HISTORIES
 

Attacco ransomware alla Regione Lazio: cosa è successo?
I servizi informatici della Regione Lazio sono stati bloccati per 4 giorni a causa di un attacco ransomware. Dal 30 luglio, non solo il sistema che gestisce la prenotazione dei vaccini, ma ogni servizio amministrativo collegato al CED della Regione è stato inaccessibile

La Regione conferma che tutti i dati della sanità, quelli finanziari e del bilancio sono rimasti in sicurezza. Sembra che i criminali non abbiano sottratto informazioni, il sistema contiene dati sensibili importanti: dati sanitari di 5,8 milioni di persone. Tuttavia, per attacchi di questa entità potrebbe volerci molto tempo per quantificare tutti i danni effettivi.
La falla è stata scoperta dalla Polizia postale analizzando la VPN di un dipendente in Smartworking, la rete virtuale utilizzata per accedere da remoto al sistema informatico della Regione. Esaminando i log di accesso si è scoperto che i criminali hanno utilizzato le credenziali di un impiegato per entrare nel sistema della Regione. Non solo: hanno poi usato un software chiamato «Emotet», una sorta di cavallo di Troia, per prendere il controllo ed eseguire operazioni più profonde. Infine, è stato inserito il ransomware, il programma che ha criptato i dati.
La lezione? Non basta spendere di più per essere cyber-sicuri; bisogna applicare misure e best practice di sicurezza, su tutta l’organizzazione, sistemi tecnici e risorse umane. Ma anche implementando le migliori misure il rischio intrusione non è mai nullo. Per questo è importante improntare un adeguato monitoraggio e limitare i danni.

Data: 2 agosto 2021
Fonte: Comunicato stampa del Garante


OSSERVATORIO VECOMP

Deliveroo Italy sanzionata per 2,5 mln di €
Utilizzo poco trasparente degli algoritmi e raccolta sproporzionata dei dati dei lavoratori. Il Garante ha concesso 60 giorni di tempo per correggere le violazioni e ulteriori 90 per completare gli interventi sugli algoritmi

Deliveroo Italy è stata multata per aver trattato in modo illecito i dati personali di circa 8.000 rider. Dagli accertamenti effettuati sono emersi altri gravi illeciti, tra cui la mancata trasparenza degli algoritmi utilizzati per la gestione dei rider, sia per l’assegnazione degli ordini sia per la prenotazione dei turni di lavoro.
Dalle verifiche è anche emerso che l’azienda effettua un minuzioso controllo sulla prestazione lavorativa dei rider attraverso la continua geolocalizzazione del loro dispositivo, che va ben oltre quanto necessario per assegnare. Tutto ciò in violazione dello Statuto dei lavoratori che, per l’utilizzo di dispositivi dai quali possa derivare anche il controllo a distanza del lavoratore, richiede, prima dell’installazione, la sussistenza di determinate esigenze (sicurezza del lavoro, tutela del patrimonio aziendale) e comunque la stipula di un accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro.

Data: 22 luglio 2021
Fonte: Ordinanza del Garante  - Registro dei provvedimenti n. 285 del 22 luglio 2021


Accesso agli uffici pubblici con Green Pass? Non è legittimo
Il Garante ha inviato alla Regione Siciliana a sospendere l’efficacia dell’Ordinanza che limita l’accesso agli uffici pubblici e agli edifici aperti al pubblico ad utenti in possesso del Green Pass
Secondo l’Ordinanza le persone sprovviste della certificazione verde possono usufruire dei servizi esclusivamente in via telematica, o comunque da remoto. Il Garante interviene contro questa limitazione: le misure di sanità pubblica che implichino il trattamento di dati personali - ricorda l’Autorità - ricadono nelle materie assoggettate alla riserva di legge statale e, pertanto, non possono essere introdotte con un’ordinanza regionale, ma solo attraverso una disposizione di rango primario, previo parere del Garante.

Data: 14 agosto 2021
Fonte: Comunicato stampa del Garante
 

Dentista sanzionato per 20 mila €    
Il dentista aveva richiesto informazioni sulle malattie infettive del paziente indipendentemente dal tipo di intervento da effettuare o dal piano di cura da intraprendere 

La sanzione ammonta a 20 mila euro per avere raccolto il dato sull'HIV e altre malattie infettive del paziente, senza avere iniziato le cure. È la decisione del Garante (Ordinanza n. 239 del 10 giugno 2021).
Nel caso specifico un odontoiatra ha raccolto su un questionario dati sulle malattie infettive, quali tubercolosi, epatite e Hiv (Aids) del futuro cliente. Secondo l'interessato, alla dichiarazione di positività all'infezione da Hiv, il medico avrebbe rifiutato le prestazioni. Dal momento che la prestazione medica non è stata attuata per volontà del medico, viene meno il presupposto giuridico fondante il trattamento dei dati relativi alla salute, in particolare, l’acquisizione dell’informazione relativa alla presenza dell’infezione da HIV. Emerge, quindi, che la raccolta di questo dato non ha avuto il fine concreto di valutare la migliore terapia per il paziente, offrendogli la prestazione richiesta, eventualmente anche con un rafforzamento delle protezioni dal rischio del contagio, quanto, piuttosto, quello di allontanare il paziente rifiutando le cure dallo stesso richieste.
 
