Servizi online, necessario l’utilizzo di protocolli sicuri. Multata un’azienda che utilizzava un protocollo di comunicazione in chiaro

Servizi online: diventa sempre più importante utilizzare protocolli sicuri.

Per scongiurare il rischio di furti d’identità e garantire un’adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”).

È quanto ha ribadito il Garante privacy che ha sanzionato un’Azienda fornitrice di servizi idrici con una multa di 15.000 euro. L’azienda non aveva adeguatamente protetto i dati dei clienti registrati sull’area riservata del proprio sito web.

A seguito di un reclamo, l’Autorità ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro.

Diversi i dati personali dei clienti che transitavano mediante tale canale: dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. La soluzione adottata dall’Azienda violava importanti principi, quali quello di “integrità e riservatezza” dei dati trattati, sanciti dal Regolamento. Principi che prevedono che il titolare debba mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e, successivamente, effettuare revisioni periodiche delle misure di sicurezza adottate.

Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).

L’alto numero di utenti coinvolti (circa 13.000) e il fatto che l’Azienda non si fosse prontamente attivata fino all’apertura dell’istruttoria nonostante il reclamante avesse comunicato in due circostanze l’insufficienza delle misure di sicurezza adottate hanno determinato l’entità della sanzione per 15.000 euro.

Di contro, il Garante ha tenuto in considerazione che l’Azienda non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.

 

Fondamentale dunque per le aziende adottare protocolli sicuri e affidarsi a professionisti per essere sempre aggiornati e in regola in materia di privacy e GDPR. Contattaci per scoprire tutti i nostri servizi.

 

Fonte: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9817058
Read More

Fornitura di Data Protection Officer

Figura Professionale di Responsabile della Protezione dei Dati Personali
Tra gli adempimenti di più ampio impatto sul mercato con l’attuazione del GDPR, c’è l’obbligo a nominare il responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO).

Il DPO è un professionista la cui responsabilità è quella di osservare, valutare e suggerire la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto del GDPR.

Deve possedere competenze giuridiche, informatiche, di risk management e di analisi dei pro-cessi.

Sono obbligati alla nomina tutte le Amministrazioni Pubbliche, ed in ambito Privato le Organizzazioni le cui attività richiedono su larga scala un monitoraggio regolare e sistematico di Dati Personali, oppu-re quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Il Consorzio IUSTEC, grazie alla propria composizione di Professionisti, Avvocati ed Aziende ICT specializzate in temi di Privacy e Cyber Security, offre la propria esperienza nella fornitura di DPO certificati UNI 11697, ognuno con capacità specifiche nei maggiori ambiti di intervento (Sanità, Pubbliche Amministrazioni, ICT, Enti Formativi) al fine di assicurare la massima competenza.
I componenti del Consorzio IUSTEC sono Soci-Fondatori dell’Associazione

Read More

Valutazione di impatto: quando è necessaria?

Il Data Protection Impact Assessment, o DPIA, non è sempre un documento da redigere in forma obbligatoria. Tuttavia quando se ne configura l’obbligo, la sua assenza può portare a sanzioni molto importanti.

Il chiarimento sulle fattispecie che configurano l’obbligo è arrivato con il provvedimento del Garante della Privacy n° 467 dell’11 Ottobre 2018 in attuazione dell’articolo 35 del regolamento UE sulla protezione dei dati n° 2016/679 che affida alle autorità di controllo dei diversi stati europei il compito di identificare le fattispecie ove l’obbligo sia previsto.

Le situazioni che comportano l’obbligo configurano evidentemente un elevato rischio per le persone i cui dati personali sono oggetto di trattamento.

Le casistiche individuate dal Garante della Privacy italiano identificano 12 tipologie di trattamento da sottoporre a valutazione di impatto, nonostante l’elenco non debba ritenersi esaustivo:

  • Trattamenti valutativi o di scoring su larga scala, profilazione e attività predittive anche online o attraverso app;
  • Decisioni automatizzate che producono effetti giuridici (come lo screening dei clienti di una banca per il tramite di dati di una centrale rischi);
  • Osservazione, monitoraggio o controllo degli interessati, trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (compresi i trattamenti di metadati);
  • Trattamenti su larga scala di dati aventi carattere estremamente personale;
  • Trattamenti nel rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
  • Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • Trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; intelligenza artificiale; assistenti vocali online attraverso lo scanning vocale e testuale; monitoraggi con dispositivi indossabili; tracciamenti di prossimità come il wi-fi tracking);
  • Scambio tra diversi titolari di dati su larga scala con modalità telematiche; interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio mobile payment);
  • Trattamenti di categorie particolari e di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
  • Trattamenti sistematici di dati biometrici;
  • Trattamenti sistematici di dati genetici.
Read More

Violazione PEC

Per chi pensa che gli attacchi cybercriminali accadano solo nei film, ecco arrivare l’ennesimo caso di violazione di domini personali e di sottrazione di dati ad entità private e pubbliche. Oltre 500mila account PEC (Posta Elettronica Certificata) sono stati oggetto di un attacco hacker nel mese di novembre 2018, con la conseguenza che persino alcuni tribunali dello Stato sono stati costretti ad interrompere le attività.

Nonostante non si sia trattato di un attacco particolarmente sofisticato, le conseguenze sono state molto gravi quindi. Oltre 3mila entità hanno subito la penetrazione del proprio account da parte di IP esteri, per un totale di oltre 500mila PEC violate, con la conseguente infiltrazione e sottrazione di dati personali.

Questo episodio, il più grave del 2018, conferma che nessuno è protetto a priori e che si deve sempre fare tutto il possibile per evitare problemi.

In questo caso gli esperti consigliano di cambiare frequentemente le password e certamente di cambiarle ora, per evitare che rimanga nell’account la password violata e che l’account stesso possa ulteriormente essere oggetto di violazione.

Read More