’azienda potrebbe essere un commercialista o un consulente del lavoro, non organico alla struttura, e che per conto della stessa maneggia i dati di dipendenti, clienti, fornitori per gli scopi del suo lavoro.

Fondamentale è il consenso dell’interessato. Laddove la base per il trattamento dati non sia un obbligo di legge o altra previsione, per poter disporre dei dati di un cliente o anche solo di un navigatore di internet che chiede un preventivo, il Titolare dovrà ottenere una manifestazione di volontà libera, specifica, informata e inequivocabile da parte dell’interessato, con cui manifesti l’assenso al mediante una dichiarazione o azione positiva inequivocabile. Niente silenzio assenso quindi, per nessuna ipotesi e via ad informative precise, esaustive, chiare ed inequivocabili.

Il Data Breach, o violazione dei dati personali, consiste in qualsiasi evento che violi la sicurezza dei dati, sia che ciò avvenga accidentalmente o in modo illecito. Distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati trattati da terzi, configurano Data Breach che deve essere segnalato senza indugio, e comunque entro settantadue ore dalla sua conoscenza, al Garante.

Ultime voci di questa rapida, e non esaustiva carrellata, sono i dati genetici, quelli cioè relativi a caratteristiche genetiche ereditarie o acquisite della persona e che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, compresi quelli che risultano anche dall’analisi di un campione biologico della persona fisica in questione e i dati biometrici, vale a dire i dati personali ottenuti mediante un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

contattaci
GDPR

Accountability nel trattamento dati e nuovo codice della crisi d’impresa

Il GDPR, Regolamento Europeo 2016/679, ha alla propria base il principio di Accountability, termine che potrebbe essere meglio tradotto e reso comprensibile in italiano e quindi applicato al nostro ordinamento, con la parola “responsabilizzazione”. E’ infatti questo non solo uno dei principi ma anche dei desiderata che il legislatore europeo si è posto quando ha voluto creare un sistema per armonizzare il diritto europeo in materia di privacy, garantendo così di lasciare ampi “spazi di libertà“ oltre che di “sicurezza e giustizia”. E di libertà ne è stata lasciata molta a chi deve occuparsi della raccolta e protezione dati degli interessati.

E’ stato infatti posto in evidenza come il testo del GDPR, oltre ad una serie di previsioni e definizioni, abbia molti spazi vuoti ma indispensabili, che devono essere riempiti da chi lo applicherà in concreto. Non è certo un caso che nei suoi novantanove articoli e, addirittura, nei 173 considerata iniziali, non siano contenute parole che ci si poteva aspettare di trovare quali, ad esempio, backup, memoria, computer, ma anche la immaginabile password parlando di sistemi di sicurezza. Nessuna prescrizione o imposizione di comportamenti nella predisposizione dei sistemi di sicurezza e protezione dati da parte di aziende, professionisti e altri destinatari della norma, massima discrezionalità nel rispetto delle linee guida del GDPR (perché tali si possono ben definire) purché vengano applicati i principi della privacy by design e by default e i dati vengano tenuti in sicurezza.

Inserire il consenso al trattamento dei dati personali in Joomla 3

Esaustivo e sintomatico l’articolo 32 del GDPR (Sicurezza del trattamento) che esordisce con le parole “Tenendo conto dello stato dell’arte e dei costi…”. Il legislatore europeo, in tal senso, ha sottolineato come nella predisposizione di un sistema di protezione dati ogni soggetto deputato non debba prescindere dalla valutazione dei costi che dovrà sostenere rispetto al risultato, che deve essere comunque garantito alla sua utenza. Doveri sì, ma nessuna imposizione di sistemi particolari o specificati che potrebbero rivelarsi, non solo per piccole attività, oltremodo antieconomici.

