Il 14 dicembre 2021, l’European Data Protection Board (ex Working Party 29) ha adottato le sue nuove Guidelines 01/2021 on examples regarding personal data breach notification.

Le recenti Linee guida integrano quelle già adottate dal WP29 nel 2017 (“Guidelines on personal data breach notification under Regulation 2016/679”), con le quali il Board aveva già fornito delle indicazioni di ordine generale sulla classificazione e gestione delle violazioni dei dati (in inglese, “data breach”).

La disciplina sui data breach ai sensi del GDPR

Preliminarmente, l’EDPB richiama la disciplina generale dettata dal Regolamento UE 679/2016 (cosiddetto “GDPR”) in materia di violazione dei dati personali.

Nello specifico, l’art. 4, par. 1, n. 12 del GDPR definisce un data breach come la “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Già nella sua Opinion 03/2014 e nelle summenzionate linee guida del 2017, il WP29 aveva avuto modo di chiarire che le violazioni possono distinguersi in:

• violazione della riservatezza, quando occorre una divulgazione non autorizzata o accidentale ovvero l’accesso a dati personali;
• violazione dell’integrità, quando occorre un’alterazione non autorizzata o accidentale dei dati personali;
• violazione della disponibilità, quando c’è una perdita accidentale o una non autorizzata perdita all’accesso ovvero distruzione di dati personali.

In tali casi, alla luce delle prescrizioni contenute nel GDPR, il titolare del trattamento dovrebbe prontamente attivarsi per valutare gli effetti prodotti dalla violazione e le relative azioni da intraprendere al fine di mitigare detti effetti. A valle di tali operazioni, poi, occorre notificare l’accaduto all’autorità competente (in Italia, l’Autorità garante per la protezione dei dati personali) – salvo che il breach non rappresenti un rischio per i diritti e le libertà degli interessati -, nonché comunicare lo stesso agli interessati (anche in questo caso, solo qualora ci sia un rischio elevato per i diritti e le libertà dei soggetti coinvolti).

In ogni caso, il titolare è tenuto a documentare la violazione, indipendentemente dal rischio per i diritti e le libertà degli interessati (per esempio, tenendo un apposito registro delle violazioni e degli incidenti di sicurezza).

Le casistiche esaminate dall’EDPB

Tanto premesso, l’EDPB, nelle Linee guida in commento, si è soffermato su talune circostanze, che, frequentemente, causano violazioni di dati, fornendo sia casistiche esemplificative sia le misure preventive da adottare e le eventuali azioni per mitigare i danni in caso di breach, nonché, infine, le opportune misure tecniche e organizzative da implementare nell’ambito della struttura del titolare.

Ransomware

Una causa frequente di violazione dei dati è un attacco ransomware: in questo caso, l’“aggressore” cripta i dati attraverso un codice maligno e, successivamente, chiede al titolare un riscatto come prezzo del codice di decrittazione.

Questo tipo di attacco può di solito essere classificato come una violazione della disponibilità dei dati o, se del caso, di riservatezza.

A tale proposito, l’EDPB adduce diverse casistiche, distinguendo a seconda che il titolare abbia o meno un backup dei dati criptati ovvero che vi sia stato o meno l’esfiltrazione degli stessi.

Il fatto che un attacco ransomware possa aver avuto luogo è solitamente un segno di una o più vulnerabilità dei sistemi e, indipendentemente dalle conseguenze dell’attacco, il titolare dovrebbe adottare tutte le misure di sicurezza – sia tecniche sia organizzative – atte ad affrontare evenienze di questo tipo.

Tra le misure tecniche sicuramente rientra il costante aggiornamento del firmware, del sistema operativo e del software applicativo sui server, le macchine client e, in generale, tutti i componenti di rete attivi e qualsiasi altra macchina su LAN, nonché l’adozione di una procedura di backup e un software anti-malware aggiornati, sicuri e testati.

Dal punto di vista organizzativo, cruciale risulta la formazione dei dipendenti (soprattutto quelli che trattano dati cosiddetti “sensibili”) sui metodi di riconoscimento e prevenzione degli attacchi informatici, nonché la pianificazione di test di vulnerabilità e penetrazione su base regolare e la creazione – soprattutto nell’ambito di realtà aziendali complesse – di un computer security incident response team o computer emergency response team.

