La PEC non cesserà di esistere il 1 gennaio 2019!

Pochi lo avevano notato, ma l’art. 65, comma 7 del Decreto legislativo 217/2017, che ha apportato le ultime modifiche al Codice dell’amministrazione digitale, ha previsto l’abrogazione dell’art. 48 dello stesso codice a partire dal 1 gennaio 2019. Tale articolo prevede l’utilizzo della posta elettronica certificata come strumento per tutte le comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna. All’approssimarsi di tale data, e in mancanza di altre norme che andassero a colmare una lacuna così grande, il Consiglio dei Ministri del 12 dicembre ha emanato un decreto legge, il n. 135, pubblicato in gazzetta ufficiale il 14 dicembre scorso, che prevede l’emanazione di un DPCM che garantisca la conformità dei servizi di posta elettronica certificata al regolamento eIDAS. Solo dopo l’entrata in vigore di tale decreto l’articolo 48 del CAD verrà abrogato.

Fonte:

https://www.linkedin.com/feed/update/urn:li:activity:6480826027420585984

21 Dicembre 201821 Dicembre 2018

UBER: 400.000 € di penale per violazione della sicurezza dei dati degli utenti

La formazione ristretta del CNIL ha dichiarato una sanzione di 400.000 € nei confronti della società UBER per non aver sufficientemente protetto i dati degli utenti del suo servizio di VTC.

Nel novembre 2017, la società UBER ha rivelato sulla stampa che un anno fa, due persone avevano rubato i dati personali di 57 milioni di utenti dei suoi servizi. A seguito di questa rivelazione, il G29 (Gruppo di CNIL europei) ha creato un gruppo di lavoro per coordinare le procedure di indagine delle diverse autorità di protezione dei dati. L’indagine ha evidenziato le diverse fasi dell’attacco. Gli autori degli attacchi sono riusciti ad accedere agli identificatori archiviati in chiaro sulla piattaforma di sviluppo collaborativo “Github”. Hanno quindi utilizzato queste credenziali per accedere da remoto a un server su cui sono archiviati i dati. Hanno scaricato informazioni su 57 milioni di utenti, inclusi 1,4 milioni di utenti in Francia.

La formazione limitata del CNIL ha stimato che questo attacco non avrebbe avuto successo se fossero state messe in atto alcune misure di sicurezza di base. In particolare, ha sottolineato che: l’azienda avrebbe dovuto aspettarsi che i suoi ingegneri si connettessero alla piattaforma di sviluppo collaborativo “Github” attraverso una forte misura di autenticazione (ad esempio, un identificatore e una password e un codice segreto inviato ad un telefono); non avrebbe dovuto essere memorizzato in modo non criptato all’interno del codice sorgente degli identificatori “GitHub” della piattaforma per accedere al server; per l’accesso ai server “Amazon Web Services S3” contenenti dati utente, dovrebbe aver impostato un sistema per filtrare gli indirizzi IP.

In queste circostanze, la formazione ristretta ha ritenuto che la società avesse fallito nel suo obbligo di sicurezza dei dati personali. Ha condannato Uber France SAS, uno stabilimento di Uber Technologies Inc. e Uber B.V, a una multa di 400.000 € . Data la data dei fatti, il GDPR non era ancora applicabile. Dato il gran numero di persone interessate e la necessità di sensibilizzare gli operatori, la formazione ristretta ha anche deciso di rendere pubblica questa decisione.

Altre autorità europee hanno imposto sanzioni in relazione a questi fatti. Il 6 novembre 2018, l’autorità olandese per la protezione dei dati ha inflitto una multa ad UBER di 600.000 € per mancata notifica della violazione dei dati. Il 26 novembre, l’autorità britannica ha imposto una sanzione di 385.000 sterline per non aver protetto i dati.

Fonte:

https://www.cnil.fr/fr/uber-sanction-de-400000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs

5 Dicembre 20185 Dicembre 2018

GDPR, prime sanzioni in Europa: quale lezione trarre per le aziende

Una multa di 4 mila euro a un’azienda austriaca che usava male il sistema di videosorveglianza; una da 20 mila a un’azienda tedesca per la mancata cifratura delle password degli utenti e una da 400 mila a una struttura ospedaliera portoghese per problemi di accesso al dato. Che insegnano le prime sanzioni GDPR.

In attesa di conoscere quale sarà la sanzione che il Garante europeo comminerà alla catena alberghiera Marriot per il recentissimo caso di data breach che riguarda i dati personali di ben 327 milioni di persone, sono arrivate inesorabili le prime sanzioni in Europa ad alcune aziende, private e pubbliche, che non hanno ottemperato alle disposizioni del GDPR, entrato in vigore ormai da sei mesi.

