Gianni Dell'Aiuto, Autore presso www.enjoysystem.it

Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

Lo smart working è diventato ormai un modello che piace e che, una volta terminata l’emergenza Covid, potrebbe diventare specialmente per molte aziende private, la regola e non più l’eccezione o la soluzione ad una emergenza. Minori costi per l’azienda e flessibilità da parte dei dipendenti nel corso della giornata. Meno costi per spostamenti, pasti fuori casa e conseguenti ticket: una soluzione che potrebbe accontentare tutti ma che impone un’attenta valutazione sugli aspetti relativi alla privacy sia per i dati che devono essere trattati sia per il controllo a distanza da parte del datore di lavoro.

Per quanto riguarda questo aspetto erano stati realizzati degli interventi addirittura sullo Statuto dei Lavoratori che, nel 1970, non poteva prevedere le moderne modalità di prestazione dell’attività lavorativa. Il “Jobs Act” ha provveduto tra l’altro ad eliminare l’esplicito divieto di controllo a distanza della prestazione lavorativa, sancendo una sorta di “permesso condizionato” di utilizzo degli impianti audiovisivi e di altri strumenti dai quali possa derivare anche la possibilità di un controllo a distanza dell’attività del lavoratore esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro o per la tutela del patrimonio aziendale.

Ma una cosa di cui, specialmente all’inizio della pandemia, sembra sia stato tenuto poco conto da parte delle imprese, è stata l’applicazione del GDPR. Le necessità di non interrompere il lavoro e di mantenere i ritmi della produzione non hanno fatto fermare l’attenzione e porsi alcune domande essenziali che un imprenditore avveduto dovrebbe peraltro considerare.
È infatti lui che in quanto Titolare del Trattamento ha la responsabilità di prevedere le modalità di protezione anche in situazioni di emergenza.

Ecco che diventava quindi opportuno chiedersi, in caso di lavoro svolto da remoto, se il sistema di protezione dei dati dovesse essere oggetto di variazioni o accorgimenti particolari ad iniziare dal fatto che le linee su cui dovrà necessariamente connettersi il dipendente non sono sicure come sono (o dovrebbero essere) quelle aziendali. Non è un aspetto da poco anche considerando che sulle stesse linee, magari in contemporanea, potrebbero collegarsi anche i figli che adottano la didattica a distanza e, inoltre, che potrebbero essere usati terminali non aziendali. Non è certo infrequente che qualcuno disponga a casa di un computer che offre prestazioni nettamente superiori a quelle di un’azienda.

All’inizio della pandemia le domande rivolte anche al Garante in materia di trattamento dati riguardavano principalmente le modalità di controllo della salute dei dipendenti e in pochi consideravano che nel momento in cui veniva attivava la VPN si avviava un trattamento aggiuntivo magari da inserire nell’apposito registro per le aziende che devono tenerlo.

Inoltre in pochi avevano debitamente istruito e formato il proprio personale sui rischi che potevano derivare dall’utilizzo di computer non protetti o usati da altre persone all’interno dello stesso nucleo familiare. Dalle notizie attinte in cronaca emergono addirittura accessi da parte di sconosciuti a lezioni in DAD e perfino il blocco dell’anagrafe di due comuni italiani a causa di attacchi informatici subiti da impiegati che stavano lavorando in remoto.

È un aspetto più che mai da tenere in considerazione da parte dei Titolari del trattamento: formazione, apparati sicuri, linee sicure e rigorose indicazioni per il personale sono adesso precisi doveri ai quali un’impresa non può sottrarsi non solo per evitare data breach e altri rischi, ma anche possibili sanzioni del Garante.

GDPR

28 Gennaio 20210

E i vostri Cookie sono in regola?

Gianni Dell’Aiuto

La CNIL è l’equivalente francese del nostro Garante per la Privacy e si sta dimostrando particolarmente attenta all’applicazione del GDPR; in particolare ha posto la propria attenzione sui cookie.
I “biscottini” infatti sono il primo e più sottovalutato strumento che può essere utilizzato per la raccolta dati e la profilazione dei visitatori di un sito.

Tra le numerose sanzioni comminate ne spiccano in particolare due, sia per l’importanza dei soggetti vittima del provvedimento sia per gli importi commisurati al fatturato delle stesse. Cento milioni di euro ad Amazon e trenta milioni a Google. Si tratta di sanzioni di cui non si trovano precedenti per violazione dei consensi Cookie e che, necessariamente, dovranno indurre web designer e operatori di siti web a rivedere le proprie policy, magari iniziando dall’informare i propri clienti dei rischi che corrono per mancati adeguamenti.

Una breve premessa. I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web. Salvano i dati dell’utente durante la visita di un sito web e migliorano la capacità di navigazione ad esempio memorizzando i dati di login sul browser e le preferenze. Peraltro spesso i cookie non sono conciliabili con la protezione dati poichè tracciano precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Un chiaro sistema di profilazione, particolarmente i cookie di tracciamento e di targeting.

