Sono aperte le iscrizioni alla nuova edizione del Master per Responsabili per la transizione al digitale (RTD) che si terrà nei mesi di febbraio, marzo e aprile interamente online.

La nuova edizione del percorso formativo che nasce per approfondire i principali ambiti di attività dei Responsabili per la transizione al digitale presenta un programma aggiornato alle novità introdotte dai Decreti Semplicazioni e dall’aggiornamento del Piano triennale per l’informatica nella PA 2021-2023 ed è strutturato per approfondire i principali obiettivi fissati dal PNRR per la trasformazione digitale della PA.

Oltre al modulo base, come già avvenuto nell’edizione 2021, è stato inserito anche un modulo avanzato – acquistabile insieme al percorso base o singolarmente – con quattro verticalizzazioni tematiche dal taglio fortemente pratico dedicate ad alcuni dei temi di maggiore interesse per il RTD: piano triennale, software e cloud, accessibilità e sicurezza. Le lezioni saranno tenute da consulenti esperti nei processi di trasformazione digitale nella Pubblica Amministrazione, tra cui l’Avv. Ernesto Belisario e l’Avv. Francesca Ricciulli.

Il master è organizzato nell’ambito del progetto La PA Digitale del Gruppo Maggioli, curato dai professionisti dello Studio E-Lex Ernesto Belisario, Francesca Ricciulli e Stelio Pagnotta.

Modulo base
6 lezioni online della durata di 4 ore ciascuna con spazi per il confronto con docenti, discussioni partecipate ed esempi operativi.
Consulta il programma del modulo base

Modulo avanzato
4 lezioni online della durata di 6 ore ciascuna con taglio fortemente pratico e spazi per il confronto con docenti, discussioni partecipate ed esempi operativi. Ciascuna lezione sarà caratterizzata da una specifica attività laboratoriale volta a realizzare specifici piani e manuali operativi utili a guidare le attività del Responsabile per la transizione al digitale.
Consulta il programma del modulo avanzato

Scarica la brochure con il programma di dettaglio del Master e il modulo per l’iscrizione.

L'articolo Amministrazione digitale: aperte le iscrizioni alla nuova edizione del Master per RTD proviene da E-Lex.

Today, the EU Parliament will formally adopt its position on the Digital Services Act (DSA). The Parliament approved language aimed at protecting end-to-end encryption and, in a major victory, added a right to use and pay for digital services anonymously wherever feasible. Still, the Pirates in the European Parliament ultimately decided to oppose the package. Indiscriminately collecting the mobile phone numbers of all uploaders to adult platforms corrupts the right to anonymity and endangers the safety and lives of sex workers in the European Union: a red line for European Pirate Party MEPs.

With amendment 291 letter (a), Parliament seeks to require users to disclose their mobile phone numbers to porn platforms before they may upload content or post comments. This provision violates the fundamental rights to privacy and data protection. In a letter to lawmakers, the EU Sex Workers’ Rights Alliance (ESWA) emphasized that “due to the stigmatised and criminalised nature of adult sexual content producers and other types of sex work, the safety of their data is of utmost importance as any data.” Data leaks would “pose a direct threat to the real-life (offline) safety and wellbeing of sex workers“.

While we recognise the honourable intentions of the amendment, Pirates will not support a proposal that threatens the safety of a group of persons who are already stigmatised. Nor can we support creating a precedent for eliminating anonymous publishing as an acceptable means of deterrence.

Pirates successfully advocated for digital rights

In other regards, Pirate Party Members of the European Parliament made major contributions to improving user privacy. For the first time, users would be able to generally opt out of pervasive surveillance online and the creation of personality profiles for commercial purposes in their apps, which would also spare them from the time-consuming consent banners. Refusing consent would become as easy as giving it. Online platforms would need to give fair access options also to users who refuse to be pervasively tracked.

Furthermore, the end-to-end encrypted services, that are essential to communicating securely, would be shielded against interferences by EU Member States. National data retention or identification requirements would be excluded. As proposed by MEPs and the LIBE Committee, platform terms and conditions that do not comply with freedom of speech, media freedom or other fundamental rights will be void. And in a major last-minute victory, Parliament now wants users to be able to use and pay for digital services anonymously wherever possible.

