LAST NEWS
Spid: ok del Garante privacy a nuove modalità per il rilascio dell’identità digitaleConcorsi pubblici, Garante: i dati dei partecipanti devono essere blindatiReferti online – Le domande più frequentiDpcm, Conte: I sindaci possono chiudere le piazze. Didattica in presenzaNuovo Dpcm di ottobre: mascherine all’aperto, divieto di ballo e limiti alle festeFascicolo Sanitario ElettronicoRaccomandate non consegnate, multa di 5 milioni a Poste Italiane da AntitrustFacebook, l’Irlanda blocca il trasferimento dei dati verso gli Usa: i rischi per il social senza un nuovo Privacy ShieldLo smart working accelera l’evoluzione digitale, il caso di Eni: così il palazzo di vetro lavora da casaCOVID-19: come comportarsi con i lavoratori in rientro dall’esteroMinori in vacanza Garante privacy a media: evitare dannose esposizioniSicurezza sul lavoro e diritti al cinema: a Torino la prima edizione del Job Film DaysCoronavirus, le linee guida del Mit: dalla misurazione della febbre prima di salire sul scuolabus al distanziamentoIl rientro al lavoro dei soggetti fragiliGarante per la Privacy, Stanzione è il nuovo presidenteCoronavirus, al via allo Spallanzani la sperimentazione del vaccino italianoCOVID-19: gestione del rischio e sfera di competenza del datore di lavoroInfortuni sul lavoro, ferito un operaio ArcelorMittalIl Bonus vacanze arriva via app: richieste dal 1° luglio, ecco come ottenerloScuola: Privacy, pubblicazione voti online è invasiva Ammissione non sull’albo ma in piattaforme che evitino rischi

Sicurezza informatica, il «Gdpr» fatica a decollare: sanzioni in ritardo e poche segnalazioni

gdpr

Il Gdpr, General data protection regulation, è una pietra miliare nella sicurezza a livello informatico; una regolamentazione che il mondo riconosce come all’avanguardia e che fungerà da modello per le leggi in materia di protezione dei processi di trattamento dei dati in molte altre parti del mondo. Ma come sta andando la sua applicazione in Italia e in Europa? Il 29 maggio 2018, la data che segnava l’inizio della sua reale applicazione, è ormai passata da un pezzo e da allora le autorità sono state molto molto morbide nel comminare multe ed eseguire controlli. Un report di Dla Piper sugli incidenti informatici riportati e sulle multe comminate svela uno scenario ancora molto blando.

In Europa, fino a dicembre del 2018, sono state segnalate oltre 59mila infrazioni informatiche che hanno causato una perdita di dati, ma la distribuzione geografica lascia perplessi. Al primo posto per notifiche troviamo i Paesi Bassi con 15.400, al secondo posto la Germania con 12.600 e al terzo il Regno Unito con 10.600. Questi tre Paesi, da soli, rappresentano il 65% delle violazioni totali denunciate in Europa nel 2018. Il quarto posto, occupato dall’Irlanda, ne conta un terzo rispetto al Regno Unito. L’Italia, che sta a metà classifica, solo 610. È evidente che qualcosa non torna e abbiamo chiesto a chi lavora nel settore cosa ne pensa. «L’applicazione concreta del Gdpr, almeno in Italia, dopo un anno è molto a macchia di leopardo – dice Fabrizio Croce, Area director south Europe WatchGuard Technologies – molto più presente e applicata in aziende più strutturate ma sostanzialmente abbastanza ignorata nel nostro enorme tessuto delle Pmi e anche nella Pa». Più ottimista è Andrea Muzzi, Technical Manager F-Secure, che ha visto molta attenzione al tema, ma pone l’accento su aspetti tecnici e organizzativi gravi che rallentano la reale messa in opera delle misure di sicurezza. «Dalla nostra collaborazione con le aziende – dice Muzzi – vediamo come alcune stiano ancora lavorando su elementi di base e altre abbiano già iniziato lentamente gli audit di terze parti, i trasferimenti internazionali e un trattamento dei dati più complesso ed elaborato».