Chiaro come questo apparentemente insignificante particolare sia viceversa il primo aspetto da considerare per ogni azienda nella creazione di un indispensabile sito web. L’utente deve essere messo in condizione di sapere a che cosa presta il consenso e non, come purtroppo accade, avere solo la possibilità di accedere al sito accettando ogni possibile cookie e, di conseguenza, ogni trattamento dei suoi dati. Divieto assoluto, ad esempio, di caselle pre-spuntate che per la revoca del consenso richiedono un opt-out.

Con il termine inglese opt-out (in cui opt è l’abbreviazione di option: opzione), traducibile in italiano come rinuncia o deroga, ci si riferisce ad un concetto della comunicazione commerciale diretta secondo cui il destinatario di una comunicazione commerciale non desiderata ha la possibilità di rifiutare di ricevere ulteriori invii in futuro

Il GDPR ha reso rigorosa la definizione di cookie, per cui un banner di consenso cookie per essere a norma deve contenere un testo chiaro che informi l’utente sull’utilizzo dei cookie. Deve informare inoltre l’utente che può accettare o rifiutare i cookie e permettergli di prestare il consenso per ogni finalità separatamente. Divieto quindi di dare maggior rilievo ai pulsanti di accettazione.

Perché la sanzione ad Amazon? Semplicemente perché non è stata in grado di auto-bloccare i cookie: su amazon.fr, i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’avviso nel banner era incompleto e non chiaro: il banner non menzionava in nessuna parte del sito che gli utenti potevano rifiutare i cookie. Inoltre, le finalità di questi non erano esplicite: per esempio i cookie erano utilizzati per mostrare annunci personalizzati all’insaputa dell’utente stesso.

Google invece ha ricevuto la sanzione anch’essa perché non era stata capace di auto-bloccare i cookie su google.fr, e perché i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’’avviso nel banner era incompleto poiché rilasciava un promemoria con le opzioni “accedi ora” e “ricordamelo più tardi” ma non informava l’utente sui cookie che venivano caricati sul browser e l’uso di questi.

Due piccole bucce di banana su cui sono scivolati due grandi colossi e che impongono a tutti un’attenta revisione dei siti e delle cookie policy.

Formazione

23 Gennaio 20210

Altro furto di dati: questa volta tocca alla De Agostini.

“Gentile Utente,
Con la presente ti informiamo che siamo venuti a conoscenza di una possibile violazione dei dati personali (un cosiddetto “data breach”) presenti nel portale “deascuola.it”. Stiamo svolgendo accurate indagini interne, tuttavia non possiamo escludere un eventuale data breach che potrebbe comportare eventuali furti d’identità, attività di phishing o l’accesso non autorizzato al portale o ad altri siti Internet in cui sono state utilizzate le medesime username e password utilizzate nel portale”.

Last Year 'Worst on Record' for Breaches, Data Exposure – Channel Futures

Nel rispetto della disciplina dettata dal GDPR, peraltro sembrerebbe in ritardo nel rispetto dei tempi previsti dalla norma, ma questo sarà oggetto di indagini da parte del Garante, la casa editrice ha avvertito la sua utenza che i loro dati personali sono stati oggetto di furto da parte di un anonimo attaccante, hacker non etico. Sono pertanto a rischio anche i computer degli utenti che, a loro volta, potrebbero essere oggetto non solo di phishing, ma anche di accessi abusivi laddove le credenziali di accesso usate per il sito della De Agostini fossero le stesse usate per altri portali. La stessa De Agostini nella sua comunicazione informa di avere resettato le password di tutti utenti e, stante il tono della comunicazione, sorge un dubbio che le password e gli altri dati di accesso non fossero stati criptati. Sarebbe di estrema gravità se così fosse in quanto è verosimile che tramite questi dati si possa risalire alle identità anche di minori, indirizzi e quant’altro.

Sembra che la vicenda sia giunta all’attenzione pubblica solo dopo la pubblicazione su Twitter di uno screenshot tratto dal darkweb con il quale un anonimo, forse lo stesso hacker, offriva in vendita ben 250.000 combinazioni di mail e password. Un vero e proprio tesoro non solo per aspiranti truffatori o ladri di identità ma anche eventuali pedofili che potrebbero accedere ai dati di bambini.

When and how to notify a data breach - Privacy Compliance Hub

E’ l’ennesima e forse inutile conferma di come vi sia troppa leggerezza e disattenzione da parte delle aziende nella protezione dei dati della loro utenze, vale a dire dei clienti che, a loro volta, non dimentichiamolo, sono gli stessi che mettono la loro vita in piazza sui social; tuttavia è preciso dovere di chi per la propria attività necessita dei dati dell’utenza di proteggerli adeguatamente e, in questo caso, sembra proprio non sia stato fatto e suona stonata la parte della comunicazione agli utenti con cui De Agostini dichiara che “La nostra società presta da sempre la massima attenzione alla tutela della privacy dei propri utenti ed il nostro team IT è al lavoro da ieri per analizzare i problemi legati al leak e risolverli nel più breve tempo possibile”

Che il pericolo di vedere i nostri dati oggetto di furto non ci deve far distogliere però gli occhi anche dalle piccole realtà. È di pochi giorni fa la notizia di una farmacia di Varese che ha dovuto chiudere per ripristinare il proprio sistema informativo vittima anch’esso di un attacco che aveva portato al furto dei dati dei propri clienti per il rilascio dei quali era stato chiesto un riscatto. Anche in questo caso dati di minori e quelli relativi alle patologie per le quali i clienti acquistavano medicinali che potrebbero andare in mano di chiunque, magari di un venditore di cure palliative.