Nasce da qui la necessità per ogni operatore che voglia dotarsi, trattando i dati personali in suo possesso nella corretta maniera, anche di uno strumento di gestione aziendale che eviti non solo pesanti sanzioni economiche, ma anche il rischio di essere oggetto di misure correttive o altri provvedimenti interdittivi da parte del Garante. Quale potrebbe rivelarsi l’impatto, più che di una sanzione, di dover scrivere a tutti i propri utenti per comunicare un data breach e le possibili conseguenze che potrebbero derivare dall’uso improprio dei suoi dati, ovvero la chiusura di un sito o il divieto di trattare dati? Ecco quindi che, specialmente per le imprese, i margini di discrezionalità concessi per un adeguamento al GDPR sulla base della accountability possono essere anche utilizzati per creare una gestione etica della privacy anche in funzione di immagine aziendale. Niente spese folli quindi, ma muovendo da un’attenta analisi dell’azienda, della sua attività, dei dati trattati, ecco che possono essere creati modelli di gestione della privacy e trattamento dati che possano portare l’azienda stessa nella direzione di educazione alla protezione del dato e consapevolezza dei diritti degli interessati. Che lo si possa definire un nuovo modello di gestione?

Allora ben venga una lettura integrata di questo sistema con le nuove norme previste dal Codice della crisi di impresa che, salvo ulteriori rinvii entrerà in vigore il primo Settembre 2021 e che determinerà una nuova maniera da parte dell’imprenditore stesso di guidare la propria azienda. Il doversi infatti adeguare a parametri, indici, metodi di valutazione non solo per evitare situazioni di decozione e insolvenza, porterà verosimilmente ad una rivisitazione anche della gestione privacy.

Formazione, GDPR

Il GDPR – Non basta un’informativa e un antivirus

Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

Il Regolamento Europeo 679/2016 (GDPR), è la nuova disciplina in materia di protezione dati personali che ha profondamente modificato il D. Lgs. 196/2003 che resta in vigore così come modificato dai D. Lgs. 51 e 101/2018. Sembra complicato ma, oltre ad essere un obbligo e un dovere, il GDPR è oggi anche un elemento della gestione aziendale che può e deve essere personalizzato per ogni realtà, tenendo presente anche il rapporto con i costi da sostenere.

Dal 25 maggio 2018 ogni azienda, ogni professionista, ogni ente pubblico, avrebbe dovuto adeguare le proprie privacy policy al regolamento. Peraltro, a differenza della precedente normativa, non è più sufficiente richiedere a clienti, fornitori, dipendenti un generico consenso al trattamento dati personali, il GDPR ha posto al centro del proprio sistema l’Interessato vale a dire il soggetto che mette a disposizione del Titolare non solo dati identificativi, ma anche le proprie preferenze, i dati di navigazione e quant’altro necessario per rapporti commerciali o di collaborazione.

GDPR: Cos'è, Che Significa, Cosa Fare e Cosa Cambia

Chi ottiene questi dati non solo deve ottenere l’autorizzazione a disporne, conservarli e trattarli, ma il dovere della loro protezione non facendoseli sottrarre né perderli, ma anche garantire l’esercizio dei “Diritti degli Interessati”, che sono stati posti dalla norma su un importante piano giuridico. Di ciò devono tenere debito conto aziende e enti che, a questo preciso fine, assumono la qualifica di Titolare del Trattamento. Per poterlo fare è necessaria una base legale.

Salve quindi le ipotesi in cui il consenso al trattamento dati non derivi da un obbligo di legge (si pensi agli uffici finanziari o all’anagrafe), al Legislatore Europeo non è sfuggito che per poter svolgere un’attività di impresa, intercorre tra l’Interessato e colui che svolge un’attività, un rapporto contrattuale; in tal senso al numero 81 dei considerata che precedono il GDPR (peraltro con una traduzione infelice), viene previsto che dovrà essere proprio quello del contratto, o altro atto giuridico previsto dalle leggi dell’Unione, a disciplinare le modalità del trattamento dati.

E’ quindi scelta dell’impresa, quale Titolare del Trattamento ad optare per contratti individuali o formulati su standard e schemi, sulla base della propria struttura e delle esigenze operative. Ciò che però conta è che nel documento siano chiaramente specificate, o comunque allegate, le informative da fornire obbligatoriamente all’interessato, per permettergli di prestare un compiuto consenso al Trattamento dei suoi dati Personali.

