OSSERVATORIO VECOMP
 

Come funziona il Green Pass?
Dal 1° luglio è valido su tutto il territorio dell'Unione Europea, Svizzera e Paesi SEE (Islanda, Liechtenstein, Norvegia). Grazie al Green Pass sarà più facile viaggiare e spostarsi da un Paese all'altro, nel completo rispetto della privacy e della sicurezza sanitaria dei cittadini. L'Italia aveva già adottato il certificato verde nazionale che, ora, estende la sua validità all'intero territorio comunitario.

Il certificato COVID dell'Unione Europea è una Certificazione in formato digitale che attesta che la persona è stata vaccinata contro il coronavirus, è risultata negativa al tampone o è guarita. É stato creato per facilitare "la libera circolazione sicura dei cittadini nell'UE durante la pandemia di Covid-19".
É accettato in tutti i Paesi membri e consente al cittadino di muoversi liberamente senza limitazioni. Ciascuno Stato, però, è libero di imporre nuove restrizioni (giustificandole alla Commissione Europea) qualora queste si rendano necessarie per la tutela della salute pubblica (ad es.: diffusione della variante Delta).
Ha validità di 9 mesi dalla data dell'ultima somministrazione e viene emesso 14 giorni dopo aver ricevuto il vaccino. In caso di tampone e guarigione ha validità di 180 giorni.
In Italia il certificato viene rilasciato dalla struttura sanitaria che ha somministrato il vaccino o che ha attestato la guarigione. Per ciò che riguarda il tampone, in caso di negatività il documento è fornito dalla struttura sanitaria pubblica/privata o dalla farmacia presso cui è stato effettuato il test. È disponibile in formato digitale o cartaceo - in italiano e inglese - sotto forma di QR-Code sulle app IO e Immuni.

Data: 1 luglio 2021
Link: https://www.dgc.gov.it/web/

Violazione di dati: 4 attacchi ogni giorno
È la media registrata nella relazione annuale del 2020 del Garante. Dal 1° gennaio al 31 dicembre 2020 sono pervenute complessivamente 1.387 notifiche di violazione dei dati personali.

Nella relazione il Garante aggiunge che le notifiche hanno riguardato nel 29% dei casi soggetti pubblici e nel 71% soggetti privati. Le segnalazioni di data breach sono la cartolina di tornasole del grado di effettività della applicazione delle norme sulla protezione dei dati e il rendiconto per il 2020 indica che c'è ancora molta strada da fare. L'analisi del fenomeno mette in evidenza che i problemi di tutela dei dati contro attacchi dolosi o condotte negligenti si manifestano trasversalmente in tutti i settori: Enti pubblici come l'Inps, molti enti locali; la sanità; scuole e università; il settore delle telecomunicazioni, energetico e bancario; operatori privati nel settore bancario e dei servizi.
 
A farla da padrone nelle statistiche sono gli attacchi informatici.
Scendendo nel tecnico, si tratta di attacchi chiamati Ddos, Distributed denial of service, i quali rendono non disponibili temporaneamente i servizi online interferendo con le infrastrutture di rete. Oppure può trattarsi della diffusione di malware di tipo ransomware, cioè la cifratura dei dati e la richiesta di riscatto in bitcoin, con impedimento di accesso ai dati all'interno dei sistemi server, delle postazioni di lavoro e dei database. Oppure, ancora, si è trattato di accessi non autorizzati o di diffusione accidentale di dati personali a causa di erronee configurazioni dei sistemi software di gestione della posta elettronica.


Data: 1 luglio 2021
Leggi la relazione annuale del Garante 

Data breach: al via la nuova procedura telematica
Dal 1° luglio la procedura telematica costituirà l’unica modalità mediante la quale il Garante accoglierà le notifiche delle violazioni dei dati personali.

La nuova procedura telematica adottata con il Provvedimento del Garante n. 209 del 27 maggio 2021 è disponibile all’indirizzo https://servizi.gpdp.it/e consentirà ai Titolari del trattamento di procedere alla notifica delle violazioni dei dati personali (data breach).