Queste due vicende richiamano l’attenzione sulla necessità da un lato per le aziende di applicare il Regolamento Europeo in materia di protezione dati personali, ma anche per tutti gli utenti della rete di porre in essere quei minimi accorgimenti di non usare password deboli quali date di nascita o la consueta serie di numeri da uno a nove. Il furto di dati sembra sia adesso il crimine più redditizio che si possa commettere. Impariamo a difenderci.

Come difendersi?

Non solo la De Agostini, ma anche colossi mondiali come Google e Microsoft sono stati messi a dura prova nelle ultime settimane.

Per la tua azienda offriamo un’analisi accurata e una valutazione della sicurezza informatica mediante un penetration test, una simulazione di un attacco informatico, per capire le vulnerabilità aziendali e intervenire prima che sia troppo tardi.

Se problemi non vuoi, chiama Enjoy!

GDPR

5 Gennaio 20210

False credenze e luoghi comuni sulla privacy

Gianni Dell’Aiuto

Parliamo di luoghi comuni ed evitiamo troppi tecnicismi; se da un lato è l’incipit di questo intervento, dall’altro è la sostanza delle risposte che i consulenti privacy ottengono quando cercano di far comprendere ai destinatari del GDPR le conseguenze cui vanno incontro in caso di mancata adozione delle misure minime per la protezione dei dati. Spesso imprenditori anche con esperienza e professionisti, nel momento in cui vengono richiamati all’importanza di una norma che, non dimentichiamolo, prevede ben precisi obblighi a cui dare esecuzione, hanno reazioni del tipo “Io non ho niente che possa essere rubato”; “Ho l’antivirus (senza sapere neppure quale) e cambio la password ogni mese (e magari mettono la loro data di nascita invertendo i numeri) o, la più classica delle risposte errate “Non verranno mai a controllarmi.” Non ultima, quando viene fatto presente quali possono essere le conseguenze, oltre alle sanzioni, la risposta è fin troppo spesso le risposte variano dal “tanto non ho niente e non pago” o la più disarmante “se vengono gli lascio le chiavi chiudo e vado in vacanza.”

Non sono frasi prese a caso o che si sentono raramente, purtroppo sono reali e prova ne è che, sulla abse dei dati disponibili, sono circa il 75% le aziende e i professionisti italiani che non si sono adeguati al GDPR. Tra questi non si includono soltanto coloro che nulla hanno fatto, ma anche tutti coloro che si illudono di avere un’azienda messa a regola solo perché hanno inserito sul loro sito una informativa privacy standard raccolta in rete o nominato un dipendente, spesso una segretaria o uno stagista come responsabile del trattamento. Non ultime alcune Pubbliche Amministrazioni che, ancora, hanno sui loro siti istituzionali indicazioni che richiamano l’articolo 13 abrogato del D. Lgs. 196/2003. E potremmo continuare con decine di esempi simili, ma limitiamoci a citare la risposta più scoraggiante che viene da chi crede che “sono troppo piccolo e la privacy a me non si applica.” Magari previa acquisizione di notizie su Google o tramite informazioni raccolte da un sedicente esperto.

GDPR: NUOVA CONVENZIONE PER SOFTWARE MAINPRIVACY - News Article

Purtroppo non vi è ancora una consapevolezza non solo diffusa, ma addirittura adeguata dell’importanza della protezione del dato personale. Si tratta invero di un aspetto ancora non appieno entrato nella cultura d’impresa che dovrebbe muovere una sana gestione anche in vita della definitiva entrata in vigore della riforma del diritto fallimentare, ma anche e principalmente di un elemento connaturato ad una sana gestione aziendale.

Tra gli ostacoli maggiori verso la creazione di una cultura della protezione del dato troviamo, oltre alla normale ritrosia dovuta ai costi ed al fatto che si tratti di un’imposizione della non amata Europa, una più generale forma di disattenzione e distrazione da parte dell’utenza che, sempre per usare luoghi comuni, clicca e sottoscrive tutto quanto gli viene presentato con la convinzione del “tanto siamo tutti controllati e sanno già tutto di noi.”

Non è una strada semplice da percorrere quando si tratta di un percorso che dovrebbe essere compiuto dalle due figure principali del GDPR in maniera congiunta: da un lato l’Interessato che dovrebbe comprendere come la norma tuteli la sua sfera privata da attività fin troppo invasive e, dall’altro, il Titolare del trattamento che ancora non riesce a rendersi conto che i dati di cui viene in possesso sono un vero e proprio tesoro per la sua azienda oltre che un elemento essenziale per lo sviluppo e l’implementazione dei target di mercato.

L’assenza di forme di assistenza alla comprensione e strumenti di formazione da parte anche dello stesso Garante sarebbero quantomeno opportuni se non addirittura, auspicabilmente, un intervento fin dalle scuole dove l’informatica viene insegnata solo sotto un punto di vista tecnico e non certo etico, altrimenti vi sarebbe quantomeno un calo di iscrizioni o accessi ai social.

