Misure di protezione CSIRT contro rischi di cyber derivanti dal conflitto tra Russia e Ucraina

Il tragico conflitto tra Russia e Ucraina è anche un conflitto che ha fatto aumentare i rischi cyber rispetto al quale il CSIRT ha dato indicazioni riassunte in questa infografica in stile legal design. Continua a leggere “Misure di protezione CSIRT contro rischi di cyber derivanti dal conflitto tra Russia e Ucraina”

Cybersecurity, ambiente e resilienza: il Decennio Digitale Europeo secondo il Consiglio UE

Il Consiglio dell’Unione europea (UE) ha recentemente pubblicato nuove conclusioni in materia di difesa e cybersecurity per il programma del Decennio Digitale Europeo, adottato dalla Commissione Europea e dall’Alto rappresentante per gli Affari Esteri nel Dicembre del 2020 su invito del Consiglio europeo. Continua a leggere “Cybersecurity, ambiente e resilienza: il Decennio Digitale Europeo secondo il Consiglio UE”

Una nuova strategia europea in materia di dati viene annunciata

La Commissione europea ha presentato il 19 febbraio un documento che svela la strategia europea per i dati. L’obiettivo è quello di rendere l’Europa un role model della data driven economy grazie all’adozione di un solido sistema normativo che si concentri sulla protezione dei dati, dei diritti fondamentali, e sulla sicurezza anche attraverso la creazione di un mercato unico in cui i dati personali e non siano sicuri e facilmente accessibili con il fine di stimolare la crescita economica e la creazione di valore, riducendo allo stesso tempo al minimo l’impatto ambientale dell’uomo.

Il documento strategico espone una serie di preoccupazioni, problemi ed ostacoli alla realizzazione della strategia europea per i dati tra i quali il dominio delle grandi imprese tecnologiche sul mercato che permette a quest’ultime di dettare in maniera unilaterale le regole e le condizioni per l’accesso e l’utilizzo ai dati. A tal proposito, la Commissione prevede l’adozione di regole volte ad assicurare la circolazione dei dati all’interno dell’Unione europea, il libero accesso e l’utilizzo degli stessi nel pieno rispetto delle regole e dei valori europei, in particolare in termini di protezione dei dati personali, dei consumatori e delle norme sulla concorrenza.

La strategia per i dati della Commissione prevede l’istituzione di un quadro di governance intersettoriale per l’accesso e l’utilizzo dei dati che disciplini come i dati possano essere utilizzati e in quali circostanze, facilitandone l’uso transfrontaliero e l’interoperabilità tra i settori. Inoltre, la Commissione si adopererà per garantire sempre di più il libero accesso ai dati del settore pubblico in considerazione del loro potenziale per le piccole e medie imprese, adottando tutte le misure legislative necessarie al fine di incentivare la condivisione orizzontale dei dati tra i diversi settori, in particolare affrontando le questioni relative ai diritti d’uso dei dati generati in comune (ad esempio i dati generati dalle tecnologie di IoT nell’ambito industriale) ed individuando alcuni casi nei quali l’accesso ai dati dovrà essere garantito obbligatoriamente.

La Russia sanziona Twitter e Facebook per la conservazione dei dati su server non locali

Twitter e Facebook sono state condannate a pagare una multa dell’ammontare di 4 milioni di rubli (l’equivalente di circa 59.000 euro) per aver rifiutato di localizzare i dati dei cittadini russi su server situati nello Stato. Tale procedimento ha preso il via lo scorso gennaio, quando l’autorità di vigilanza russa nel settore delle telecomunicazioni (“Roskomnadzor”) aveva avviato un procedimento amministrativo contro Facebook Inc. e Twitter Inc., contestando alle stesse di non aver fornito informazioni relative al rispetto dei requisiti per la localizzazione di database e server che contengono dati degli utenti russi, come previsto dall’art. 18 della legge russa sui dati personali.