Le prime multe per violazione del GDPR

Partendo dalla “meno costosa”, nel mese di ottobre il Garante austriaco Datenschutzbehörden, ha erogato, a seguito di una ispezione, una sanzione di 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in malo modo, puntandolo in parte sul marciapiede esterno al perimetro aziendale riprendendo in modo eccessivo, senza alcuna giustificata motivazione e senza informare con apposita cartellonistica i passanti.

Anche la prima sanzione ad oggetto data breach è stata erogata a novembre dal Garante tedesco Der Landesbeauftragte für Datenschutz und Informationsfreiheit ad una azienda tedesca che, dopo aver dichiarato l’avvenuto data breach riguardante ben 330 mila credenziali di caselle di posta elettronica di cittadini tedeschi, è stata multata con una sanzione di 20 mila euro. In questo caso l’attaccante, oltre ad aver sottratto le credenziali utente comprensive di password, le ha anche divulgate in chiaro sulla rete Internet mettendole a disposizione di chiunque; proprio per questo motivo l’autorità tedesca ha sanzionato l’azienda non tanto per l’avvenuta violazione dei sistemi informatici, ma per il fatto che le password delle caselle di posta elettronica venivano salvate in chiaro all’interno della base dati senza l’utilizzo di opportuni sistemi di cifratura.

In Portogallo la comissão nacional de proteccao de dados ha erogato a una struttura ospedaliera nazionale la sanzione più alta di cui ad oggi abbiamo notizia, ben 400 mila euro. La multa è stata data a seguito di un controllo ispettivo che ha permesso di accertare che sui sistemi informativi della struttura ospedaliera vi erano seri problemi di politiche di accesso al dato, evidenziato come, psicologi, infermieri e medici di qualsiasi reparto potevano, non soltanto accedere, ma anche modificare con estrema facilità (e in totale assenza del principio di necessità) i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti che sono stati ospiti del complesso ospedaliero; sempre durante l’ispezione gli auditor hanno evidenziato una inadeguata politica di accesso al dato, evidenziando come il problema non è tanto sulla configurazione del sistema informativo ma soprattutto sulla inadeguatezza della policy di accesso al dato scelta e divulgata a tutti gli operatori della struttura ospedaliera.

Le lezioni che le aziende italiane possono trarre

Quali sono gli spunti di riflessione che le aziende italiane devono trarre da questi episodi? Sicuramente che le tante attese sanzioni sono arrivate e che per adesso sono state inesorabili; basti pensare all’episodio austriaco, una problematica quella della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, probabilmente per mancanza di tempo o per la poca attenzione alla tematica della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo (tutt’oggi) l’esposizione dei cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza in funzione.

La sanzione data all’azienda tedesca ci fa capire come le autorità garanti per la protezione dei dati non erogheranno sanzioni per la sola avvenuta violazione ai sistemi che custodiscono e trattano dati personali, se non nel momento in cui, a fronte di un accertamento, si evidenziassero gravi problematiche di cyber security, come per l’appunto, il madornale errore di conservale la password di un account in chiaro all’interno delle memorie informatiche aziendali, senza alcun ausilio di ormai consolidati sistemi di cifratura. Una riflessione in più va fatta in considerazione alla cattiva abitudine delle aziende italiane che adottano una politica per la gestione del data breach (o dell’incidente informatico) troppo generalista che non tiene in considerazione il fatto che nella maggior parte dei casi l’azienda ha una politica per la gestione dell’incidente informatico ma non ha un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach.

Non per ultimo il caso portoghese ci deve far riflettere su quale possa essere l’attuale stato dei sistemi informativi delle aziende sanitarie, private e pubbliche, del nostro territorio. Nel nostro territorio esistono regioni e strutture virtuose che sono al passo con i tempi e con le norme, ma per esperienza personale dello scrivente, la situazione in molti altri casi è la medesima dell’azienda ospedaliera portoghese, con addirittura alcune realtà che tutt’oggi, da nord a sud, sperano di non ricevere mai alcuna ispezione del Garante nemmeno nel 2019, perché lo stato dell’arte della revisione delle politiche di accesso al dato e dell’attuazione di queste politiche all’interno del sistema informativo aziendale è ancora in una fase embrionale, tra sistemi e software obsoleti non aggiornabili, Data Protection Officer condiviso su più aziende che non riesce a star dietro alle esigenze di una singola azienda ospedaliera, personalizzazioni di software necessarie per l’interoperabilità del dato che generano modalità lasche di accesso al dato stesso, e chi più ne ha più ne metta.