Forse un piccolo contributo potrebbe venire se, almeno sotto il punto di vista terminologico si iniziasse correttamente a parlare di “protezione dati” e usare meno il termine privacy che, seppur adottato anche dal garante, nel nostro ordinamento indicherebbe il diritto alla riservatezza della sfera privata, ergo il divieto nei confronti di chiunque di spiare nelle abitazioni e nei luoghi di lavoro altrui, sempre per dirlo con termini semplici.

Potrebbe essere un primo piccolo ma significativo passo avanti magari se accompagnato da un insegnamento, quasi fosse un mantra, che un portatile, uno smartphone e un computer sono armi: vanno maneggiate con cura e, chissà, forse un giorno occorrerà uno specifico porto d’armi.

Sicurezza informatica

30 Dicembre 20200

Contratto per sito web. Proteggiamo dominio e hosting?

Avv. Gianni Dell’Aiuto

Nella società frutto della rivoluzione digitale uno dei gesti più istintivi che viene compiuto quotidianamente forse decine di volte dagli utenti della rete è quello di prendere in mano il cellulare non per telefonare ma per cercare informazioni o, come si dice ormai, googolare. si tratti delle ultime notizie o delle recensioni di un ristorante che ci è stato consigliato, è normale che si cerchi di avere quante più notizie e giudizi.

Logica conseguenza che ne deriva, oggi nessuna azienda o professionista può prescindere da avere un sito aziendale mobile friendly che possa immediatamente essere consultato. Ma chi deve fare questo sito? Come deve essere fatto e, più che altro, quali sono le implicazioni giuridiche che comporta un sito e come devono essere gestite?

Esiste chi decide di realizzare da solo un sito o affidarsi al cosiddetto smanettone per avere semplicemente una pagina dove poter inserire i dati di riferimento e poche altre informazioni; potrebbe essere il caso del piccolo negozio di quartiere. Ma già realtà piccole possono bisogno di pagine che permettano all’utente di poter interagire: il lockdown ha fatto apprezzare a moltissimi la comodità di spese e pasti consegnati a domicilio. Ecco quindi che sorge la necessità di affidarsi a operatori più strutturati che offrano non una semplice landing page ma un sito accattivante, con contenuti costantemente aggiornati e, passo successivo, anche incaricati agli ormai sempre più onnipresenti e indispensabili social per avere presenza e visibilità che sono divenuti ormai un elemento dell’organizzazione aziendale da cui non è possibile prescindere.

In tutto ciò agli imprenditori spesso sfuggono alcuni particolari che, laddove trascurati, potrebbero portare a non poche ripercussioni se non veri e propri danni e, in tal senso, il primo elemento che deve essere tutelato è la registrazione del dominio internet e la collocazione dello stesso.

Troppo spesso vediamo imprenditori e professionisti che si affidano a chi curerà la realizzazione del sito dicendo la classica (e sbagliata) frase “pensa tu sa tutto” e sfugge che tra gli aspetti fondamentali per la creazione di un sito deve essere registrato il dominio, o magari più opportunamente anche altre estensioni (.it, .com, .biz.) per avere maggiori garanzie e correre meno rischi di vedere concorrenti sul mercato con nomi analoghi. Deve poi essere scelto il provider a cui appoggiare il sito, vale a dire il fornitore dello spazio dove il sito sarà materialmente allocato.

Chissà infatti quanti imprenditori sono consapevoli che, al momento di questa scelta, si mettono completamente in mano di una controparte contrattuale che, in caso di contenzioso a anche semplici discussioni, potrebbe vanificare in pochi istanti il lavoro precedentemente svolto. Cosa potrebbe invero accadere nel non raro caso in cui la registrazione di un dominio viene fatta a nome dell’incaricato di realizzare un sito? Sono non pochi i preventivi che si trovano anche in rete nei quali viene offerto un pacchetto completo compresa la registrazione del dominio: siamo proprio certi che venga registrato a nome del cliente oppure che, magari senza malizia o per accorciare i tempi, l’incaricato inserisce i propri dati?

Sorgono non pochi e non infondati dubbi se una web agency, un web maker di siti o anche un semplice dilettante allo sbaraglio (troppi se ne trovano) che non si preoccupano innanzitutto di informare il loro cliente sulle implicazioni della registrazione del dominio e dell’hosting. Non pochi i casi che si sono registrati nei quali, al momento della cessazione non proprio amichevole di un rapporto, un’azienda si è trovata senza sito e senza la memoria storica di una buona parte della sua attività, perdendo anche le mail non salvate.

Allo stesso modo esiste il rischio che un sito sia appoggiato in spazi o server presi in locazione dal web maker o dalla web agency che rifiuta di formnire chiavi di accesso ad un cliente che vorrebbe operare direttamente sulle proprie pagine web.

In un mondo che va sempre più in direzione digital, tutelarsi contrattualmente ma, prima ancora, essere consapevoli delle implicazioni e dei rischi che possono discendere da un pessimo contratto, è dovere di ogni imprenditore.

