- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
- Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
- Lavoro, Calderone: in prossimo Cdm provvedimento organico in materia di salute e sicurezza
Sicurezza informatica, il «Gdpr» fatica a decollare: sanzioni in ritardo e poche segnalazioni
Il Gdpr, General data protection regulation, è una pietra miliare nella sicurezza a livello informatico; una regolamentazione che il mondo riconosce come all’avanguardia e che fungerà da modello per le leggi in materia di protezione dei processi di trattamento dei dati in molte altre parti del mondo. Ma come sta andando la sua applicazione in Italia e in Europa? Il 29 maggio 2018, la data che segnava l’inizio della sua reale applicazione, è ormai passata da un pezzo e da allora le autorità sono state molto molto morbide nel comminare multe ed eseguire controlli. Un report di Dla Piper sugli incidenti informatici riportati e sulle multe comminate svela uno scenario ancora molto blando.
In Europa, fino a dicembre del 2018, sono state segnalate oltre 59mila infrazioni informatiche che hanno causato una perdita di dati, ma la distribuzione geografica lascia perplessi. Al primo posto per notifiche troviamo i Paesi Bassi con 15.400, al secondo posto la Germania con 12.600 e al terzo il Regno Unito con 10.600. Questi tre Paesi, da soli, rappresentano il 65% delle violazioni totali denunciate in Europa nel 2018. Il quarto posto, occupato dall’Irlanda, ne conta un terzo rispetto al Regno Unito. L’Italia, che sta a metà classifica, solo 610. È evidente che qualcosa non torna e abbiamo chiesto a chi lavora nel settore cosa ne pensa. «L’applicazione concreta del Gdpr, almeno in Italia, dopo un anno è molto a macchia di leopardo – dice Fabrizio Croce, Area director south Europe WatchGuard Technologies – molto più presente e applicata in aziende più strutturate ma sostanzialmente abbastanza ignorata nel nostro enorme tessuto delle Pmi e anche nella Pa». Più ottimista è Andrea Muzzi, Technical Manager F-Secure, che ha visto molta attenzione al tema, ma pone l’accento su aspetti tecnici e organizzativi gravi che rallentano la reale messa in opera delle misure di sicurezza. «Dalla nostra collaborazione con le aziende – dice Muzzi – vediamo come alcune stiano ancora lavorando su elementi di base e altre abbiano già iniziato lentamente gli audit di terze parti, i trasferimenti internazionali e un trattamento dei dati più complesso ed elaborato».
Una lentezza che può anche esser giustificata da una carenza dal punto di vista infrastrutturale interno. «Abbiamo ancora molte sfide – continua Muzzi – soprattutto a livello tecnico: molti sistemi, in particolare i sistemi legacy, non sono progettati per la privacy e non sono facilmente configurabili per minimizzare l’accesso ai dati. Questo richiederà forse una o due generazioni di sistemi prima di vedere un cambiamento».
Ma le aziende italiane potrebbero non avere tutto questo tempo a disposizione prima che il sistema di multe inizi a ingranare. Mentre nel 2018 sono state elevate solo 91multe per infrazioni al Gdpr, di cui solo una di grande entità (50 milioni di euro) comminata a Google dall’autorità francese, lo scenario per il 2019 sembra farsi molto più movimentato. In Italia, abbiamo visto già due multe: la prima per 16.000 euro comminata a un medico che ha usato i dati dei propri pazienti per fare propaganda politica e la seconda all’Associazione Rousseau, condannata a pagare 50.000 euro per la violazione al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679. E le cose non possono che farsi più “serie”.
Come scrive l’avvocato Giulio Coraggio, partner di Dla Piper, su Wired, quello che si è visto dal 25 maggio 2019 in poi è un deciso incremento del livello di dettaglio nelle richieste indirizzate dal Garante della Privacy alle aziende. Le liste di informazioni vengono definite “infinite” e soprattutto viene specificato che poi vengono davvero controllate con lo stato di fatto dell’azienda.
La stragrande maggioranza delle aziende, puntualizza sempre Coraggio, non è preparata a questo tipo di richieste e stupisce che siano soprattutto le più grandi a soffrire, perché le direttive di Gdpr sono gestite centralmente, da Dpo che spesso non parlano italiano e non conoscono in maniera approfondita le operazioni locali.
D’altro canto, è altrettanto comprensibile che le Pmi siano in difficoltà con richieste dall’elevato grado di dettaglio perché se si pensa che la Nasa non aveva un sistema di auditing affidabile nei suoi laboratori, possiamo immaginare cosa accada nelle aziende con pochi dipendenti.
E se l’Europa sembra molto in gamba nel creare regolamenti e leggi all’avanguardia, sembra decisamente meno brava a seguirli. Una indagine interna dell’Autority europea per la privacy sull’affidabilità dei siti Internet di Parlamento europeo, Consiglio europeo e del Consiglio dell’Unione europea, Commissione europea, Corte di giustizia dell’Ue, Europol, Autorità bancaria europea (Eba), Consiglio europeo per la protezione dei dati (Edpb), della Conferenza internazionale del 2018 dei garanti della protezione dei dati e della privacy, e della Autorità garante della privacy ha evidenziato problemi in sette siti su dieci. Il garante europeo per la privacy, Giovanni Buttarelli, si dice fiducioso che tutte le falle trovate saranno risolte in tempo per la prossima ispezione.
La situazione in Italia
Da un punto di vista della privacy nei siti della Pubblica Amministrazione, la situazione è abbastanza desolante. Oltre alla testimonianza di Fabrizio Croce che abbiamo letto all’inizio dell’articolo, risulta eclatante il caso del ministero della Giustizia che sul proprio sito di vendite pubbliche rilascia in chiaro i nomi e i cognomi delle persone coinvolte nei pignoramenti. Questo, secondo la denuncia via Twitter dell’avvocato Enrico Ferraris, rende possibile accedere ai dati di migliaia di debitori con una semplice ricerca su Google. Ferraris rende anche noto che la prima segnalazione di questo problema è stata fatta al Ministero a febbraio, ma che ad oggi ancora non è cambiato nulla, neanche la deindicizzazione dei risultati dal motore di ricerca, che sarebbe stata un manovra relativamente semplice da portare a compimento.
https://www.ilsole24ore.com/art/sicurezza-informatica-gdpr-fatica-decollare-sanzioni-ritardo-e-poche-segnalazioni-ACCePvZ
Fonte: ilsole24ore.com