Infine, il titolare dovrebbe adottare dei piani di incident response, disaster recovery e business continuity, assicurandosi che questi siano accuratamente testati.

Esfiltrazione dei dati

Gli attacchi di esfiltrazione, come quelli ransomware, sfruttano le vulnerabilità dei sistemi del titolare, ma, di solito, mirano a copiare, esfiltrare e usare i dati personali per fini illeciti.

Pertanto, di norma, tali attacchi sono classificati come violazioni della riservatezza e, eventualmente, anche dell’integrità dei dati.

A tale proposito, le misure tecniche consigliate dell’EDPB sono, ad esempio, utilizzare sistemi di crittografia e gestione delle chiavi (specialmente quando si trattano password, dati sensibili o finanziari) e preferire l’uso di metodi di autenticazione che evitano la necessità di elaborare le password sul lato server, nonché di metodi di autenticazione forti (come l’autenticazione a due fattori e i server di autenticazione).

Lato organizzativo, il titolare dovrebbe adottare delle policy di gestione dei privilegi degli utenti e di controllo degli accessi in atto, nonché programmare ed effettuare verifiche sistematiche della sicurezza IT e valutazioni e test della vulnerabilità.

Errore e accadimenti umani

Il Board si sofferma, inoltre, su tutti quegli accadimenti – volontari e non – causati da comportamenti umani che, nella pratica, portano spesso a violazioni di dati personali: si pensi, a titolo esemplificativo, all’esfiltrazione di dati da parte di un dipendente o all’invio accidentale – tramite email – di dati a soggetti non autorizzati o ancora alla perdita di device e documenti contenenti dati.

Si consideri che la necessità di affrontare i fattori umani nella prevenzione dei data breach è stata inoltre evidenziata dall’International Conference of Data Protection and Privacy Commissioners del 2019, che ha adottato una risoluzione contenente, tra l’altro, un elenco non esaustivo delle opportune safeguards da adottare.

Quando si parla di errore umano, è evidente che la misura organizzativa più importante da adottare è costituita dalla programmazione di piani di formazione e sensibilizzazione periodica del personale che opera nella struttura del titolare. In tale contesto, focale risulta l’apporto del Data Protection Officer eventualmente nominato dal titolare, che, ai sensi dell’art. 39, par. 2, lett. b), è il soggetto deputato alla “sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Il personale dovrebbe essere istruito, in particolare, sulle procedure adottate al fine di implementare sistemi solidi ed efficaci di protezione dei dati e della sicurezza dei sistemi. Per esempio, tali procedure dovrebbero prendere contenere:

• adeguate policy di controllo di accesso ai sistemi;
• regole per la disabilitazione dell’account aziendale non appena la persona lascia l’azienda;
• meccanismi di controllo del flusso di dati insolito tra il file server e le stazioni di lavoro dei dipendenti.

Dal punto di vista tecnico, invece, il titolare dovrebbe considerare e implementare, by design, delle logiche per un corretto uso dei device, quali:

• disabilitare la funzione di stampa dello schermo nel sistema operativo;
• applicare una politica di clean desk;
• bloccare automaticamente tutti i computer dopo una certo tempo di inattività;
• usare meccanismi (per esempio token) per accedere/aprire account bloccati;
• attivare la crittografia del dispositivo (come Bitlocker, Veracrypt o DM-Crypt);
• usare una VPN sicura (per esempio, che richiede una chiave di autenticazione a secondo fattore separata per stabilire una connessione sicura) per collegare i dispositivi mobili ai server di back-end.
• applicazione del ritardo nell’invio del messaggio (per esempio, il messaggio può essere cancellato/modificato entro un certo periodo di tempo dopo aver cliccato il pulsante di invio);
• disabilitazione del completamento automatico quando si digitano gli indirizzi e-mail.

  Ariella Fonsi

L'articolo Data breach e tutela dei dati aziendali: le nuove Linee guida dell’EDPB proviene da E-Lex.