GDPR

15 Dicembre 20200

GDPR, ma è proprio necessario?

Avv. Gianni Dell’Aiuto
Per imprese e professionisti è soltanto un costo; per gli utenti è solamente una perdita di tempo perché “tanto ormai sanno tutto di noi, ci controllano, la privacy non esiste.” E con il semplicismo viene stravolta completamente una delle più importanti innovazioni della rivoluzione digitale che, invece, è stato concepito come strumento di protezione per gli utenti e, laddove ben applicato, si può rivelare formidabile strumento dell’organizzazione aziendale.

Facciamo una premessa di carattere concettuale che aiuta non poco a chiarire l’argomento. Basterebbe smettere di usare una volta per tutte di usare il termine privacy per rendere tutto più comprensibile. La privacy è il diritto alla protezione della nostra sfera personale; la privacy si può esemplificare nel divieto nei confronti di tutti di non essere spiati nelle nostre abitazioni e nei luoghi di lavoro. Il GDPR si occupa della protezione dati personali, vale a dire il dovere da parte di chi è in possesso dei nostri dati di ottenerli legittimamente, farne uso solo per ciò a cui è stato autorizzato, non cederli a terzi e vigilare sulla loro conservazione. Deve evitare di perderli, che gli vengano sottratti e, nel contempo, consentire l’esercizio dei diritti garantiti dalla legge da parte di coloro che hanno riposto in lui la propria fiducia consegnandogli non solo nome e mail ma, di fatto, la loro vita privata.

Sono le due facce della stessa medaglia: da una parte chi consegna ad un’azienda o un professionista i propri dati personali e, dall’altra chi li deve conservare e proteggere.

Perché questa scelta da parte del legislatore europeo che ha voluto introdurre un sistema omogeneo in materia per tutta l’Unione? Quando non esisteva ancora internet il problema era meno sentito e probabilmente non si poneva, ma da quando il quotidiano si è digitalizzato sono sempre meno le persone che non utilizzano Internet. Dall’interagire al mondo del lavoro ed anche ormai nella Pubblica Amministrazione, il cambiamento radicale che Internet ha portato al nostro sistema di comunicazione è stato totale e non è possibile tornare indietro: semmai il contrario. Per poter funzionare, la rete ha bisogno di informazioni che costituiscono il suo carburante e queste informazioni, gestite da sofisticati sistemi di intelligenza artificiale e algoritmi, vengono ogni giorno immesse online dai navigatori. Pochissimi tra noi usano più prendere appunti su un taccuino o un diario e preferiscono archiviare qualsiasi cosa digitalmente, come informazioni bancarie, contatti, indirizzi, nelle memorie di un computer o dello smartphone. Questi dati sono inoltre diventati indispensabili alle aziende per poter conoscere la propria clientela, contattarla, fidelizzarla, offrire servizi customizzati e garantirsi la propria esistenza sul mercato.

L’UE si è quindi posta la domanda su come tutelare in primis gi utenti di internet da un uso sconsiderato o illecito dei loro dati e, allo stesso modo, mettere un argine a forme di utilizzo palesemente in divieto dei diritti dell’utenza. Ecco quindi che, nel 2016, nasce il General data protection regulation (GDPR) che dal maggio 2018 dovrebbe essere applicato da parte di chiunque gestisce, per contratto, necessità o legittimo interesse, i dati personali altrui.

Si tratta di una normativa complessa che, purtroppo, viene ancora considerata un eccesso di pezzi di carta ed inutile burocrazia nonché di costi; tuttavia è probabilmente un’importante passo avanti, o forse il primo, per creare la consapevolezza dell’importanza del valore dei dati e di come proteggerli sia un diritto di ognuno e un dovere di chi li detiene. Riflettiamo sulla circostanza che, oggi, il furto di dati online sembra essere il crimine più diffuso al mondo; non meravigliamoci. I dati personali valgono, si dice, più dell’oro e del petrolio messi insieme. Ecco il perché di una norma che, purtroppo, deve fare ancora molta strada prima di essere compresa dagli utenti e applicata dalle imprese.

GDPR

4 Dicembre 20200

I rischi della privacy fai da te

Avv. Gianni Dell’Aiuto
Si tratta di una banalissima coincidenza, una semplice casualità, ma la circostanza che l’informativa per il trattamento dei dati personali del D. Lgs. 196/2003 è disciplinata dall’art. 13 e che anche nel GDPR è sempre lo stesso articolo a indicare gli elementi di cui deve essere portato a conoscenza l’interessato, sembra stia ingenerando un po’ di problemi. Non è infatti raro il caso di imbattersi in informative privacy che, a scanso di equivoci, anche perché nel più ci sta il meno, sono così formulate:

“Gentile Cliente, ai sensi dell’art. 13 del D. Lgs. 196/2003 (di seguito “Codice Privacy”) e dell’art. 13 del Regolamento UE n. 2016/679 (di seguito “GDPR 2016/679”), recante disposizioni a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, desideriamo informarLa che i dati personali da Lei forniti formeranno oggetto di trattamento nel rispetto della normativa sopra richiamata”.