Non ci sono più scuse, e i fatti appena accaduti testimoniano un impegno dei Garanti degli Stati membri nel mantenere la guardia sempre alta, a tutela dei dati dei cittadini. Le aziende italiane sono avvisate, ancora una volta, grazie alle disavventure di altri. Colgano tutti l’occasione per imparare dagli errori e impegnarsi nell’ottemperanza della norma, sia dal punto di vista delle politiche e dei regolamenti aziendali, sia dal punto di vista implementativo e tecnologico.

Fonte:

https://www.agendadigitale.eu/sicurezza/privacy/gdpr-prime-sanzioni-in-europa-quale-lezione-trarre-per-le-aziende/

28 Novembre 201828 Novembre 2018

Corsi di formazione

Corso Alta Formazione 4-5 Dicembre e 15-16-17 Gennaio Roma

Corso di formazione 13 Dicembre Roma

26 Maggio 201826 Maggio 2018

PROTEZIONE DATI: DA OGGI SI APPLICA IN ITALIA IL REGOLAMENTO UE

PROTEZIONE DATI: DA OGGI SI APPLICA IN ITALIA IL REGOLAMENTO UE
Cambia in maniera radicale l’approccio alla protezione dei dati
Responsabilizzazione per imprese ed enti, maggiore trasparenza, nuovi diritti per le persone, più controllo sui propri dati. Norme applicabili anche al di fuori dell’Unione europea

Da oggi si applica in Italia il Regolamento Ue in materia di protezione dei dati personali. La nuova disciplina uniforma le regole in tutti i Paesi dell’Unione e rappresenta la più grande riforma in questo settore da un quarto di secolo a questa parte.

Il Regolamento adegua il quadro normativo al nuovo contesto sociale ed economico – caratterizzato da un incessante sviluppo tecnologico e da forme sempre più massicce e pervasive di scambio e sfruttamento di dati – rafforzando le tutele poste a salvaguardia dei dati personali e i diritti degli individui.

Con il Regolamento cambia in maniera radicale l’approccio alla protezione dei dati: imprese ed enti dovranno operare seguendo il principio di responsabilizzazione (“accountability”), considerare la protezione dei dati non come obbligo formale, ma come una parte integrante e permanente delle loro attività e promuovere consapevolezza negli utenti sui loro diritti e le loro libertà.

Nello specifico, la prima novità fondamentale del Regolamento è quella di essere integralmente applicabile alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone presenti nel territorio dell’Unione europea o ne monitorano il comportamento. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’Ue.

Ogni utente avrà il diritto di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi i social network (“diritto alla portabilità dei dati”), e vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte (“diritto all’oblio”).

La nuova disciplina introduce anche altre importanti misure. Imprese ed enti dovranno rispettare i principi della “privacy by design” e della “privacy by default”: dovranno inserire cioè garanzie a favore degli utenti in dalla progettazione di ogni trattamento e di ogni prodotto o servizio che comporti il trattamento di dati personali. Il consenso all’uso dei dati dovrà essere ancora più specifico per ogni servizio reso. Chi tratta dati avrà l’obbligo di informare le Autorità garanti, e nei casi più gravi gli stessi interessati, in caso si verifichino furti, diffusione illecita o perdite di dati (“data breach”).

Altra importante innovazione è la figura del Responsabile della protezione dei dati (RPD) che dovrà operare all’interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento.

Le sanzioni per chi non rispetta le regole potranno arrivare fino al 4 per cento del fatturato globale annuo. Tutte le Autorità di protezione dati dei Paesi Ue, alle quali è affidato il compito di vigilare sull’attuazione del Regolamento, avranno gli stessi poteri e gli stessi compiti, a garanzia ulteriore di un’applicazione realmente uniforme ed efficace nell’intera Unione.

26 Maggio 201826 Maggio 2018

Sold out per il workshop su Vigilanza Privata e GDPR

Sold out per il Workshop organizzato da FederSicurezza, Anivp ed Univ sul nuovo Regolamento Generale sulla Protezione dei Dati Personali.

Un successo annunciato non solo perché la scadenza è davvero imminente (il GDPR sarà pienamente attuativo il 25 maggio), ma anche perché privacy e protezione dati toccano molto da vicino chi si occupa di sicurezza privata.

La normativa europea può essere vista però non solo come ennesimo balzello ai danni dalle imprese, ma anche come opportunità di professionalizzazione, hanno illustrato il rappresentante del Garante Privacy Giuseppe Giuliano, la consulente Gloria Maria Paci e Lorenzo Squarotti di AJA Registrars Europe.

