Buongiorno a tutti
in una più ampia programmazione di informazione privacy, indicando le fonti delle news da condividere, desideriamo dare vita ad un servizio di aggiornamento inerente le procedure e le novità attinenti il trattamento dei dati personali che, come tutti sanno, ha le sue linee guida nel GDPR 679/2016 novellato dal D.Lgs. 101/2018.
Rinnoviamo l’invito a non disperdere le informazioni fornite in tale senso ed in particolare sollecitiamo l’adozione di adeguate misure per la protezione e sicurezza dei dati (back up programmato, restore, antivirus, attenzione al phishing, ecc.)
Certi di una Vs. fattiva e costante attenzione, auguriamo buon lavoro. AT&F GROUP
“25 anni di Privacy in Italia”.
https://mondoprivacy.it/news-dpo-e-legge-privacy
Maggio 2022
Il rispetto di una norma prevede anche la applicazione di una serie di sanzioni atte a punirne le violazioni; il GDPR non fa eccezione: l’articolo 83 individua, infatti, i criteri di applicazione di sanzioni amministrative pecuniarie e penali , meglio indicate nel D.Lgs.101/2018. Anche l’EDPB (l’organo Europeo di controllo) ha presentato delle linee guida che offrono in tal senso una metodologia chiara e condivisa a livello europeo, che prevede una serie di valutazioni:
- Comprendere se si tratta di una singola violazione o di più condotte illecite, e individuare quali disposizioni del Regolamento vengono violate.
- Individuare la sanzione determinandone il livello di partenza in ragione della gravità della violazione, applicando i criteri previsti dal GDPR, considerando cioè le categorie di dati interessati, la natura e gravità, il carattere doloso o colposo, etc.
- Valutare la presenza di eventuali circostanze aggravanti o attenuanti.
- Identificare i massimali previsti dalla normativa per la sanzione considerata.
- Verificare il rispetto dei requisiti di efficacia, proporzionalità e dissuasività.
Con le succitate linee guida, Titolari e Responsabili potranno acquisire maggiore consapevolezza nella modulazione delle sanzioni cui possono incorrere per inadempienza. Ad oggi, difatti, l’art. 83 del GDPR indica una generica previsione di sanzioni pecuniarie che possono arrivare sino a 10.000 o 20.000 euro (a seconda della condotta sanzionata) o, per le imprese, sino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, 5) mentre del D.Lgs. 101/2018 sono anche indicate le sanzioni penali cui si può essere soggetti.
Una sanzione di 50.000 euro è stato l’epilogo di un’indagine avviata a seguito di un reclamo di una collaboratrice esterna per la scorretta gestione del suo account e-mail aziendale. La vicenda è partita da un reclamo mosso in ragione della scorretta gestione di un account di posta elettronica aziendale appartenente ad una collaboratrice esterna. Nell’ordinanza che ne è seguita, il Garante ha offerto un importante chiarimento in relazione al trattamento dei dati personali dei collaboratori esterni, riconoscendo ad essi gli stessi diritti di protezione della vita privata dei lavoratori dipendenti. Nonostante vi siano diversità strutturali tra un rapporto di lavoro subordinato e uno professionale con un soggetto esterno, il Garante ha ribadito che in entrambe i casi il trattamento dei dati effettuato mediante tecnologie informatiche deve tutelare i diritti dell’interessato in quanto tale. Nel caso specifico, oltre a vedersi bloccato l’account e-mail aziendale su cui conservava anche informazioni di natura personale, alla collaboratrice non era neppure stata fornito un disciplinare sull’utilizzo degli strumenti elettronici aziendali (regolamento interno – mop). Il Garante ha quindi comminato alla società la sanzione per i diversi illeciti riscontrati, tra cui l’inosservanza del principio di limitazione della conservazione dei dati, il mancato rilascio di un’informativa, nonché l’assenza di riscontro sia all’interessata, sia poi alla richiesta di informazioni da parte dell’Autorità.