All’apparenza nessun problema, a parte il fatto che l’art. 13 della Legge Privacy, il D. Lgs. 196/2003 è stato abrogato dal D. Lgs. 101/2018. Ecco che troviamo in giro informative che, nel dubbio, li inseriscono entrambi. Usare questi moduli presi online, come una volta si potevano acquistare in cartoleria i moduli dei contratti di locazione, può essere un boomerang.

Niente di grave alla resa dei conti potremmo dire, ma non è una svista da poco inserire in un’informativa, un documento che è anche l’immagine di un’azienda, un articolo di legge abrogato. Si tratta di un evidente segnale di come alla privacy non viene dedicata ancora la dovuta attenzione e sembrano non sortire effetto le notizie dei continui attacchi ransomware e furti di dati, lo spamming continuo, il phishing. Il Garante ha emesso anche emesso sanzioni importanti, prima fra tutti una da oltre dodici milioni di Euro nei confronti di Vodafone, ma tutto ciò non sembra ancora sufficiente per far comprendere l’importanza della protezione dati per le imprese nonchè aumentarenell’utenza il livello di consapevolezza e attenzione sull’importanza della propria riservatezza.

Coronavirus, Garante Privacy: no a iniziative fai da te nella raccolta dei dati – Editoria.tv

Come detto, per un’azienda, ai fini pratici e di possibili conseguenze sanzionatorie, inserire un articolo di legge abrogato all’interno della proprie informative non comporta conseguenze se non di immagine quantomeno per quella parte di utenza, ancora poca ma si spera in aumento, che pone l’attenzione su dettagli apparentemente piccoli ma fondamentali. In ogni caso si tratta di un danno di immagine, ma è un’applicazione della teoria della finestra rotta. Si tratta di una fattispecie che, nata in ambito sociale e criminologico, si applica anche all’economia e alle realtà aziendali. Un piccolo particolare non curato può portare a successivi danni: una finestra rotta non riparata o sostituita prontamente, è un buco che permette a chiunque di entrare in un’azienda. Oggi un foro di ingresso, anche piccolissimo, può rivelarsi un traforo enorme per chi già da minuscoli spazi riesce introdursi nei nostri computer per rubare dati, metterli in giro o ricattare un’azienda

E’ stato più volte posto in evidenza come il GDPR non si riduca alla firma del modulo privacy e ad un buon antivirus. Il regolamento è un insieme di attività fatto di elementi informatici e anche legali che non sono meno importanti dei software di protezone. Informative, lettere di incarico, contratti e formazione del personale per non esporre la propria impresa a rischi che vanno ben oltre le sanzioni a tanti zeri da parte del Garante. Danni di immagine, reputazione, affidabilità sul mercato, perdita di dati, pagamento riscatti e non solo. Potrebbe risentirne l’intera stabilità dell’azienda.

Formazione

1 Dicembre 20200

Avvocati e GDPR. Forse anche qui è meglio fare chiarezza.

Avv. Gianni Dell’Aiuto

Purtroppo anche per i legali sembra sia necessario fare un po’ di chiarezza sull’applicazione del General Data Protection Regulation, o più semplicemente GDPR, la nuova normativa obbligatoria che impone a imprese, pubbliche amministrazioni e, allo stesso modo, liberi professionisti, di proteggere i dati personali di cui vengono in possesso per espletare i loro incarichi.

Purtroppo si sente ancora qualcuno confondere questa delicata materia con il segreto professionale e, per questo motivo, ritenere che la nostra categoria sia esentata. Duole dire che purtroppo accade così come, non di rado, ci si possa imbattere in qualcuno che pensa di avere adempiuto a questo relativamente nuovo obbligo di legge con un buon antivirus e una password. Non è proprio così. E per capirlo dovremmo anche usare una corretta terminologia e non l’abusato termine privacy che, per essere realisti, ha altro significato. Certo, non aiuta la circostanza che abbiamo un Garante per la protezione dati che si autodefinisce Garante per la Privacy e la stampa ben volentieri usa questa terminologia comoda ed entrata nella prassi ma, in realtà, distortiva del problema.

Gdpr: avvocati esonerati dall'obbligo di nomina del Dpo

Proviamo a dirlo in parola banali. Il segreto professionale è il divieto che incombe su ogni professionista di non rivelare ad alcuno quanto appreso dai clienti e ciò che è stato detto all’interno di quella specie di confessionale che si forma durante gli incontri con chi deve necessariamente esporre fatti spesso delicati o scottanti. La Privacy (o meglio diritto alla riservatezza) è la figura giuridica che tutela l’intimità della sfera privata di una persona da interferenze altrui. Vietato spiare e farsi gli affari altrui, potrebbe essere un sunto.

Con il GDPR vengono disciplinate la modalità di raccolta, trattamento, conservazione e anche distruzione dei dati personali che occorrono per lo svolgimento di un incarico e che devono anche essere protetti. Ciò deve essere fatto non solo con l’applicazione dei criteri minimi di prudenza e diligenza, ma anche operando una valutazione soggettiva che porti alla scelta di misure tecniche e le forme di protezione dati più idonee alla tipologia degli stessi che, non dimentichiamolo, sono diventati il bene più prezioso e rubato al mondo.