L’obiettivo perseguito dall’Autorità è quello di impedire la delocalizzazione dei dati e, così facendo, imporre ai colossi della tecnologia, tra cui Facebook, Twitter e Google, di conservare i dati relativi ai cittadini russi su server localizzati in Russia, permettendo quindi al governo di monitorarli.

Secondo quanto riportato dai media, si tratta delle sanzioni più elevate comminate dal Cremlino a società informatiche occidentali in base alle leggi sull’uso di Internet dal 2012, anno nel quale la Russia ha approvato un corpus normativo che rafforzasse la presa del governo sull’attività online.

L’Autorità ha altresì chiarito che il protrarsi del rifiuto delle società a procedere con la localizzazione dei dati in Russia per l’anno in corso comporterebbe a carico delle stesse ulteriori sanzioni per un ammontare pari a 18 milioni di rubli (circa 242.000 euro) ciascuna.

Si tratta di una questione di particolare interesse, dato che il testa a testa Cremlino-social network potrebbe anche concludersi con il bando delle due società. Non sarebbe d’altronde la prima volta: è già successo a LinkedIn, nel 2016, in base alla legislazione sulla localizzazione dei dati e, più di recente, ad un service provider di posta elettronica criptata, in quanto, secondo l’autorità di vigilanza, tale strumento veniva impiegato nell’ambito del cyber crime, per attività di phishing.

Pubblicato il nuovo piano ispettivo del Garante per il primo semestre 2020

È stato reso disponibile sul sito del Garante il nuovo programma dell’attività ispettiva, curata in collaborazione con la Guardia di finanza (Nucleo speciale tutela privacy e frodi tecnologiche), relativo al periodo gennaio-giugno 2020. Da quanto emerge dalla deliberazione in oggetto, gli accertamenti condotti dall’Autorità (disposti nel numero di 80 in totale) copriranno uno spettro piuttosto particolareggiato di tipologie di trattamenti.

Sarà anzitutto valutata la compliance alla normativa privacy di quei soggetti operanti nel settore della sanità, con particolare attenzione ai trattamenti effettuati da enti pubblici coinvolti nell’ambito della “medicina di iniziativa” e dalle società multinazionali del settore farmaceutico e sanitario.

Sotto la lente di ingrandimento anche i trattamenti effettuati nel quadro dei servizi bancari online e da intermediari per la fatturazione elettronica, nonché di quelli rientranti nell’ambito di attività di food delivery, marketing, profilazione (relativamente agli interessati che aderiscono a carte di fidelizzazione) e banche dati reputazionali.

Altre ispezioni del Garante saranno indirizzate a verificare il rispetto delle norme privacy nell’uso di software per la gestione delle segnalazioni di condotte illecite (il cosiddetto “whistleblowing”), e alle attività effettuate dagli enti pubblici in merito al rilascio di certificati anagrafici e di stato civile tramite l’Anagrafe nazionale della popolazione residente.

Ancora, con riferimento a profili di interesse generale per categorie di interessati, si prevedono poi verifiche nell’ambito delle violazioni della sicurezza dei dati (i c.d. “data breach”).

Infine, ulteriori controlli saranno condotti in merito all’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali, sul rispetto delle previsioni inerenti la corretta informazione degli interessati, sui presupposti di liceità del trattamento, nonché in relazione alle condizioni per la prestazione del consenso – qualora il trattamento sia basato su tale presupposto – e sulla durata della conservazione dei dati.

Alla luce di quanto precede, risulta evidente pertanto che il programma delle attività di ispezione che avranno luogo nel semestre entrante, da una parte, si pone in linea di continuità con le verifiche effettuate negli anni precedenti dal Garante (i.e. i trattamenti inerenti l’ambito bancario, quelli effettuati dagli enti pubblici, le attività di marketing e profilazione, la fatturazione elettronica, il whistleblowing, il food delivery), dall’altra, invece, introduce profili di novità, evidenziando un maggiore interesse rispetto alle ipotesi di data breach, nonché con riferimento al settore farmaceutico e sanitario.