Pirate Party MEP Patrick Breyer, Civil Liberties, Justice and Home Affairs (LIBE) rapporteur for the Digital Services Act and digital rights activist, comments:

“Parliament’s backing for a right to use and pay for digital services anonymously is a major victory for protecting our privacy and safety online. Only last year, over 500m mobile phone numbers leaked from Facebook/Meta. We cannot accept that every year, data leaks expose millions of EU citizens’ data to cyber criminals.

“In the upcoming trilogue negotiations, we shall fiercely defend our successes in protecting our privacy and freedom of expression online, including the Parliament’s intention to exclude mandatory error-prone upload filters, to protect effective encryption and to reject national indiscriminate identification obligations and data retention requirements.

“Yet, many of the LIBE Committee‘s recommendations were not adopted. As a result, ‘illiberal’ EU governments will be able to spy on our online activities and censor content, including content hosted abroad in liberal democracies, without requiring a court order. And the decision fails to fundamentally tackle the monopolies and surveillance capitalist business model of big tech, exposing us to the harms of mud-slinging algorithms and corporate censorship, including by way of error-prone upload filter algorithms and AI.”

MEP Mikuláš Peksa, Chairperson of the European Pirate Party and DSA rapporteur to the Committee on Economic and Monetary Affairs (ECON), comments:

“Users will now be able to ban all websites from using targeted advertising that uses their personal data with a single click in their browser, ending the endless clicking of consent. Platforms will also no longer have to mandatorily filter any content when uploading. But at the same time, there will be a mechanism for people to report objectionable or illegal posts. Our main goal is to protect the interests of individual users and smaller players by clearly defining their rights. From our point of view, letting the authorities in each member state decide about banning ,,illegal” content is a colossal mistake which will fragmentise the market and allow authoritarians like Viktor Orbán to control the online space and oppress the opposition.”

Next, the European Parliament will need to negotiate a deal with the less progressive EU Member States, led by the French government. Trilogue negotiations will take place behind closed doors. Pirate Party MEP Patrick Breyer will participate on behalf of the LIBE Committee.

Some insights into the content of the DSA mandate:

Upload filters

Parliament has learned from the protests against article 13/17 of the Copyright in the Digital Single Market directive and rules out new filtering obligations in the Digital Services Act. However, the promise to ban the “voluntary” use of error-prone filters by internet platforms is not kept. In practice, therefore, nothing will change.

Digital privacy and data securityGovernment authorities will be able to request pervasive records on a person‘s online activities without a court order. On the other hand, the right to secure encryption would be guaranteed. And service providers could not be obliged by national legislation to generally and indiscriminately retain personal user data.The newly introduced right to use digital services anonymously would read: “Without prejudice to Regulation (EU) 2016/679 and Directive 2002/58/EC, providers shall make reasonable efforts to enable the use of and payment for that service without collecting personal data of the recipient.” A recital would explain: “In accordance with the principle of data minimisation and in order to prevent unauthorised disclosure, identity theft and other forms of abuse of personal data, recipients should have the right to use and pay for services anonymously wherever reasonable efforts can make this possible. This should apply without prejudice to the obligations in Union law on the protection of personal data. Providers can enable anonymous use of their services by refraining from collecting personal data regarding the recipient and their online activities and by not preventing recipients from using anonymizing networks for accessing the service. Anonymous payment can take place, for example, by paying in cash, by using cash-paid vouchers or prepaid payment instruments.“

Surveillance advertising

The systematic monitoring and creation of personality profiles of internet users for advertising purposes is not to be banned. However, for the first time, users could generally opt out in the browser (“do not track”) and then also to be spared from annoying consent banners. Refusing consent would need to be just as easy as giving it (ban on “dark patterns”). Users who refuse to being tracked would still have access. Alternative access options would have to be fair and reasonable both for regular and for one-time users, such as options based on tracking-free advertising. Targeting individuals on the basis of their political opinion, health status, sexual preferences or religious belief would be banned.

Freedom of information

Authorities could require the (cross-border) removal of internet publications without a court order – even if they are completely legal in the country of publication. This means that in future Orban can have content deleted throughout the EU, on the basis of his own laws. The promised ban on network-level blocking is not part of the position. Internet platforms will not need to ask users before removing their content. At least, according to the Parliament, automatic suspension of users who have allegedly repeatedly violated copyright or other laws would not be mandated.