La persona fisica, che dovrà indicare se agisce in qualità di rappresentante legale del titolare del trattamento o in sua delega, effettua la notifica in nome e per conto del titolare del trattamento, tipicamente una persona giuridica. Per accedere al sistema e procedere ad effettuare la notifica sono necessarie le credenziali SPID - livello 2 o essere in possesso di una nuova carta di identità elettronica (c.d. CIE 3.0). In alternativa è possibile sottoscrivere la notifica mediante l’apposizione di una firma digitale.

La nuova procedura online presenta 2 importanti vantaggi operativi:

1. da un lato, consente alle imprese e al Garante di  disporre, di un unico canale comunicativo che assicura la tracciabilità delle segnalazioni
2. dall’altro consente ai Titolari del trattamento di allegare documenti integrativi di approfondimento di quanto dichiarato. Inoltre, il Garante ha previsto rispetto al precedente modello pdf editabile molti più campi liberi da compilare al fine di migliorare la comunicazione delle imprese e descrivere meglio il contesto e gli effetti delle violazioni di dati.

Data: 30 giugno 2021
Leggi l'approfondimento qui 
 

HYSTORIES

• Non condividere QR-Code con i propri dati se non necessario;
• Evitare sempre l’apertura automatica di una pagina dal QR-Code, visualizzare prima con attenzione l’indirizzo URL su quale si atterrerà;
• Accertarsi sempre che il QR- Code arrivi da una fonte accreditata, e, quando si tratta di codici stampati, come ad esempio su un menu, assicurarsi che siano gli originali e non siano stati incollati sopra dei doppioni;
• Se il proprio device non dispone di un lettore QR integrato, ricordarti sempre di scaricare app qualificate;
• Evitare di scansionare QR-Code dai canali social, o arrivati vi email se non attesi 
   

DOMANDE E RISPOSTE

Posso condividere sui social l’immagine del mio Green Pass?
No, è il Garante stesso che lancia l’allarme in un lungo Intervento pubblicato il 24 giugno. Il QR-Code contiene molte informazioni personali e sanitarie sensibili che possono essere decifrate, usate in modo illecito e/o manomesse.
 
Danno da diffusione mediatica: cos’è?
Si verifica quando i dati personali di una persona fisica sono resi oggetto di esposizione mediatica senza il consenso dell’interessato. Tale tipologia di danno deriva dal principio generale, espresso nel Codice della Privacy (Art. 15, D. Lgs. 196/2003), per cui, in caso di illegittimo trattamento dei dati personali, l’interessato ha diritto al risarcimento del danno.

L’Iban è un dato coperto da privacy?
Sì, il codice Iban è un dato personale, in quanto rivela chi è l’intestatario di un determinato conto corrente, qual è il suo numero identificativo, con quale istituto di credito è stato aperto e quale filiale o agenzia della banca gestisce il rapporto. Dall’Iban si ottengono le coordinate bancarie complete di qualsiasi conto corrente (e anche di molte carte di credito, ricaricabili o prepagate, ad essi associate, come la Postepay Evolution) e si risale ai nominativi dei titolari.

Se muoio, a chi vanno le foto nel mio cloud?
La questione è molto delicata: tratta di un account in cloud contenente foto e video. Potrebbe infatti succedere che in caso di morte del titolare, i parenti vogliano accedere all’archivio per conservare un ricordo più vivo del proprio caro ormai scomparso. Non è però così agevole entrare nell’altrui profilo quando sono ignote le credenziali d’accesso.
Il titolare dell’account potrebbe redigere un testamento digitale, individuando un incaricato alla gestione dei propri dati a cui comunicare la password di accesso ai servizi telematici. Ma se ciò non succede, è necessario ricorrere alla giustizia. Il gestore della piattaforma potrebbe rifiutarsi – così come spesso succede – a comunicare le credenziali di accesso ai servizi a soggetti diversi dal titolare, anche nel caso in cui questi sia deceduto. Il semplice certificato di morte non è sufficiente: per accedere al cloud di una persona morta è necessario motivare adeguatamente la richiesta.