Gli attacchi cyber crime proseguono ininterrottamente, ad opera del collettivo Killnet che, a quanto pare, ha preso di mira il nostro Paese. Dall’11 maggio, difatti, l’Italia si vede in posizione di difesa, a protezione del sistema di sicurezza nazionale, messo a dura prova. Un tentativo di attacco, per fortuna sventato, ha riguardato il sistema di televoto della 66a edizione dell’annuale concorso canoro dell’Eurovision. La tecnica di attacco utilizzata è di tipo DDoS (Distributed Denial of service), letteralmente significa “Interruzione distribuita del servizio”, e si traduce nel tempestare di richieste un sito, fino a metterlo KO e renderlo irraggiungibile (praticamente “ingolfare le linee di trasmissione). In realtà, come chiarito dal Csirt del Governo, gli attacchi in parola non sono di tipo volumetrico bensì sono volti a sovraccaricare le risorse dell’applicativo server che erogano servizi tra cui i server web. Nel comunicato diramato da CSIRT, ente istituito presso l’Agenzia per la cybersicurezza nazionale (ACN), si apprende che per:
- IDENTIFICARE L’ATTACCO è necessario ispezionare il traffico HTTP registrato nei log del server, individuando eventuali elementi in comune tra le richieste riconosciute come malevole
- MITIGARE L’ATTACCATO è necessario:
- rifiutare le connessioni con metodi HTTP non supportati dall’URL;
- limitare l’intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
- impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
- utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
- definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
- attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.
- Videosorveglianza: ancora sanzioni
Ancora oggi risultano insufficienti tutte le raccomandazioni istituzionali e non, inerenti gli adempimenti da attuare in caso di installazione di impianti di videosorveglianza. L’ennesima ordinanza del Garante Privacy ne è una testimonianza. Pur in presenza di 14 telecamere installate all’interno ed all’esterno del Caffè Antica Roma, il Titolare del trattamento non ha provveduto all’affissione di debita cartellonistica recante l’informativa ex art. 13 del GDPR. Inoltre, si legge sempre nell’ordinanza, che tra i comportamenti sanzionati ricorre il mancato raggiungimento di un accordo sindacale o, in subordine, il rilascio dell’autorizzazione da parte dell’Ispettorato del Lavoro. Come noto, tali obblighi ricorrono quando dagli apparati di videosorveglianza possa derivare “la possibilità di controllo a distanza” dell’attività dei dipendenti. Ne risulta, quindi, la violazione delle seguenti disposizioni:
- 5, par. 1, lett. a) – violazione del principio di liceità;
- 88 del GDPR- trattamento dei dati nell’ambito dei rapporti di lavoro;
- 114 del Codice Privacy – garanzie in materia di controllo a distanza.
La tematica della videosorveglianza sta molto a cuore dell’Autorità Garante, tenuto conto che sia nel 2021 sia nel 2022 è oggetto dell’attività ispettiva. Speriamo che la Pubblica Amministrazione sappia dare il buon esempio a tutti!
L’incontro tra il Garante Privacy ed i rappresentanti del mondo del telemarketing ha dato il via a un processo di regolamentazione del settore, che si concretizzerà con la definizione di un codice di condotta. Nella riunione del 5 maggio il Garante Privacy ha incontrato i rappresentanti delle diverse categorie operanti nell’ambito del telemarketing per avviare i lavori di definizione della normativa di settore. Al fine, infatti, di arginare l’utilizzo di chiamate promozionali indesiderate, e in generale, di disciplinare le diverse attività svolte nell’ambito del telemarketing, si è intrapreso un progetto di redazione di un codice di condotta in materia. I diversi rappresentanti del settore della committenza hanno deciso per la creazione di un comitato che si occuperà di elaborare il testo del codice già a partire dalla prima metà di maggio, il quale, una volta completato, verrà sottoposto all’approvazione del Garante stesso.
Buon lavoro a tutti – TDD