Immaginiamo, ad esempio, uno studio legale specializzato in responsabilità medica che raccoglie e conserva dati sensibilissimi quali potrebbero essere indicazioni cliniche e terapeutiche oltre ai normali dati sul cliente e il nucleo familiare. Questo studio legale diventa particolarmente appetibile per hacker che potrebbero rivendere i dati a società che svolgono profilazione per case farmaceutiche che possono così proporre altre soluzioni o prodotti ai loro clienti. UN hacker attaccherebbe più probabilmente un ospedale, mi si potrebbe obiettare; giusto, ma tra il computer i di un avvocato e il sistema dell’ospedale quale dei due può presentare maggiore vulnerabilità?

Manager, avvocato o informatico? Chi è il Data Protection Officer

Per avere un data breach, non è necessario la violazione di un computer, o almeno non solo: basta che una segretaria o un collaboratore smarrisca una chiavetta contenete i dati dei clienti ed ecco che scatta l’obbligo di segnalazione al Garante e l’avvio delle procedure previste per cercare di evitare sanzioni o provvedimenti di altra natura che potrebbero sostanziarsi in un danno anche di immagine.

Non solo quindi l’avvocato dovrà predisporre un documento da far firmare unitamente al mandato che renda edotto il cliente di come i suoi dati verranno conservati, a chi esibiti, per quanto tempo saranno conservati e così via. L’avvocato diviene Titolare del trattamento ed ha quindi l’autonomia decisionale ed il dovere di scegliere le modalità di trattamento. Deve inoltre avere chiaro che i clienti diventano “interessati” ai sensi della norma e, in quanto tali, devono poter esercitare i loro diritti anche di controllo.

Non basta quindi l’informativa scaricata da uno dei siti istituzionali: il primo passo verso l’applicazione del GDPR è avere la consapevolezza che dobbiamo proteggere dati dei nostri clienti.

GDPR, Sicurezza informatica

21 Novembre 20200

Come prepararsi ad un Data Breach

Partiamo da una certezza: prima o poi una perdita di dati si verificherà: è inevitabile e deve essere messo in conto e, a quel punto per ogni azienda o professionista lo scenario non è certo dei migliori, specialmente se non è stata prevista una procedura di intervento.

Il data breach non è un’attività che termina con il recupero dei dati, magari dopo aver pagato un riscatto in bitcoin, ma qualcosa di più complesso di cui è bene essere consapevoli ad iniziare dal fatto che si verificherà.

Non sto parlando solo di un attacco hacker che viene portato a buon fine, ma di altre possibili forme di perdita di dati che possono accadere: dalla perdita di un cellulare o di una pen drive o un dipendente che lascia in autogrill il tablet; dal virus che ci fa scomparire una parte della memoria nell’hard disk al ransomware.

Adesso però che avete fatto i datti i debiti scongiuri e le macumbe del caso andiamo a rivedere se al momento in cui vi siete adeguati al GDPR (perché vi siete adeguati, vero?) avete anche individuato le procedure da attivare nel caso in cui la vostra segretaria, magari distratta dal social, ha scaricato la mail che ha consegnato il databese dei vostri clienti ad un ricattatore al quale, con l’appoggio della polizia postale, avete deciso di non pagare il riscatto.

Adesso oltre a prendervela con la segretaria e ringraziare il backup dei dati (perché avete un sistema di backup, vero?) dovete semplicemente informare il Garante dell’accaduto e tutti i vostri contatti che da questo scivolone potrebbero subire qualche danno o pregiudizio. Certo, una misura del genere dovrebbe essere stata prevista al momento della definizione della privacy policy, perché siete consapevoli che il Garante deve essere avvertito senza indugio e comunque non oltre settantadue ore dall’evento; e sapete anche che non è consigliato scrivere del data breach sul vostro sito aziendale di quanto accaduto.

Prescindendo dall’autogol che sarebbe in termini di danno di immagine il Garante ha detto che non è sufficiente limitarsi a dire online che avete avuto un piccolo problema di perdita dati ma che i vostri clienti non corrono rischi; devono solo cambiare la password di accesso.

Un data breach a luci rosse mette in pericolo 330000 utenti

Non funziona così: è necessario ai sensi del Regolamento informare le persone i cui dati sono stati esposti a un possibile rischio, di che cosa effettivamente possa loro accadere adesso che i loro dati anche solo di contatto possono essere finiti in mano ad una delle disgrazie peggiori di quest’epoca: un call center che ha poco rispetto per la privacy delle persone e preferisce chiamarle a casa dopo le otto di sera perché “almeno siamo sicuri di trovare qualcuno a cui sottoporre le nostre offerte e sconti speciali!”

Se avete predisposto un sistema di gestione privacy adeguato alla vostra struttura e alla tipologia di dati che dovete trattare è possibile che il Garante limiti le sue decisioni ad una sanzione leggera quali una censura o un avvertimento: l’equivalente di un cartellino giallo che offre una seconda opportunità.

Ma se venisse rilevato che non avete posto in essere quantomeno le misure minimali di protezione o intervento, le conseguenze potrebbero andare da una sanzione ad almeno quattro zeri che, per un’impresa anche di medie dimensioni, non sono proprio noccioline.