Lo scorso 20 dicembre l’Autorità Nazionale Anticorruzione (ANAC) ha pubblicato una nuova raccolta di FAQ in materia di whistleblowing. Il documento contiene chiarimenti utili sulla disciplina relativa alla segnalazione degli illeciti all’interno degli enti tanto sotto il profilo organizzativo quanto in riferimento alle concrete modalità di gestione delle segnalazioni. Tra i diversi punti di attenzione, rivestono un carattere di particolare importanza quelli attinenti gli aspetti relativi al trattamento dei dati personali.

Anzitutto deve sottolinearsi il contesto in cui le FAQ sono state pubblicate. Il 31 dicembre è scaduto il termine di adeguamento alla Direttiva europea 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione. Il Parlamento italiano lo scorso aprile aveva approvato la Legge delega 53/2021, attribuendo al Governo il compito di recepire le indicazioni del legislatore europeo, la quale tuttavia non ha avuto seguito.

Nelle more del recepimento della normativa eurocomunitaria l’Autorità Anticorruzione ha pubblicato, con delibera del 9 giugno 2021, le nuove linee guida sul whistleblowing che, allo stato, costituiscono il punto di riferimento principale e più avanzato per qualunque organizzazione che debba dotarsi di un adeguato sistema di segnalazione degli illeciti. Tale ultimo provvedimento, unitamente alle FAQ di recente pubblicazione, realizzano per la prima volta un coordinamento tra le norme in materia di whistleblowing e il nuovo quadro normativo in tema di trattamento dei dati personali.

Caposaldo della normativa in materia di segnalazione degli illeciti è la tutela della riservatezza del segnalante, del contenuto delle segnalazioni e degli eventuali allegati, nonché dei soggetti segnalati. Per questo motivo l’Autorità raccomanda l’adozione di appositi e adeguati software per la gestione delle segnalazioni, di modo da tutelare al meglio la riservatezza del segnalante e consentire l’interazione sicura tra questi e il responsabile per la prevenzione della corruzione (ed il suo team). Per fare ciò è indispensabile, ad avviso dell’ANAC e dal Garante privacy, che il software disponga di adeguate misure di sicurezza, che consenta la pseudonimizzazione dei dati identificativi del segnalante e la trasmissione dei dati mediante protocolli di trasmissione sicuri (ad es. HTTPS).

Inoltre, sempre al fine di tutelare la riservatezza dell’identità del whistleblower, è necessario che qualora l’accesso alla piattaforma informatica avvenga mediante dispositivi firewall o proxy, l’ente garantisca la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione. Questo può avvenire attraverso l’utilizzo di strumenti di anonimizzazione dei dati di navigazione, come ad esempio la tecnologia TOR.

Un’altra misura individuata dall’ANAC per salvaguardare la riservatezza dell’identità del whistleblower è legata al tracciamento degli accessi alla piattaforma di segnalazione.

In questo caso è necessario trovare un punto di equilibrio tra due diverse esigenze: da un lato la tutela della riservatezza e, dall’altro, la corretta gestione degli strumenti informatici e la difesa dell’ente da potenziali minacce informatiche. Per garantire ciò, l’Autorità raccomanda di procedere alla raccolta dei log della piattaforma con l’adozione di adeguate misure di sicurezza idonee a prevenire eventuali accessi non autorizzati.

L’ultima tematica affrontata dall’ANAC in tema di trattamento dei dati personali nel contesto del whistleblowing è quella relativa al tempo di conservazione delle segnalazioni.

Tale periodo, valutato insieme al Garante privacy, non deve eccedere l’arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, in ossequio al principio di limitazione della conservazione di cui all’art. 5, par. 1 lett. e) del GDPR.

La previsione è alquanto generica e, di conseguenza, l’individuazione puntuale del periodo di retention è rimessa all’accountability del titolare. L’Autorità anticorruzione suggerisce, sulla base anche della propria esperienza, di prevedere un termine minimo di conservazione delle segnalazioni, pari almeno a 10 anni. Naturalmente, ove a seguito della segnalazione scaturisca un eventuale giudizio, il termine sarà prolungato fino alla conclusione del giudizio stesso.