Il GDPR in 8 punti: cos'è, a chi si applica, quali sono le linee guida -  Sigemi: Cloud Managed Platforms

Ricordiamo che, a differenza della precedente disciplina, per la quale bastava un generico consenso, il GDPR prevede che l’Interessato presti per ogni tipologia di trattamento un consenso specifico. Dovrà essere quindi ben specificato, ad esempio, che i dati siano trattati solo a fini amministrativi e fiscali, cioè quelli previsti per legge, mentre per l’invio di materiale informativo, offerte, mailing list, dovrà essere specificato il consenso per ciascuna attività in forma chiara. Ergo non basterà più una sola firma o un solo click. Il Titolare dovrà inoltre, in caso di richiesta, fornire la prova di avere ottenuto legalmente ogni singolo consenso.

Se questa è solo una breve panoramica per quanto attiene ai rapporti per la loro disciplina documentale, il Titolare dovrà predisporre anche gli opportuni sistemi di protezione tecnica che non possono sostanziarsi in un antivirus ancorché aggiornato. In particolare dovrà essere prevista una disciplina interna sulla base degli incarichi per tutti coloro che sono deputati al trattamento dati con attenzione anche agli strumenti tecnici utilizzati da ciascuno. Anche la perdita di una memory o di un cellulare da parte di un collaboratore è un data breach, e le conseguenze possono essere pesanti.

contattaci
Formazione, GDPR

Il GDPR – Una risorsa per l’azienda

Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

I dati parlano di un numero impressionante di aziende che, ad oggi, non hanno ancora provveduto e di molte attività che iniziano senza la previsione di una disciplina per la protezione dei dati personali.

L’omesso adeguamento, diciamolo subito, espone aziende e professionisti alle pesanti sanzioni previste dalla norma che possono partire da ventimila euro fino a misure correttive e preventive quali, addirittura, il divieto di trattamento dati o la chiusura di una pagina web. Qualcuno potrebbe pensare che il Garante, ente preposto al controllo per l’applicazione del GDPR, a ricevere le segnalazioni e a erogare le sanzioni sia troppo impegnato a prendere di mira i giganti del web: Google, e Facebook sono già state oggetto del resto di pesanti provvedimenti economici, ma anche piccole realtà sono già state attenzionate a seguito di segnalazioni, anche anonime, da utenti del web stufi di ricevere pubblicità sgradita e telefonate non autorizzate.

GDPR is Coming – SentinelOne Can Help | SentinelOne

Per le aziende l’adeguamento al GDPR ben potrebbe essere visto come un ulteriore inutile costo o un balzello di cui fare a meno, ma andando ad analizzare compiutamente la disciplina e lo spirito della norma, ovviamente anche a fronte del rischio di sanzioni e altre misure restrittive, si scopre che non è così: una corretta applicazione del GDPR potrebbe rivelarsi un plusvalore ai fini di una corretta gestione di uno dei più importanti valori di ogni azienda: i dati personali dei clienti.

Da quando internet è entrato nel quotidiano e ogni azienda si è dovuta dotare di strumenti informatici non solo per la gestione, ma anche per la propria stessa sopravvivenza e posizionamento online, gli attacchi informatici volti al furto di dati o alle estorsioni, sono diventati il crimine più diffuso al mondo. I dati dei vostri clienti sono per i criminali della rete beni più preziosi dell’oro e del petrolio e, dall’inizio del lockdown, le cronache riferiscono che gli attacchi alle reti aziendali e a i privati sono aumentati del settecento percento. Ogni attacco portato può rappresentare un data breach che il Titolare del Trattamento è obbligato a riportare, entro il termine di settantadue ore, al Garante per i necessari provvedimenti.

Sono rischi che con una corretta applicazione della nuova disciplina si possono evitare e addirittura eliminare. Inoltre la tenuta a norma dei consensi al trattamento permette di avere costantemente un’anagrafe clienti e fornitori aggiornata e con i soli dati indispensabili, evitando di sovraccaricare archivi e memorie oltre a consentire un intervento efficace in caso di attacco o perdita anche accidentale di dati.

contattaci