Qualcuno potrebbe pensare che in caso di data breach sia meglio quindi far finta di niente e che il Garante non se ne accorge di sicuro. Il problema è che potrebbe “fare la spia” uno dei vostri clienti che, magari, ha scoperto i suoi dati on line. A quel punto dovrete fare i conti anche con l’omessa denuncia. La protezione dati non è solo una questione di antivirus, ma anche di atti, documenti, informative, lettere di incarico e procedure. Non è meglio parlarne prima?
Avv. Gianni Dell’Aiuto

GDPR

13 Novembre 20200

Data Breach: non solo sanzioni

E’ possibile approntare adeguate difese tecniche, antivirus, cambio password, backup e quanto di meglio possa offrire il mercato, ma le tipologie di attacco usate dai pirati informatici possono manifestarsi con una fantasia degna di sceneggiatori holliwoodiani.

Riusciamo ad immaginare, ad esempio, le conseguenze di una mail inviata a tutti i vostri clienti con la quale, in prossimità di un pagamento, ricevono da un indirizzo email assolutamente riferibile alla vostra azienda un diverso Iban? Ipotesi meno improbabile di quanto si possa pensare e che sfrutta l’anello più debole della sicurezza aziendale: il fattore umano. Impiegati magari in smartworking attenti anche al figlio impegnato in didattica a distanza, una rete casalinga più debole, quindi meno protetta, di quella aziendale o l’uso del computer di lavoro per acquisti online o per navigare sui social ed ecco che il pagamento dovuto, magari anche di importo rilevante, finisce sul conto corrente alle Bahamas di questa moderna Banda Bassotti armata di tastiera.

Ecco perché una rigorosa applicazione degli strumenti messi a disposizione dal GDPR non è soltanto un obbligo di legge a cui adeguarsi, ma anche un preciso dovere di ogni imprenditore e professionista a fronte dei rischi in cui può incorrere e quelli che, oltretutto, fa a sua volta correre a clienti, fornitori, dipendenti e collaboratori.

Data breach, tutte le insidie dello smart working - Riskmanagement360

Si tratta di attacchi sotto forma di social engineering, tipicamente tentativi sofisticati di impersonificazione, che possono derivare non solo da un precedente furto di dati, ma anche fattispecie in cui gli aggressori inducono il destinatario a rispondere e intrattenere corrispondenza in prossimità dell’esecuzione di una transazione. Spesso, addirittura, questo tipo di attacco non prevede l’invio di link o allegati dannosi, ma email “pulite”, del tutto legittime e normali in una prassi aziendale, contenenti solo del testo. Si stima infatti che il 98% degli attacchi informatici lanciati tramite email non contengano malware. I dati forse non sono attendibili, ma è verosimile che gli attaccanti usino forme più insidiose di altre che, ormai, è noto possano creare situazioni di pericolo.

All’interno di una multinazionale del settore tecnologico, per esempio, è stato individuato un attacco a numerosi dipendenti, durante il quale il cybercriminale aveva accuratamente impersonificato il loro dirigente diretto superiore in azienda, con il quale era maggiormente probabile che le vittime comunicassero. L’oggetto di ogni email includeva il nome del dipendente interessato e proveniva da un indirizzo Gmail apparentemente non correlato, ma con un nome di dominio molto somigliante a quello dell’executive. Non solo è stato identificato il tentativo di sostituzione di persona, ma anche che l’aggressore stava usando una parodia del legittimo indirizzo personale esterno del capo.

Ecco un’altra ragione che impone di prevedere rigorose discipline di controllo nell’applicazione del GDPR, ma anche procedure a cui attenersi in caso di data breach o di possibili attacchi dei quali, diversamente, se ne avrebbe conoscenza solo quando è troppo tardi. E il Garante potrebbe anche emettere un’ulteriore sanzione da aggiungere ai danni economici, probabilmente di immagine e con i propri clienti.

Cookie	Durata	Descrizione
__hssrc	sessione	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA	6 mesi	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 anno	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 mesi	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".

Cookie	Durata	Descrizione
__cf_bm	30 minuti	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	sessione	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durata	Descrizione
__hstc	sessione	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 anni	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_78N9WP2E3X	2 anni	This cookie is installed by Google Analytics
CONSENT	2 anni	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	sessione	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	6 mesi	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	sessione	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt.innertube::requests	Mai	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Author: Gianni Dell'Aiuto

Altro furto di dati: questa volta tocca alla De Agostini.

Come difendersi?

Se problemi non vuoi, chiama Enjoy!

Contratto per sito web. Proteggiamo dominio e hosting?

Recent posts

Cerca

Importante

Ultimi post pubblicati

Servizi

Author: Gianni Dell'Aiuto

Come difendersi?

Se problemi non vuoi, chiama Enjoy!

Recent posts

Cerca

<img decoding="async" class="size-full wp-image-16255 alignnone" src="https://www.enjoysystem.it/wp-content/uploads/2022/04/logo_enjoysystem_dark2.png" alt="" width="87" height="70" />

P.IVA 03523161200

Email

Pec

Telefono

Fax

Importante

Ultimi post pubblicati

Social

Servizi