- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
Sicurezza informatica, il «Gdpr» fatica a decollare: sanzioni in ritardo e poche segnalazioni
Il Gdpr, General data protection regulation, è una pietra miliare nella sicurezza a livello informatico; una regolamentazione che il mondo riconosce come all’avanguardia e che fungerà da modello per le leggi in materia di protezione dei processi di trattamento dei dati in molte altre parti del mondo. Ma come sta andando la sua applicazione in Italia e in Europa? Il 29 maggio 2018, la data che segnava l’inizio della sua reale applicazione, è ormai passata da un pezzo e da allora le autorità sono state molto molto morbide nel comminare multe ed eseguire controlli. Un report di Dla Piper sugli incidenti informatici riportati e sulle multe comminate svela uno scenario ancora molto blando.
In Europa, fino a dicembre del 2018, sono state segnalate oltre 59mila infrazioni informatiche che hanno causato una perdita di dati, ma la distribuzione geografica lascia perplessi. Al primo posto per notifiche troviamo i Paesi Bassi con 15.400, al secondo posto la Germania con 12.600 e al terzo il Regno Unito con 10.600. Questi tre Paesi, da soli, rappresentano il 65% delle violazioni totali denunciate in Europa nel 2018. Il quarto posto, occupato dall’Irlanda, ne conta un terzo rispetto al Regno Unito. L’Italia, che sta a metà classifica, solo 610. È evidente che qualcosa non torna e abbiamo chiesto a chi lavora nel settore cosa ne pensa. «L’applicazione concreta del Gdpr, almeno in Italia, dopo un anno è molto a macchia di leopardo – dice Fabrizio Croce, Area director south Europe WatchGuard Technologies – molto più presente e applicata in aziende più strutturate ma sostanzialmente abbastanza ignorata nel nostro enorme tessuto delle Pmi e anche nella Pa». Più ottimista è Andrea Muzzi, Technical Manager F-Secure, che ha visto molta attenzione al tema, ma pone l’accento su aspetti tecnici e organizzativi gravi che rallentano la reale messa in opera delle misure di sicurezza. «Dalla nostra collaborazione con le aziende – dice Muzzi – vediamo come alcune stiano ancora lavorando su elementi di base e altre abbiano già iniziato lentamente gli audit di terze parti, i trasferimenti internazionali e un trattamento dei dati più complesso ed elaborato».
Una lentezza che può anche esser giustificata da una carenza dal punto di vista infrastrutturale interno. «Abbiamo ancora molte sfide – continua Muzzi – soprattutto a livello tecnico: molti sistemi, in particolare i sistemi legacy, non sono progettati per la privacy e non sono facilmente configurabili per minimizzare l’accesso ai dati. Questo richiederà forse una o due generazioni di sistemi prima di vedere un cambiamento».
Ma le aziende italiane potrebbero non avere tutto questo tempo a disposizione prima che il sistema di multe inizi a ingranare. Mentre nel 2018 sono state elevate solo 91multe per infrazioni al Gdpr, di cui solo una di grande entità (50 milioni di euro) comminata a Google dall’autorità francese, lo scenario per il 2019 sembra farsi molto più movimentato. In Italia, abbiamo visto già due multe: la prima per 16.000 euro comminata a un medico che ha usato i dati dei propri pazienti per fare propaganda politica e la seconda all’Associazione Rousseau, condannata a pagare 50.000 euro per la violazione al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679. E le cose non possono che farsi più “serie”.
Come scrive l’avvocato Giulio Coraggio, partner di Dla Piper, su Wired, quello che si è visto dal 25 maggio 2019 in poi è un deciso incremento del livello di dettaglio nelle richieste indirizzate dal Garante della Privacy alle aziende. Le liste di informazioni vengono definite “infinite” e soprattutto viene specificato che poi vengono davvero controllate con lo stato di fatto dell’azienda.
La stragrande maggioranza delle aziende, puntualizza sempre Coraggio, non è preparata a questo tipo di richieste e stupisce che siano soprattutto le più grandi a soffrire, perché le direttive di Gdpr sono gestite centralmente, da Dpo che spesso non parlano italiano e non conoscono in maniera approfondita le operazioni locali.
D’altro canto, è altrettanto comprensibile che le Pmi siano in difficoltà con richieste dall’elevato grado di dettaglio perché se si pensa che la Nasa non aveva un sistema di auditing affidabile nei suoi laboratori, possiamo immaginare cosa accada nelle aziende con pochi dipendenti.
E se l’Europa sembra molto in gamba nel creare regolamenti e leggi all’avanguardia, sembra decisamente meno brava a seguirli. Una indagine interna dell’Autority europea per la privacy sull’affidabilità dei siti Internet di Parlamento europeo, Consiglio europeo e del Consiglio dell’Unione europea, Commissione europea, Corte di giustizia dell’Ue, Europol, Autorità bancaria europea (Eba), Consiglio europeo per la protezione dei dati (Edpb), della Conferenza internazionale del 2018 dei garanti della protezione dei dati e della privacy, e della Autorità garante della privacy ha evidenziato problemi in sette siti su dieci. Il garante europeo per la privacy, Giovanni Buttarelli, si dice fiducioso che tutte le falle trovate saranno risolte in tempo per la prossima ispezione.
La situazione in Italia
Da un punto di vista della privacy nei siti della Pubblica Amministrazione, la situazione è abbastanza desolante. Oltre alla testimonianza di Fabrizio Croce che abbiamo letto all’inizio dell’articolo, risulta eclatante il caso del ministero della Giustizia che sul proprio sito di vendite pubbliche rilascia in chiaro i nomi e i cognomi delle persone coinvolte nei pignoramenti. Questo, secondo la denuncia via Twitter dell’avvocato Enrico Ferraris, rende possibile accedere ai dati di migliaia di debitori con una semplice ricerca su Google. Ferraris rende anche noto che la prima segnalazione di questo problema è stata fatta al Ministero a febbraio, ma che ad oggi ancora non è cambiato nulla, neanche la deindicizzazione dei risultati dal motore di ricerca, che sarebbe stata un manovra relativamente semplice da portare a compimento.
https://www.ilsole24ore.com/art/sicurezza-informatica-gdpr-fatica-decollare-sanzioni-ritardo-e-poche-segnalazioni-ACCePvZ
Fonte: ilsole24ore.com