F.A.Q. Registro dei Trattamenti

Il Garante per la Protezione dei Dati Personali ha pubblicato, in una apposita pagina, le faq sul Registro dei Trattamenti; ne avevo parlato pochi giorni orsono.

Relativamente alle aziende private, i soggetti obbligati ad averlo ed aggiornarlo sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Sono quindi individuati alcune tipologie di titolari del trattamento che debbono provvedere alla tenuta del Registro dei Trattamenti:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Data Breach Morele.net; alcune considerazioni

Come saprete, l’autority per la protezione dei dati personali della Polonia ha sanzionato la società di e-commerce Morele.net, a seguito del data breach occorsole, della somma di 2.800.000 PLN (circa 650.000 euro).

Stando alle poche informazioni disponibili, il data breach è avvvenuto ad ottobre 2018, ed ha interessato oltre 2,2 milioni di acquirenti.

Tra i dati esfiltrati: nome utente, password (md5crypt hashed), nominativi, numeri telefonici, indirizzi e-mail, indirizzi di spedizione; alcuni clienti (circa 35.000) avevano informazioni addizionali quali informazioni di pagamento, numeri identificativi, livello di istruzione, provenienza e valorizzazione delle proprie finanze, spese sostenute e stato matrimoniale.

La società si è resa conto del data breach a novembre, quando alcuni clienti hanno avvisato di aver ricevuto richieste di ulteriori pagamenti per prodotti che hanno acquistato; erano state predisposte alcune false pagine ad-hoc per ricevere i pagamenti illeciti.

Il garante polacco ha identificato tre infrazioni primarie al Regolamento GDPR:

  • l’azienda non ha rispettato i dettami inerenti ai concetti integrità e confidenzialità;
  • non ha predisposto un sistema di monitoraggio per evidenziare le minacce ed accorgersi della violazione dei dati personali;
  • non ha saputo dimostrare lo specifico consenso relativo ai dati personali di ciascun trattamento.

Sembra che i cracker abbiano avuto accesso alle basi dati tramite il famoso (e purtroppo omnipresente) phpmyadmin.

Questa è la classica situazione nella quale versano moltissime aziende italiane; modalità reattiva, si spera nel meglio e si interviene a danno occorso.

Occorre adottare un nuovo paradigma; modalità proattiva; prevenire, invece che intervenire ex post.

Con security assessment, penetration test e valutazioni di rischio preventive (ad esempio, faccio sempre disabilitare/limitare phpmyadmin, comodo per gli admin ma troppo rischioso).

Da ultimo, e consentitemelo, non è possibile accorgersi di un data breach a distanza di un mese, quando i clienti avvisano che qualcosa non va; specialmente se hai una azienda di e-commerce con due milioni e mezzo di clienti.

P.S. si vocifera che il database frutto del databreach sia disponibile nel dark web; ovviamente non ho verificato.

TAR annulla incarico RPD Comune di Taranto

Il TAR della Regione Puglia ha annullato gli atti relativi all’incarico di DPO del Comune di Taranto.

Il procedimento, attivato da un altro soggetto partecipante alla gara, ha rilevato che la persona giuridica aggiudicataria dell’incarico ha indicato – come previsto dal Regolamento – un soggetto fisico verso il quale non risulterebbero “rapporti di appartenenza” verso la società destinataria dell’incarico.

Come al solito, spiace constatare che il valore di una attività estremamente specialistica e rilevante come quella del responsabile della protezione dei dati non sia molto compreso, specialmente negli enti pubblici.

L’ordinaria insicurezza della posta elettronica

Oggi rispondo ad una chiamata di cortesia di un cliente che ha ricevuto diverse e-mail contenenti variegate comunicazioni illegali, apparentemente provenienti dal mio indirizzo e-mail professionale.

Come da tempo cerco di spiegare, per i messaggi e-mail standard non esiste la certezza che chi ha inviato il messaggio sia chi dice di essere.

Il vetusto protocollo smtp consente di forgiare messaggi ad-hoc, apparentemente provenienti da uno specifico mittente ma inviato da malintenzionati per scopi illeciti; è anche possibile far apparire il messaggio come se sia stato inviato da noi stessi, tentando in tale modo di far credere che l’account sia stato compromesso (quando non addirittura il pc dell’utente, ne avevo gia scritto in altri post, ad esempio qui e qui).

Nell’attesa che chi decide il funzionamento dei protocolli (in questo caso smtp) decida di introdurre funzioni di autenticazione-certificazione del mittente, gli utenti possono adottare alcune accortezze per accorgersi dei messaggi falsi.

Tutti i messaggi che sono da me inviati vengono firmati digitalmente (la coccardina rossa che si evidenzia nel client di posta elettronica); in sua assenza, il messaggio non è autentico.

Per le comunicazioni importanti utilizzo esclusivamente la posta elettronica certificata (non che sia la panacea di tutti i mali, anzi); in alternativa propongo l’adozione di ProtonMail.

In memoria di Giovanni Buttarelli

Mi unisco al coro delle persone che ricordano Giovanni Buttarelli; lo avevo incontrato molti anni orsono presso la sede del Garante, a Roma.

Avevo avuto l’impressione di avrebbe avuto una brillante carriera; quello che ha fatto, in vita, ha superato ogni mia aspettativa.

Un uomo che ha contribuito in maniera importante alla tutela dei diritti di cittadini europei; il suo operato ha comunque lasciato un segno anche nel resto del mondo.

Firefox Monitor

Il browser Firefox, da sempre in prima linea per tutelare la privacy e la sicurezza dei propri utenti, ha reso disponibile una nuova funzione on-line: Firefox Monitor.

Si tratta di un servizio che consente di verificare se il proprio indirizzo di posta elettronica è stato oggetto di – pubblicamente dichiarati – data breaches.

Non è una novità, in quanto già da tempo altri servizi erano stati resi disponibili agli utenti, ad esempio haveibeenpwned; ritengo che coloro che sono particolarmente prudenti preferiranno adottare il servizio di Mozilla, che tra l’altro contiene una serie di consigli e servizi utili per mantenere in sicurezza i propri account.

Maxi multa a British Airways per violazione del GDPR

L’autorità di controllo inglese ICO ha comunicato l’intenzione di sanzionare British Airways per violazione del regolamento GDPR.

L’evento è relativo all’attacco cracker di settembre 2018, che ha determinato un data breach nel quale sono stati raccolti (intercettati illecitamente) dati personali di circa 500.000 utenti (nominativi, indirizzi, dati dei viaggi, carte di credito).

La sanzione, oltre 183 milioni di sterline, indica come l’autorità sia determinata a far ben comprendere – alle aziende inglesi ma non solo – che la tutela dei dati personali dei loro clienti sia un aspetto primario della mission aziendale.

Vediamo anche come il GDPR abbia cambiato notevolmente il peso delle sanzioni comminabili alle aziende; siamo ben oltre i 20 milioni di euro previsti come soglia, quindi la somma è stata calcolata sulla base del fatturato annuo globale della maggior compagnia aerea inglese.