Tag: garante privacy

Consulenza, Database, Formazione, GDPR, Internet, Sicurezza informatica

Security policy e rischi reali per i dati

Oggi tratteremo in questo articolo un argomento legato ai tanti aspetti della security policy e i rischi reali per i dati.

Il dipendente licenziato, arrabbiato con il suo ormai ex datore di lavoro, scaricò su una pen drive USB l’elenco di tutti i clienti che, nel corso degli anni si erano lamentati dei prodotti dell’azienda e lo offrì alla concorrenza. Sperava di essere assunto ma, in ogni caso, voleva danneggiare il suo precedente datore di lavoro.

Il socio con cui avevano condiviso anni di attività decise di mettersi in proprio e, dopo aver aperto la sua azienda, contattò tutti i clienti della società da cui si era staccato per offrire i suoi prodotti a prezzi decisamente più convenienti.

Durante la pausa pranzo, il consulente che si recava in visita verso i potenziali clienti, si fermò in un noto ristorante di campagna. Una volta qui, utilizzò la connessione del locale per inviare le copie dei contratti che aveva fatto firmare ma, a causa della scarsa protezione della rete, non si accorse di una mail ingannevole. Scaricò un ransomware che fece lo stesso percorso dei contratti e si accomodò nel server aziendale criptandolo. La successiva richiesta di riscatto in bitcoin che giunse ai vertici aziendali giunse anche alle orecchie di alcuni clienti. Questi, non ricevendo i prodotti e servizi del fornitore, avevano telefonato per chiedere spiegazioni date da una segretaria. Questa aveva ingenuamente comunicato come si trattasse “solo di un blocco del sistema a causa di un attacco informatico.”

I rischi del data breach

Potrei continuare con gli esempi ma credo che questi siano sufficienti per far capire non solo le possibili ed impensabili sfaccettature sotto cui si può presentare un data breach, ma anche come ormai non si possa pensare di ridurre la protezione dati solo ad un antivirus o ad un’informativa magari scaricata online o collocata su una piattaforma di un’azienda fornitrice. Evidente come sia ai confini dell’impossibile prevedere ogni possibile minaccia che corrono i dati di cui ogni azienda deve essere gelosa custode per evitarne la perdita e le conseguenze.

data breach

In tutti gli esempi sopra citati il Titolare del Trattamento, oltre a dover fronteggiare nei primi due casi le conseguenze del danno di immagine e dell’illecita concorrenza e nel terzo quello di decidere se cedere al riscatto o recuperare diversamente i dati, devono affrontare l’Autorità Garante cui il data breach deve essere riportato entro settantadue ore dal suo rilevamento. Andare a dichiarare l’accaduto è un dovere, sottrarsi al quale vuol dire già essere oggetto di una sanzione magari pesante e, inoltre, si sostanzia in una confessione di non essere stati in grado di prevenire l’accaduto.

Inutile sostenere la buona fede o il fatto inevitabile o, ancora, scaricare le colpe su dipendenti sleali, incapaci o altro. Le responsabilità ricadono in capo al Titolare che sarà chiamato a pagarne le conseguenze.

Conseguenze

Quali possono essere queste conseguenze?
Le sanzioni emesse dal Garante possono andare da una censura fino a poche migliaia di euro, ma quelle economiche potrebbero rivelarsi le meno dolorose.
Il procedimento e le necessarie attività di valutazione e adeguamento si risolvono in costi non solo economici ma anche in ore di attività sottratte alla produzione. Il Garante potrebbe imporre misure correttive che possono richiedere ulteriori costi se non addirittura lo stravolgimento di procedure operative e di fasi di lavorazione. Inoltre, non si dimentichi, è necessario informare gli interessati di quanto accaduto e in tal senso non è sufficiente un comunicato sulle pagine web aziendali. Ogni cliente deve ricevere una comunicazione dei rischi che corre a causa del data breach. Anche l’immagine di un’azienda potrebbe essere pregiudicata.

Quando si parla di sicurezza dei dati è necessario in ogni azienda un cambio di prospettiva rispetto al passato. A partire dalla consapevolezza ormai necessaria e che i dati sono un patrimonio aziendale fondamentale e non adeguarsi al GDPR può avere conseguenze addirittura disastrose.

contattaci
Digitalizzazione, Formazione, GDPR, Intelligenza artificiale

Sottoscritto protocollo tra Garante privacy e Fondazione Leonardo

Una delle sfide principali che affronterà ogni comparto che attraversa la propria inevitabile fase di transizione digitale, è quella della privacy, e in tal senso il Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, e il Presidente della Fondazione Leonardo-Civilta’ delle Macchine, Luciano Violante, hanno sottoscritto un protocollo d’intenti della durata di due anni per l’avvio di una reciproca collaborazione istituzionale. Si lavorerà congiuntamente per definire la direzione che il tema della tutela della protezione dei dati personali dovrà intraprendere negli anni a venire.

Protezione dei dati e digitalizzazione

L’Autorità e la Fondazione, infatti, sono chiamate ad affrontare, pur sotto profili diversi, le sfide connesse all’accelerazione dei processi di digitalizzazione. Inoltre, la collaborazione volge a stimolare il dibattito sugli effetti e i potenziali benefici che queste importanti innovazioni comportano per la società civile. La finalità è quella di «accrescere, attraverso studi, ricerche e progetti, la consapevolezza e la rilevanza del ruolo dell’innovazione e delle
tecnologie per la società civile, stimolando il dibattito sull’impatto e sui potenziali benefici che queste
comportano, in un’ottica proiettata al futuro», attività meritevoli di interesse per il Garante.

Spiega il Protocollo all’articolo 1 che definisce oggetto e finalità della cooperazione:

Con il presente atto, le Parti intendono avviare, nell’ambito delle rispettive competenze, una collaborazione al fine di favorire le reciproche sinergie volte alla realizzazione di attività di interesse comune in relazione alle implicazioni giuridiche delle nuove tecnologie, con particolare riguardo al loro impatto sulla protezione dei dati personali, restando inteso che eventuali effetti vincolanti per le Parti sorgeranno solo con la sottoscrizione di eventuali specifici accordi che potranno essere oggetto di successiva negoziazione.

E aggiunge all’articolo 3:

Tra le attività e i progetti di comune interesse per le Parti, da avviare prioritariamente, è compresa, in particolare, la collaborazione del Garante nell’ambito della costituzione di un “Laboratorio sulla transizione digitale” funzionale allo svolgimento delle attività di cui in premessa, da realizzarsi secondo modalità che saranno definite dalle Parti con successivo accordo.

l Garante per la protezione dei dati personali

Accordo di 2 anni

Il protocollo sottoscritto ha la durata di due anni, e sia il Garante della privacy che la Fondazione Leonardo, si impegnano anche a organizzare incontri periodici su materie di interesse comune. In più lo sforzo verrà volto a promuovere campagne di informazione e attività formative. Affrontare temi come studio e divulgazione, per far sì che il tema centrale della privacy in epoca di rapida transizione digitale non resti questione accademica. Si auspica inoltre che possa invece diventare pubblica discussione in pubblico dibattito.
Le modalità di svolgimento delle attività saranno definite di volta in volta con specifici accordi tra le parti.