L’affluenza, per il Presidente di Federsicurezza Luigi Gabriele, denota un accresciuto senso di responsabilità del comparto verso il quadro normativo generale, ma il prezzo degli adeguamenti raramente potrà essere recepito da un mercato che spesso si è reso sordo ad ogni tentativo di aumento del costo dei servizi.

18 Maggio 201818 Maggio 2018

Nuovo progetto: Paci Rappresentante Privacy SRL

Un emanazione dello Studio Paci ed una partnership con esperti contabili ha ispirato questo nuovo progetto di Rappresentanza Europea per le aziende Extra UE

Articolo 27 – GDPR
Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione
1. Ove si applichi l’articolo 3, paragrafo 2, il titolare del trattamento o il responsabile del trattamento designa per iscritto un rappresentante nell’Unione.
2. L’obbligo di cui al paragrafo 1 del presente articolo non si applica:
a) al trattamento se quest’ultimo è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento; oppure
b) alle autorità pubbliche o agli organismi pubblici.

3. Il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento è monitorato. 4.Ai fini della conformità con il presente regolamento, il rappresentante è incaricato dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento. 5.La designazione di un rappresentante a cura del titolare del trattamento o del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.

18 Maggio 201818 Maggio 2018

Assoprivacy: l’associazione che sforna esperti privacy! Gloriamaria Paci e Luca Di Leo in Giunta Esecutiva

Cariche istituzionali – Giunta Esecutiva

Dott.sa Gloriamaria Paci (Presidente)

Dott. Massimo Antonio Bruno (Vice-Presidente vicario)

Dott. Luciano Delli Veneri (Vice-Presidente)

Sig. Luca Di Leo (Consigliere)

Sig. Vittordavide Frison (Consigliere)

Consiglio Nazionale

Gloriamaria Paci

PRESIDENTE

Giornalista pubblicista, dal 1998 autrice di numerosi articoli e testi specializzati sulla Privacy – tutela dei dati personali – insieme ai suoi collaboratori svolge attività di consulenza ad aziende, enti pubblici e cooperative.

Massimo Antonio Bruno

VICE-PRESIDENTE VICARIO

Consulente e Formatore Aziendale, laureato in Economia, esercita l’attività di Privacy Manager e Consulente in primarie imprese e associazioni di categoria a carattere nazionale e internazionale. Docente in corsi ECM e post universitari, è relatore in convegni e seminari e autore di numerosi articoli.

Luciano Delli Veneri

VICE-PRESIDENTE

Privacy e Compliance Manager con oltre 13 anni di esperienza nell’applicazione della normativa sulla privacy maturata inizialmente nella articolata realtà della TLC, successivamente presso società del terziario, del settore energetico e Università.

Andrea Paro

CONSIGLIERE

Consulente privacy certificato TUV, specializzato in Security, Istruzione, Sanità, IT e Web. Fondatore di Gemini Consult Srl, società specializzata in Privacy che segue, ad oggi, circa 700 soggetti in tutto il Centro-Nord Italia.

Luca Di Leo

CONSIGLIERE

Appassionato di protezione dei dati personali da oltre 12 anni. Le mie competenze sono di tipo informatico / programmatore, gestione dei processi in qualità, consulente a auditor per ISO 9001, ISO 27001, ITIL V3, ISDP@10003, Auditor UNI 11697. Erogo consulenza alle aziende che svolgono marketing, servizi, e prestazioni di tipo sanitario e socio-sanitario.

Sandro Masala

CONSIGLIERE

HR Manager, Privacy Officer e Responsabile della qualità come dipendente di diverse aziende. Dal 2010 è autonomo professionista e come Consulente del lavoro collabora con altri colleghi e Studi legali di Milano in ambito privacy.

Roberto Ballanti

CONSIGLIERE

Ho iniziato a occuparmi di privacy e protezione dei dati personali per puro caso, in quanto esperto consulente informatico, e con il tempo ne ho fatta una professione. Professione che svolgo con dedizione e passione cercando di coniugare il non facile aspetto di utilità e compliance alle norme e regolamenti di riferimento. Consulente in data protection e information security per aziende e associazioni di categoria da oltre 13 anni.

Eraldo Salvatori

CONSIGLIERE

Laureato in Economia Aziendale Internazionale, con esperienza ventennale nell’informazione specialistica (giuridico – economico), nella formazione professionalizzante, nella formazione finanziata e nei software per gli studi professionali e aziende.

Vittordavide Frison

CONSIGLIERE

Interessato alla Privacy da oltre 10 anni, ho unito skill tecnico alla capacità di farmi capire dalla Dirigenza delle Aziende e degli Enti con i quali mi approccio: ambisco a far comprendere come riottenere il Governo dei Dati delle proprie strutture.