Una lentezza che può anche esser giustificata da una carenza dal punto di vista infrastrutturale interno. «Abbiamo ancora molte sfide – continua Muzzi – soprattutto a livello tecnico: molti sistemi, in particolare i sistemi legacy, non sono progettati per la privacy e non sono facilmente configurabili per minimizzare l’accesso ai dati. Questo richiederà forse una o due generazioni di sistemi prima di vedere un cambiamento».

Ma le aziende italiane potrebbero non avere tutto questo tempo a disposizione prima che il sistema di multe inizi a ingranare. Mentre nel 2018 sono state elevate solo 91multe per infrazioni al Gdpr, di cui solo una di grande entità (50 milioni di euro) comminata a Google dall’autorità francese, lo scenario per il 2019 sembra farsi molto più movimentato. In Italia, abbiamo visto già due multe: la prima per 16.000 euro comminata a un medico che ha usato i dati dei propri pazienti per fare propaganda politica e la seconda all’Associazione Rousseau, condannata a pagare 50.000 euro per la violazione al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679. E le cose non possono che farsi più “serie”.

Come scrive l’avvocato Giulio Coraggio, partner di Dla Piper, su Wired, quello che si è visto dal 25 maggio 2019 in poi è un deciso incremento del livello di dettaglio nelle richieste indirizzate dal Garante della Privacy alle aziende. Le liste di informazioni vengono definite “infinite” e soprattutto viene specificato che poi vengono davvero controllate con lo stato di fatto dell’azienda.

La stragrande maggioranza delle aziende, puntualizza sempre Coraggio, non è preparata a questo tipo di richieste e stupisce che siano soprattutto le più grandi a soffrire, perché le direttive di Gdpr sono gestite centralmente, da Dpo che spesso non parlano italiano e non conoscono in maniera approfondita le operazioni locali.

D’altro canto, è altrettanto comprensibile che le Pmi siano in difficoltà con richieste dall’elevato grado di dettaglio perché se si pensa che la Nasa non aveva un sistema di auditing affidabile nei suoi laboratori, possiamo immaginare cosa accada nelle aziende con pochi dipendenti.

se l’Europa sembra molto in gamba nel creare regolamenti e leggi all’avanguardia, sembra decisamente meno brava a seguirli. Una indagine interna dell’Autority europea per la privacy sull’affidabilità dei siti Internet di Parlamento europeo, Consiglio europeo e del Consiglio dell’Unione europea, Commissione europea, Corte di giustizia dell’Ue, Europol, Autorità bancaria europea (Eba), Consiglio europeo per la protezione dei dati (Edpb), della Conferenza internazionale del 2018 dei garanti della protezione dei dati e della privacy, e della Autorità garante della privacy ha evidenziato problemi in sette siti su dieci. Il garante europeo per la privacy, Giovanni Buttarelli, si dice fiducioso che tutte le falle trovate saranno risolte in tempo per la prossima ispezione.

La situazione in Italia
Da un punto di vista della privacy nei siti della Pubblica Amministrazione, la situazione è abbastanza desolante. Oltre alla testimonianza di Fabrizio Croce che abbiamo letto all’inizio dell’articolo, risulta eclatante il caso del ministero della Giustizia che sul proprio sito di vendite pubbliche rilascia in chiaro i nomi e i cognomi delle persone coinvolte nei pignoramenti. Questo, secondo la denuncia via Twitter dell’avvocato Enrico Ferraris, rende possibile accedere ai dati di migliaia di debitori con una semplice ricerca su Google. Ferraris rende anche noto che la prima segnalazione di questo problema è stata fatta al Ministero a febbraio, ma che ad oggi ancora non è cambiato nulla, neanche la deindicizzazione dei risultati dal motore di ricerca, che sarebbe stata un manovra relativamente semplice da portare a compimento.

https://www.ilsole24ore.com/art/sicurezza-informatica-gdpr-fatica-decollare-sanzioni-ritardo-e-poche-segnalazioni-ACCePvZ


Fonte: ilsole24ore.com

WIDGET-WPSACADEMY

WIDGET-SPOTTV

WPS Group è certificata ISO 9001:2015

Quality Management System
EA 35A & 37
ISO 9001 2015

Newsletter WPS

ico emailRimani aggiornato per non perdere novità e promozioni!

RICORDATI …

“Follia è fare sempre la stessa cosa aspettandosi risultati diversi”

Albert Einstein