Timeline algorithms and user choice

Digital corporations will continue to be allowed to decide on their own what appears in the timelines of users and what does not. Users are not given a right to opt out of the commercial recommender algorithms or use external algorithms of their own choice.

patrick-breyer.de/en/digital-s…

A seguito delle sue indagini, la CNIL ha stabilito che i banner dei domini facebook.com, google.fr e youtube.com non permettono all’utente di rifiutare i cookie con la stessa facilità con cui li può accettare.

La continua evoluzione dell’information technology impone una riflessione sul diritto alla privacy degli internauti. Sia che tale diritto si riferisca alla protezione dei dati personali, che alla libertà di scelta, le azioni svolte online dagli utenti assumono un peso e una concretezza peculiari nell’universo di internet. Se per un utente può sembrare innocuo consentire l’uso dei cookie dal proprio terminale1, il suo consenso è di sicuro interesse per chi i suoi dati personali li tratta per finalità commerciali e di profilazione2. A tal proposito, sarebbe da chiedersi fino a dove possano spingersi i service provider per ottenere il consenso all’installazione di questi identificativi. Per avere un’idea di dove si attesti la soglia di legalità, può essere utile fare riferimento alle recenti sanzioni comminate dall’autorità francese per la protezione dei dati personali (la CNIL3), che ha condannato i due giganti Google e Facebook al pagamento di sanzioni per un totale di 210 milioni di euro4. Fino ad ora, in UE, queste sono le multe più pesanti mai inflitte per questo genere di violazione.

A seguito delle sue indagini, la CNIL ha stabilito che le modalità di rifiuto dei cookie sui domini facebook.com, google.fr e youtube.com sono in contrasto con la direttiva ePrivacy 2002/48/CE e con il Regolamento 679/2016/UE (GDPR), non permettendo all’utente di rifiutare i cookie con la stessa facilità con cui questi possono essere accettati. In buona sostanza, accanto al bottone “accetta i cookie” non ve n’è un altro per rifiutarli. Al contrario, per proseguire la navigazione e rifiutare l’installazione dei cookie sono necessari più passaggi rispetto al singolo click sufficiente per accettare e proseguire.5

Obbligo di trasparenza

Le disposizioni della direttiva ePrivacy e del GDPR sorreggono la decisione della CNIL. Da una parte, l’art. 5 (3) della direttiva prevede che l’utente sia informato in modo chiaro e completo circa le finalità, l’installazione e la possibilità di rifiutare i cookie sul proprio terminale. Dall’altra, l’art. 9 (1) lascia intendere che l’utente debba sempre prestare il proprio consenso quando i cookie installati sul terminale costituiscano un valore aggiunto, come, ad esempio, l’offerta di pubblicità mirata. Allo stesso modo, ai sensi del GDPR, il consenso dell’interessato deve essere libero, specifico, univoco ed informato, oltre che, per i trattamenti automatizzati e la profilazione, esplicito6. Per il titolare del trattamento, ciò si traduce nell’onere di informare l’utente in modo trasparente7 e di porlo nella condizione di rifiutare o accettare i cookie con la medesima facilità8. Tale obbligo di trasparenza può essere soddisfatto tramite la presentazione di cookie banner chiari e non ingannevoli. Come fa intendere la CNIL, e come d’altronde già sancito dal Working Document 02/2013 sull’ottenimento del consenso al trattamento dei cookie9, nel caso in esame il semplice posizionamento dei tasti di accettazione e di rifiuto sullo stesso livello del banner sarebbe stato sufficiente a fornire all’utente una scelta consapevole, incondizionata ed esplicita. Al contrario, Google e Facebook hanno dato adito a dubbi circa il loro utilizzo di dark patterns, ossia di interfacce studiate con la finalità di scoraggiare il rifiuto dei cookie. Un tale genere di interfacce rende più complesso per l’utente agire per il rifiuto rispetto che cliccare per accettare l’installazione degli identificativi sul proprio terminale10. Nella prassi si è anche parlato di questa pratica con lo specifico nome di cookie fatigue (fatica nel rifiuto dei cookie)11. Tutto questo scoraggia l’utente che vuole navigare sul sito a compiere il susseguirsi di azioni necessarie al rifiuto, preferendo concedere i propri dati personali a fronte di una navigazione più spedita12. La questione è di centrale importanza anche alla luce dei recenti sviluppi nel campo. Già nel 2019, con la decisione Planet 4913 , la Corte di Giustizia dell’Unione Europea aveva sotto più aspetti posto dei limiti alla libertà di forma dei mezzi di accettazione e rifiuto e sottolineato l’importanza del consenso. La Corte precisava che

“[i]l consenso dell’utente non può più essere presunto e deve risultare dal comportamento attivo di quest’ultimo”.