Le informazioni fornite dall’ANAC costituiscono un importante elemento per orientare l’operato dei titolari del trattamento nella gestione dei dati personali e delle informazioni acquisite nell’ambito del whistleblowing, in attesa del recepimento della Direttiva Direttiva europea 2019/1937, ove necessariamente il legislatore dovrà operare un coordinamento a livello normativo, con le disposizioni in materia di privacy.

Di seguito un decalogo che riassume i principali adempimenti in materia di protezione dei dati personali connessi all’istituto del whistleblowing.

• Il fornitore della piattaforma per il whistleblowing, dal momento che effettuerà dei trattamenti di dati personali per conto del titolare, deve sempre essere nominato responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (GDPR).
• L’atto di nomina del responsabile deve contenere una puntuale indicazione delle misure di sicurezza necessarie a garantire la sicurezza, la riservatezza e l’integrità dei dati e delle informazioni relative alle segnalazioni;
• Il responsabile per la prevenzione della corruzione e il suo team devono sempre essere nominati quali soggetti autorizzati al trattamento e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32, §. 4 del Regolamento (UE) 679/2016 e art. 2-quaterdecies del d.lgs. 196 del 2003);
• Gli interessati (nello specifico il segnalante) devono ricevere idonea informativa ai sensi dell’art. 13 GDPR;
• Il whisthleblowing deve essere inserito quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30, par.1, GDPR;
• Le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato;
• La piattaforma deve registrare e conservare in modo sicuro i log di accesso, mentre deve assolutamente essere evitato il tracciamento dei log del segnalante, anche nel caso in cui l’accesso sia mediato da un firewall o da un proxy server. In tali casi si può fare ricorso alla tecnologia TOR che garantisce l’anonimizzazione delle informazioni relative al traffico dati e all’indirizzo IP;
• Le informazioni devono essere scambiate attraverso protocolli sicuri (HTTPS);
• Il titolare deve adottare ogni idonea misura di sicurezza ai sensi dell’art. 32 GDPR;
• Le segnalazioni devono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per cui sono state trattate.

Andrea Pisano

L'articolo Whistleblowing: pubblicate le nuove FAQ dell’ANAC in attesa del recepimento della Direttiva 2019/1937. Quali novità in materia di trattamento dei dati personali? proviene da E-Lex.

Intervista Arturo Di Corinto podcast Skytg24 del 12 Gennaio 2022 di Alberto Giuffrè

Israele e Iran si sfidano da anni anche a colpi di attacchi informatici. A farne le spese, negli ultimi casi, sono stati soprattutto i cittadini. Ne parliamo nella nuova puntata di 1234 insieme ad Arturo Di Corinto, giornalista esperto di cybersecurity

Nelle scorse settimane le stazioni di rifornimento in Iran hanno smesso di funzionare a causa di un attacco informatico. Qualche giorno dopo una app di dating in Israele è stata violata. Sono soltanto gli ultimi episodi di una cyberguerra, quella tra Israele e Iran, che va avanti da anni. Ne parliamo nella nuova puntata di 1234, il podcast sulla sicurezza informatica di Sky TG24. L’ospite di questo episodio è Arturo Di Corinto, giornalista esperto di cybersecurity.

dicorinto.it/tipologia/intervi…

App di dating violate e benzinai chiusi: la cyberguerra tra Israele e Iran. IL PODCAST

Leggi su Sky TG24 l'articolo App di dating violate e benzinai chiusi: la cyberguerra tra Israele e Iran. IL PODCAST

^{Alberto Giuffrè (Sky TG24)}

Internet users should be given the right to use digital services anonymously, i.e. without having their personal data collected. According to a representative opinion poll conducted by YouGov among 10,064 EU citizens in December 2021 64% of respondents are in favour of such a right (with 21% opposed).

Next week, Members of the European Parliament will vote on their final position on the Digital Services Act. At the request of the Civil Liberties Committee (LIBE), an amendment on introducing a right to use digital services anonymously will be voted.

