garante privacy Archivi

27 Ottobre 20210

Security policy e rischi reali per i dati

Oggi tratteremo in questo articolo un argomento legato ai tanti aspetti della security policy e i rischi reali per i dati.

Il dipendente licenziato, arrabbiato con il suo ormai ex datore di lavoro, scaricò su una pen drive USB l’elenco di tutti i clienti che, nel corso degli anni si erano lamentati dei prodotti dell’azienda e lo offrì alla concorrenza. Sperava di essere assunto ma, in ogni caso, voleva danneggiare il suo precedente datore di lavoro.

Il socio con cui avevano condiviso anni di attività decise di mettersi in proprio e, dopo aver aperto la sua azienda, contattò tutti i clienti della società da cui si era staccato per offrire i suoi prodotti a prezzi decisamente più convenienti.

Durante la pausa pranzo, il consulente che si recava in visita verso i potenziali clienti, si fermò in un noto ristorante di campagna. Una volta qui, utilizzò la connessione del locale per inviare le copie dei contratti che aveva fatto firmare ma, a causa della scarsa protezione della rete, non si accorse di una mail ingannevole. Scaricò un ransomware che fece lo stesso percorso dei contratti e si accomodò nel server aziendale criptandolo. La successiva richiesta di riscatto in bitcoin che giunse ai vertici aziendali giunse anche alle orecchie di alcuni clienti. Questi, non ricevendo i prodotti e servizi del fornitore, avevano telefonato per chiedere spiegazioni date da una segretaria. Questa aveva ingenuamente comunicato come si trattasse “solo di un blocco del sistema a causa di un attacco informatico.”

I rischi del data breach

Potrei continuare con gli esempi ma credo che questi siano sufficienti per far capire non solo le possibili ed impensabili sfaccettature sotto cui si può presentare un data breach, ma anche come ormai non si possa pensare di ridurre la protezione dati solo ad un antivirus o ad un’informativa magari scaricata online o collocata su una piattaforma di un’azienda fornitrice. Evidente come sia ai confini dell’impossibile prevedere ogni possibile minaccia che corrono i dati di cui ogni azienda deve essere gelosa custode per evitarne la perdita e le conseguenze.

In tutti gli esempi sopra citati il Titolare del Trattamento, oltre a dover fronteggiare nei primi due casi le conseguenze del danno di immagine e dell’illecita concorrenza e nel terzo quello di decidere se cedere al riscatto o recuperare diversamente i dati, devono affrontare l’Autorità Garante cui il data breach deve essere riportato entro settantadue ore dal suo rilevamento. Andare a dichiarare l’accaduto è un dovere, sottrarsi al quale vuol dire già essere oggetto di una sanzione magari pesante e, inoltre, si sostanzia in una confessione di non essere stati in grado di prevenire l’accaduto.

Inutile sostenere la buona fede o il fatto inevitabile o, ancora, scaricare le colpe su dipendenti sleali, incapaci o altro. Le responsabilità ricadono in capo al Titolare che sarà chiamato a pagarne le conseguenze.

Conseguenze

Quali possono essere queste conseguenze?
Le sanzioni emesse dal Garante possono andare da una censura fino a poche migliaia di euro, ma quelle economiche potrebbero rivelarsi le meno dolorose.
Il procedimento e le necessarie attività di valutazione e adeguamento si risolvono in costi non solo economici ma anche in ore di attività sottratte alla produzione. Il Garante potrebbe imporre misure correttive che possono richiedere ulteriori costi se non addirittura lo stravolgimento di procedure operative e di fasi di lavorazione. Inoltre, non si dimentichi, è necessario informare gli interessati di quanto accaduto e in tal senso non è sufficiente un comunicato sulle pagine web aziendali. Ogni cliente deve ricevere una comunicazione dei rischi che corre a causa del data breach. Anche l’immagine di un’azienda potrebbe essere pregiudicata.

Quando si parla di sicurezza dei dati è necessario in ogni azienda un cambio di prospettiva rispetto al passato. A partire dalla consapevolezza ormai necessaria e che i dati sono un patrimonio aziendale fondamentale e non adeguarsi al GDPR può avere conseguenze addirittura disastrose.

Sottoscritto protocollo tra Garante privacy e Fondazione Leonardo

Una delle sfide principali che affronterà ogni comparto che attraversa la propria inevitabile fase di transizione digitale, è quella della privacy, e in tal senso il Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, e il Presidente della Fondazione Leonardo-Civilta’ delle Macchine, Luciano Violante, hanno sottoscritto un protocollo d’intenti della durata di due anni per l’avvio di una reciproca collaborazione istituzionale. Si lavorerà congiuntamente per definire la direzione che il tema della tutela della protezione dei dati personali dovrà intraprendere negli anni a venire.

Protezione dei dati e digitalizzazione

L’Autorità e la Fondazione, infatti, sono chiamate ad affrontare, pur sotto profili diversi, le sfide connesse all’accelerazione dei processi di digitalizzazione. Inoltre, la collaborazione volge a stimolare il dibattito sugli effetti e i potenziali benefici che queste importanti innovazioni comportano per la società civile. La finalità è quella di «accrescere, attraverso studi, ricerche e progetti, la consapevolezza e la rilevanza del ruolo dell’innovazione e delle
tecnologie per la società civile, stimolando il dibattito sull’impatto e sui potenziali benefici che queste
comportano, in un’ottica proiettata al futuro», attività meritevoli di interesse per il Garante.

Spiega il Protocollo all’articolo 1 che definisce oggetto e finalità della cooperazione:

Con il presente atto, le Parti intendono avviare, nell’ambito delle rispettive competenze, una collaborazione al fine di favorire le reciproche sinergie volte alla realizzazione di attività di interesse comune in relazione alle implicazioni giuridiche delle nuove tecnologie, con particolare riguardo al loro impatto sulla protezione dei dati personali, restando inteso che eventuali effetti vincolanti per le Parti sorgeranno solo con la sottoscrizione di eventuali specifici accordi che potranno essere oggetto di successiva negoziazione.

E aggiunge all’articolo 3:

Tra le attività e i progetti di comune interesse per le Parti, da avviare prioritariamente, è compresa, in particolare, la collaborazione del Garante nell’ambito della costituzione di un “Laboratorio sulla transizione digitale” funzionale allo svolgimento delle attività di cui in premessa, da realizzarsi secondo modalità che saranno definite dalle Parti con successivo accordo.

l Garante per la protezione dei dati personali

Accordo di 2 anni

Il protocollo sottoscritto ha la durata di due anni, e sia il Garante della privacy che la Fondazione Leonardo, si impegnano anche a organizzare incontri periodici su materie di interesse comune. In più lo sforzo verrà volto a promuovere campagne di informazione e attività formative. Affrontare temi come studio e divulgazione, per far sì che il tema centrale della privacy in epoca di rapida transizione digitale non resti questione accademica. Si auspica inoltre che possa invece diventare pubblica discussione in pubblico dibattito.
Le modalità di svolgimento delle attività saranno definite di volta in volta con specifici accordi tra le parti.

Cookie	Durata	Descrizione
__hssrc	sessione	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA	6 mesi	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 anno	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 mesi	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".

Cookie	Durata	Descrizione
__cf_bm	30 minuti	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	sessione	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durata	Descrizione
__hstc	sessione	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 anni	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_78N9WP2E3X	2 anni	This cookie is installed by Google Analytics
CONSENT	2 anni	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	sessione	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	6 mesi	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	sessione	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt.innertube::requests	Mai	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Tag: garante privacy

Recent posts

Cerca

Importante

Ultimi post pubblicati

Servizi