Il diritto di discernimento attivo e consapevole dell’interessato è rafforzato dalle recentissime linee guida sui cookie dell’EDPB (per approfondimenti, potete leggere qui) da poco recepite dal nostro Garante14; lo sarà ancor di più con il regolamento ePrivacy di prossima adozione.

L’astraente: un ulteriore deterrente

Oltre alle pesanti sanzioni già irrogate, la CNIL ha fatto uso dello strumento dell’astraente e ha imposto a ciascuna società un’ulteriore sanzione di 100.000 euro per ogni giorno di ritardo dopo la scadenza del termine di 3 mesi fissato per adempiere.

La competenza della CNIL

All’interno di una tale vicenda occorre senz’altro menzionare la questione relativa alla competenza della CNIL. Sia Google che Facebook hanno contestato alla CNIL di non avere competenza sulla questione in quanto, secondo l’art. 60 GDPR, a decidere avrebbe dovuto essere l’autorità di controllo capofila secondo il meccanismo di cooperazione nei trattamenti transnazionali di dati. Se così fosse stato, i casi sarebbero spettati all’autorità irlandese, dove hanno sede gli stabilimenti principali UE di Google e Facebook. Preso atto di ciò, la CNIL ha tuttavia ritenuto di non dover applicare il GDPR. Le ragioni risiedono, da una parte, nel ruolo di lex specialis della direttiva ePrivacy per il trattamento dei dati risultanti da servizi della società dell’informazione. In sostanza, l’articolo 1 (2) della direttiva ePrivacy, stabilisce espressamente che le sue disposizioni precisano e integrano la direttiva 95/46/CE (oggi, GDPR); disposizione avallata dallo stesso GDPR, il cui considerando n. 173 specifica come il Regolamento non si applichi al trattamento dei dati personali di cui alla direttiva ePrivacy. Dall’altra parte, la CNIL chiarisce che il trattamento sanzionato si esaurisce nel completamento dell’installazione dei cookie sul terminale dell’utente. Esso non coinvolge il trattamento oltreconfine da parte degli stabilimenti in Irlanda, che consiste nel vero a proprio utilizzo commerciale dei dati degli utenti e che è a tutti gli effetti un “trattamento successivo”15. Non ha quindi luogo alcun trattamento transfrontaliero che giustificherebbe l’intervento dell’autorità capofila irlandese.16 In virtù di ciò, la CNIL si è ritenuta territorialmente competente poiché il trattamento dei cookie si è svolto interamente in Francia.

In conclusione appare evidente come la cookie policy e i relativi banner debbano essere strumenti neutrali e trasparenti, che vadano di pari passo con le intenzioni e libere scelte degli interessati. Le autorità nazionali per la protezione dei dati costituiscono un eccellente strumento di difesa dei diritti degli interessati, anche quando, come in questo caso, sussista un evidente squilibrio di risorse fra questi e i titolari del trattamento.

1 amazeemetrics.com/en/blog/76-i…

2 wsj.com/articles/big-tech-priv…

3 Commission Nationale de l’Informatique et des Libertés.

4 Google (Alphabet Inc.) è stata multata per 150 milioni di euro; Facebook Inc., per 60 milioni di euro.

5 cnil.fr/fr/cookies-la-cnil-san…

6 Cfr. Art. 22 (2) lett. b), Regolamento 679/2016/UE.

7 Cfr. Art. 12 GDPR.

8 Cfr. per analogia, Art. 7 (3) GDPR.

9 1676/13/EN WP 208, Working Document 02/2013 providing guidance on obtaining consent for cookies (p. 3 – 6).

10 Dark pattern: cosa sono e il loro rapporto con il GDPR, in Cybersecurity 360, cybersecurity360.it/legal/priv…

11 Ibid.

12 Se questo non bastasse a concretizzare l’ipotesi di dark pattern, nel caso di Facebook la CNIL ha scoperto che non soltanto il pulsante per rifiutare i cookie fosse collocato in un sottolivello del banner, ma che fosse oltretutto intitolato “Accetta i cookie” – cfr. cnil.fr/en/cookies-facebook-ir…

13 Causa C 673/17, CGUE.

14 garanteprivacy.it/home/docweb/…

15 Deliberation of the restricted committee No. SAN-2021-024 of 31 December 2021, par. 29.

16 Malgrado ciò, in virtù del collegamento economico fra gli stabilimenti USA, Irlandesi e francesi delle due società, la CNIL li ha ritenuti congiuntamente responsabili. Cfr. cnil.fr/en/cookies-google-fine… e cnil.fr/fr/cookies-sanction-de…

L'articolo Francia: sanzioni complessive per 210 milioni di euro nei confronti di Facebook e Google proviene da E-Lex.