For the opinion poll, citizens from the Netherlands, Germany, Italy, France, Austria, the Czech Republic, Spain, Sweden and Belgium were asked whether they think that internet users should have the right to use digital services anonymously (i.e. as much as possible without their personal data being collected) or not.

The poll was commissioned by Pirate Party MEP Dr Patrick Breyer (Pirate Party), who participates in the Digital Services Act negotiations as rapporteur for the Committee on Civil Liberties, Justice and Home Affairs (LIBE). The research was financed by his group, the Greens/European Free Alliance. Commenting on the survey result, Breyer explains:

“The European Parliament must respond to the constant data scandals and data crime online to better protect our citizens. Only uncollected data is secure data! This was recently demonstrated by the leak of unnecessarily collected mobile phone numbers of 500 million Facebook users. A right to anonymity also protects vulnerable groups from discrimination online. Next week, the European Parliament needs to seize the opportunity to meet citizens’ demand for protecting their digital privacy better.”

Background:

The Digital Services Act (DSA) provides Europe with the chance to set global standards for digital rights.

In recent years, numerous data breaches have seen users’ personal data, such as home numbers and location data, being leaked to criminals. In 2021, for example, the private phone numbers of 533 million Meta/Facebook users were published on a hacker forum. Meta/Facebook had collected these numbers unnecessarily. The data facilitates crimes and exposes users to risks such as SIM swapping, phishing attacks and stalking.

Such data scandals could be avoided if user data were not collected unnecessarily. The LIBE Committee wants to introduce in the Digital Services Act the right to use and pay for digital services anonymously wherever reasonably possible. The current survey results now show broad support for this demand.

Overview page on the Digital Services Act

patrick-breyer.de/en/survey-on…

Following a complaint by six MEPs, including Patrick Breyer of the Pirate Party, the European Data Protection Supervisor (EDPS) has confirmed that the European Parliament‘s COVID test website violated data protection rules. The EDPS highlights that the use of Google Analytics and the payment provider Stripe (both US companies) violated the European Court of Justice’s (CJEU) “Schrems II” ruling on data transfers between the EU and the US. The ruling is one of the first decisions to implement “Schrems II” in practice and could be groundbreaking for many other cases currently being considered by regulators.

On behalf of six MEPs, the data protection organisation noyb filed a data protection complaint against the European Parliament in January 2021. The main issues raised are the deceptive cookies banners of an internal corona testing website, the vague and unclear data protection notice, and the illegal transfer of data to the US. The EDPS investigated the matter and issued a reprimand on the Parliament for violation of the “GDPR for EU institutions” (Regulation (EU) 2018/1725 applicable only to EU institutions).

Illegal data transfers to the U.S.

In the so-called “Schrems II” case, the CJEU stressed that the transfer of personal data from the EU to the US is subject to very strict conditions. Websites must refrain from transferring personal data to the US where an adequate level of protection for the personal data cannot be ensured. The EDPS confirmed that the website actually transferred data to the US without ensuring an adequate level of protection for the data and highlighted: “the Parliament provided no documentation, evidence or other information regarding the contractual, technical or organisational measures in place to ensure an essentially equivalent level of protection to the personal data transferred to the US in the context of the use of cookies on the website.”

Co-complainant and MEP Patrick Breyer (Pirate Party) comments:

“The Schrems II ruling was a great victory for the protection of our privacy and the confidentiality of our communications and internet use. Unfortunately, this case shows that our data is still being illegally transferred to the US in large numbers. With his decision, the EDPS makes it clear that this must end. There must be no more unnecessary disclosing of our personal data to the US without our consent, not even on the basis of the so-called standard contractual clauses, which do not protect us against the NSA mass surveillance schemes.”

No fine, but a reprimand and a compliance order

The EDPS issued a reprimand to the Parliament for the various breaches of the data protection regulation applicable to EU institutions. Unlike national data protection authorities under the GDPR, the EDPS can only impose a fine in certain circumstances, which were not met in this case. In addition, the EDPS gave the Parliament one month to update its data protection notice and resolve the remaining transparency issues.

patrick-breyer.de/en/edps-sanc…