Data: 10 giugno 2021
Fonte: Ordinanza del Garante

DOMANDE E RISPOSTE

Firma digitale: cos’è, come ottenerla e a cosa serve?
La firma digitale è un’evoluzione della firma elettronica perché si basa su tecniche crittografiche che sostituiscono sui documenti l’apposizione di timbri, sigilli, punzoni, contrassegni o qualsiasi altro tipo di marchio e che associano in modo indissolubile la firma a un documento informatico. A differenza delle altre firme elettroniche, quella digitale ha lo stesso valore di una firma autografa, il che consente al titolare di un’azienda o ad un professionista di siglare un documento informatico rendendolo perfettamente valido dal punto di vista legale. Tramite la firma digitale, infatti, si conferisce al documento autenticità, integrità e continuità, nel senso che il firmatario non potrà disconoscerlo. Per ottenerla basta rivolgersi ad uno dei 18 provider qualificati che in Italia la rilasciano. La firma digitale può essere utilizzata, ad esempio, per garantire la provenienza e l’integrità di una fattura elettronica: il titolare può sottoscrivere in questo modo tutto il flusso di fatture da inviare all’Agenzia delle Entrate. Trattandosi di un sistema di sicurezza elettronica che ha lo stesso valore della firma autografa, quella digitale può essere apposta su contratti, richieste di contributi, dichiarazioni, visure camerali, fatture e autocertificazioni rendendo tutti questi documenti perfettamente legali.

La telecamera che non registra immagini necessita di Informativa agli utenti?
Sì, l’attività di videosorveglianza, pure nell’ipotesi in cui sia svolta in assenza di registrazione, comporta la raccolta ed il trattamento dell’immagine di una persona, che ricade sotto la definizione di “dato personale”. Pertanto, chi intenda usufruire di sistemi di videosorveglianza, ricade l’onere di rispettare le norme, prescritte dal codice sulla privacy, sull’informativa agli utenti.

Certificazioni privacy, a che punto siamo?
Nel Considerando n. 100 del GDPR vi è scritto che “al fine di migliorare la trasparenza e il rispetto del Regolamento, dovrebbe essere incoraggiata l'istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di tutela delle informazioni personali garantito dai relativi prodotti e servizi”. Ad oggi non sono stati accreditati schemi di certificazione ai sensi del GDPR, ma esistono comunque dei modelli in materia di data protection. I principali sono l'UNI/PdR 43:2018, l'ISDP 10003:2020, l'ISO/IEC 27701:2019, e il BS 10012/2017. I primi due consentono di certificare un processo, un servizio o un prodotto, il terzo, diversamente, agisce sui controlli. L’ultimo si pone come obiettivo quello di fornire gli elementi per l’implementazione di un sistema di gestione della privacy. Selezionato lo schema bisogna poi effettuare una gap analisi per individuare gli elementi che mancano ai fini della certificazione. Da ultimo, è necessario sottoporsi all’audit dell’organismo di certificazione (audit di terza parte). Aderire a uno schema di certificazione – ancorché non accreditato ai sensi degli artt. 42 e 43 GDPR – ha comunque una sua forte validità in chiave di accountability.
 
Cookie di profilazione: serve in consenso dell’interessato?
Il legittimo interesse non c'entra niente con i cookie di profilazione. Ci vuole il consenso dell'interessato per mettere sui dispositivi di chi si collega a un sito web i cookie che tracciano il profilo delle persone; e non basta invocare il diverso presupposto del legittimo interesse. Finalmente è arrivata la parola definitiva del Garante, che, nelle Linee guida cookie e altri strumenti di tracciamento (provvedimento 10 giugno 2021 n. 231), ha chiarito che i banner sui cookie di profilazione non possono contenere un riferimento alla base giuridica del legittimo interesse, tralasciando il consenso.
 
Il termine incaricato si usa ancora?
A differenza che nel Codice Privacy, il GDPR non utilizza espressamente il termine «incaricato», ma fa confluire in «terzo» chiunque sia sotto l’autorità diretta del Titolare o del Responsabile (art. 10, n. 10).