Il 14 dicembre 2021, l’European Data Protection Board (ex Working Party 29) ha adottato le sue nuove Guidelines 01/2021 on examples regarding personal data breach notification.

Le recenti Linee guida integrano quelle già adottate dal WP29 nel 2017 (“Guidelines on personal data breach notification under Regulation 2016/679”), con le quali il Board aveva già fornito delle indicazioni di ordine generale sulla classificazione e gestione delle violazioni dei dati (in inglese, “data breach”).

La disciplina sui data breach ai sensi del GDPR

Preliminarmente, l’EDPB richiama la disciplina generale dettata dal Regolamento UE 679/2016 (cosiddetto “GDPR”) in materia di violazione dei dati personali.

Nello specifico, l’art. 4, par. 1, n. 12 del GDPR definisce un data breach come la “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Già nella sua Opinion 03/2014 e nelle summenzionate linee guida del 2017, il WP29 aveva avuto modo di chiarire che le violazioni possono distinguersi in:

• violazione della riservatezza, quando occorre una divulgazione non autorizzata o accidentale ovvero l’accesso a dati personali;
• violazione dell’integrità, quando occorre un’alterazione non autorizzata o accidentale dei dati personali;
• violazione della disponibilità, quando c’è una perdita accidentale o una non autorizzata perdita all’accesso ovvero distruzione di dati personali.

In tali casi, alla luce delle prescrizioni contenute nel GDPR, il titolare del trattamento dovrebbe prontamente attivarsi per valutare gli effetti prodotti dalla violazione e le relative azioni da intraprendere al fine di mitigare detti effetti. A valle di tali operazioni, poi, occorre notificare l’accaduto all’autorità competente (in Italia, l’Autorità garante per la protezione dei dati personali) – salvo che il breach non rappresenti un rischio per i diritti e le libertà degli interessati -, nonché comunicare lo stesso agli interessati (anche in questo caso, solo qualora ci sia un rischio elevato per i diritti e le libertà dei soggetti coinvolti).

In ogni caso, il titolare è tenuto a documentare la violazione, indipendentemente dal rischio per i diritti e le libertà degli interessati (per esempio, tenendo un apposito registro delle violazioni e degli incidenti di sicurezza).

Le casistiche esaminate dall’EDPB

Tanto premesso, l’EDPB, nelle Linee guida in commento, si è soffermato su talune circostanze, che, frequentemente, causano violazioni di dati, fornendo sia casistiche esemplificative sia le misure preventive da adottare e le eventuali azioni per mitigare i danni in caso di breach, nonché, infine, le opportune misure tecniche e organizzative da implementare nell’ambito della struttura del titolare.

Ransomware

Una causa frequente di violazione dei dati è un attacco ransomware: in questo caso, l’“aggressore” cripta i dati attraverso un codice maligno e, successivamente, chiede al titolare un riscatto come prezzo del codice di decrittazione.

Questo tipo di attacco può di solito essere classificato come una violazione della disponibilità dei dati o, se del caso, di riservatezza.

A tale proposito, l’EDPB adduce diverse casistiche, distinguendo a seconda che il titolare abbia o meno un backup dei dati criptati ovvero che vi sia stato o meno l’esfiltrazione degli stessi.

Il fatto che un attacco ransomware possa aver avuto luogo è solitamente un segno di una o più vulnerabilità dei sistemi e, indipendentemente dalle conseguenze dell’attacco, il titolare dovrebbe adottare tutte le misure di sicurezza – sia tecniche sia organizzative – atte ad affrontare evenienze di questo tipo.

Tra le misure tecniche sicuramente rientra il costante aggiornamento del firmware, del sistema operativo e del software applicativo sui server, le macchine client e, in generale, tutti i componenti di rete attivi e qualsiasi altra macchina su LAN, nonché l’adozione di una procedura di backup e un software anti-malware aggiornati, sicuri e testati.

