GDPR ed il FireWall perimetrale

Mi vengo a trovare presso uno studio medico per motivi extra-professionali; vengono a sapere che mi occupo di dataprotection.

Intuisco che mi vorrebbero chiedere qualcosa, immagino si tratti di GDPR; la domanda infine salta fuori: ma noi dobbiamo avere un FireWall?

Lo studio medico “ha già fatto gli adeguamenti” con l’assistenza del consulente di una associazione di categoria.

Come spesso avviene quando si “fanno gli adeguamenti al GDPR” tramite fogli e checklist, ben pochi hanno idea di quello che stanno facendo ne del perché occorra farlo.

Come da copione, la formazione non viene fatta e vengono frettolosamente indicate le cose da fare, che non vengono motivate ne ben spiegate.

Con buona pace del concetto di accountability presente nel GDPR!

Un Titolare del Trattamento che abbia dati sanitari, deve mettere in atto tutte le misure di sicurezza che ritiene necessarie affinchè i dati personali conferitigli siano sicuri (art. 32 GDPR).

Il FireWall perimetrale costituisce una delle primarie misure di sicurezza della intera LAN di qualsiasi organizzazione; rimando alla apposita pagina per altri approfondimenti.

Inoltre, una ulteriore considerazione; tutte le LAN sono oggigiorno collegate ad Internet tramite una connessione ADSL o Fibra (definita fibra ma che in effetti è una VDSL) di un fornitore di connettività. Esso fornisce un apparato (router) in comodato d’uso, che diventa il Gateway di tutta la LAN, da e verso Internet.

Il router fornito dal provider viene telegestito da remoto (dai suoi tecnici), per aggiornamenti, configurazioni e diagnostiche; in pratica, soggetti terzi hanno accesso al dispositivo più importante della vostra LAN: il Gateway.

Non solo, ma dato che il router consente l’accesso per telegestione, e che talvolta si manifestano delle vulnerabilità che rendono possibile l’accesso a malintenzionati ai vari router dei providers, e di conseguenza a tutta la rete locale, capite bene che questo rischio non può essere sottovalutato, ne (a mio avviso) accettato.

Quindi, occorre che a valle del router del fornitore sia presente un valido e ben configurato FireWall, gestito dal Titolare del Trattamento, che impedisca ad eventuali terzi estranei, qualora riescano ad accedere al router, di operare anche nella rete locale.

Ovviamente la miglior misura consiste nel sostituire il router fornito in comodato con uno proprietario e gestito dal Titolare del Trattamento; il Border FireWall è comunque sempre necessario.

Invece l’argomento dei FireWall software (quelli installati sugli elaboratori) sarà oggetto di trattazione in un separato post.

GDPR – amministratori di sistema 2a parte

Debbo ritornare ancora sulla tematica GDPR ed amministratori di sistema; purtroppo il caos regna sovrano.

Ricevo (spesso) più o meno questa domanda: è obbligo per il D.P.O. designare individualmente i singoli amministratori di sistema?

Intanto, la domanda è fondata su di un grave errore; il D.P.O. non designa nessuno! A questa pagina i suoi compiti.

Alla seconda parte della domanda rispondo con un’altra domanda: è consentito a due o più soggetti di condividere le stesse credenziali?

GDPR – proroga 8 mesi adempimenti

Stamani mi hanno riferito la seguente notizia: “è stata prorogata di 8 mesi la deadline degli adempimenti al GDPR”.

Si tratta di una fake-news; come sempre avviene in Italia, si prende una non-notizia e la si fa diventare una notizia, tra l’altro plasmandola a proprio “uso e consumo”; vi spiego cosa è successo.

La commissione speciale alla Camera, nella sua proposta di parere al D.Lgs. di adeguamento della nostra normativa nazionale al GDPR, ha menzionato l’opportunità di sospendere le sanzioni, per un periodo transitorio di almeno 8 mesi.

Il parere della commissione speciale alla Camera non è vincolante.

Quindi, qualora venisse adottato il parere della commissione nel decreto, si parlerebbe di sospendere le sanzioni, e non di sospendere gli adeguamenti.

Ripeto, per coloro che amano “rimestare nel torbido”: il GDPR è in vigore, gli adempimenti debbono essere fatti, le sanzioni sono applicabili.

Affinché il Regolamento UE 679/2016 sia completamente a regime, manca solo il decreto di “armonizzazione” del Governo Italiano, previsto entro il 23 Agosto; questo non autorizza nessuno a credere (o meglio a far credere) che, oggi, le sanzioni del GDPR siano sospese, o ancora peggio che il Regolamento non sia in vigore.

GDPR e videosorveglianza

GDPR e videosorveglianza; cosa cambia?

Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).

Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.

Quali sono i cambiamenti più rilevanti?

Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (non i cartelli esposti al limite delle aree sorvegliate).

Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.

Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.

Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.

Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.

Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti;  a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.

Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).

Consiglio di Stato francese sui cookies

Una sentenza del Consiglio di Stato francese sui “témoins de connexion”, che certamente costituirà una base giurisprudenziale per il futuro.

La storia: il Garante Francese (CNIL) ha sanzionato una casa editrice in quanto il loro sito web utilizzava cookies di terze parti senza informare gli utenti (e quindi senza averne ottenuto il consenso); la società ha successivamente impugnato il provvedimento del CNIL davanti al Consiglio di Stato francese.

Nella sentenza, che rigetta il ricorso della casa editrice e conferma la sanzione del CNIL, il Consiglio di Stato specifica che:

  • i cookies tecnici possono essere “installati” senza consenso;
  • per i cookies di terze parti, anche se necessari per il sostentamento del servizio, occorre informare ed ottenere il consenso;
  • il browser non costituisce un valido strumento per ottenere il consenso all’utilizzo dei cookies, in quanto esso non consente una “scelta informata” ne la libera e “granulare” opposizione ad essi.

Inoltre, si stabilisce che il Titolare del Trattamento (il proprietario del sito) ha tutti gli obblighi che derivano dall’uso dei cookies, anche se sono servizi di terzi, ed addirittura esso ne deve garantire i tempi massimi di conservazione, fissati in 13 mesi.

Dalla sentenza si evince che (almeno in Francia) i siti web che utilizzano cookies di terze parti debbono informare preliminarmente l’utente (banner) ed ottenere il consenso “granulare” per ciascun cookie (o classe di cookies).

Il punto centrale della sentenza è quello relativo al fatto che il browser (tramite le relative impostazioni sui cookies) non può essere utilizzato come strumento per determinare il consenso dell’utente all’utilizzo dei cookie di terze parti.

Ritengo comunque che la sentenza “farà scuola” in tutta Europa.