Dal punto di vista organizzativo, cruciale risulta la formazione dei dipendenti (soprattutto quelli che trattano dati cosiddetti “sensibili”) sui metodi di riconoscimento e prevenzione degli attacchi informatici, nonché la pianificazione di test di vulnerabilità e penetrazione su base regolare e la creazione – soprattutto nell’ambito di realtà aziendali complesse – di un computer security incident response team o computer emergency response team.

Infine, il titolare dovrebbe adottare dei piani di incident response, disaster recovery e business continuity, assicurandosi che questi siano accuratamente testati.

Esfiltrazione dei dati

Gli attacchi di esfiltrazione, come quelli ransomware, sfruttano le vulnerabilità dei sistemi del titolare, ma, di solito, mirano a copiare, esfiltrare e usare i dati personali per fini illeciti.

Pertanto, di norma, tali attacchi sono classificati come violazioni della riservatezza e, eventualmente, anche dell’integrità dei dati.

A tale proposito, le misure tecniche consigliate dell’EDPB sono, ad esempio, utilizzare sistemi di crittografia e gestione delle chiavi (specialmente quando si trattano password, dati sensibili o finanziari) e preferire l’uso di metodi di autenticazione che evitano la necessità di elaborare le password sul lato server, nonché di metodi di autenticazione forti (come l’autenticazione a due fattori e i server di autenticazione).

Lato organizzativo, il titolare dovrebbe adottare delle policy di gestione dei privilegi degli utenti e di controllo degli accessi in atto, nonché programmare ed effettuare verifiche sistematiche della sicurezza IT e valutazioni e test della vulnerabilità.

Errore e accadimenti umani

Il Board si sofferma, inoltre, su tutti quegli accadimenti – volontari e non – causati da comportamenti umani che, nella pratica, portano spesso a violazioni di dati personali: si pensi, a titolo esemplificativo, all’esfiltrazione di dati da parte di un dipendente o all’invio accidentale – tramite email – di dati a soggetti non autorizzati o ancora alla perdita di device e documenti contenenti dati.

Si consideri che la necessità di affrontare i fattori umani nella prevenzione dei data breach è stata inoltre evidenziata dall’International Conference of Data Protection and Privacy Commissioners del 2019, che ha adottato una risoluzione contenente, tra l’altro, un elenco non esaustivo delle opportune safeguards da adottare.

Quando si parla di errore umano, è evidente che la misura organizzativa più importante da adottare è costituita dalla programmazione di piani di formazione e sensibilizzazione periodica del personale che opera nella struttura del titolare. In tale contesto, focale risulta l’apporto del Data Protection Officer eventualmente nominato dal titolare, che, ai sensi dell’art. 39, par. 2, lett. b), è il soggetto deputato alla “sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Il personale dovrebbe essere istruito, in particolare, sulle procedure adottate al fine di implementare sistemi solidi ed efficaci di protezione dei dati e della sicurezza dei sistemi. Per esempio, tali procedure dovrebbero prendere contenere:

• adeguate policy di controllo di accesso ai sistemi;
• regole per la disabilitazione dell’account aziendale non appena la persona lascia l’azienda;
• meccanismi di controllo del flusso di dati insolito tra il file server e le stazioni di lavoro dei dipendenti.

Dal punto di vista tecnico, invece, il titolare dovrebbe considerare e implementare, by design, delle logiche per un corretto uso dei device, quali:

• disabilitare la funzione di stampa dello schermo nel sistema operativo;
• applicare una politica di clean desk;
• bloccare automaticamente tutti i computer dopo una certo tempo di inattività;
• usare meccanismi (per esempio token) per accedere/aprire account bloccati;
• attivare la crittografia del dispositivo (come Bitlocker, Veracrypt o DM-Crypt);
• usare una VPN sicura (per esempio, che richiede una chiave di autenticazione a secondo fattore separata per stabilire una connessione sicura) per collegare i dispositivi mobili ai server di back-end.
• applicazione del ritardo nell’invio del messaggio (per esempio, il messaggio può essere cancellato/modificato entro un certo periodo di tempo dopo aver cliccato il pulsante di invio);
• disabilitazione del completamento automatico quando si digitano gli indirizzi e-mail.

  Ariella Fonsi

L'articolo Data breach e tutela dei dati aziendali: le nuove Linee guida dell’EDPB proviene da E-Lex.