Hotel e HotSpot WiFi

La sicurezza degli HotSpot WiFi di Hotel ed Alberghi è uno degli aspetti più trascurati nello scenario italiano.

Negli anni, siamo passati da un servizio a costo aggiuntivo ad un accessorio pressoché obbligatorio da fornire agli ospiti, a titolo gratuito; per questo, spesso non si ritiene utile investire in tale ambito, in quanto non porta utili tangibili.

Talvolta, nei nostri pernottamenti di lavoro in vari hotel, troviamo soluzioni che definire raffazzonate è eufemistico; in taluni casi, viene semplicemente consentito l’accesso alla stessa WLAN del router fornito dal provider internet, con tutta una serie di gravissimi rischi, incombenti sia a carico del gestore alberghiero che dei suoi clienti. In tale situazione, infatti, i dispositivi dei clienti non solo possono compromettere i devices dell’hotel ma anche quelli degli altri ospiti, in quanto possono comunicare tra di loro.

In relazione alla fornitura del servizio di connettività InterNet agli ospiti, sussistono varie normative e regolamenti, ivi compreso il Regolamento UE 679/2016; nella progettazione ed erogazione del servizio, occorre tener conto degli aspetti cogenti del GDPR e dei principi alla base della protezione dei dati personali, in particolare gli aspetti di minimizzazione, gestione del rischio, privacy by design – by default, misure di sicurezza e crittografia.

In relazione invece al famoso decreto Pisanu, pur essendo venuti meno gli obblighi di registrare i dati anagrafici e identificativi degli utenti e di monitorarne le sessioni InterNet, non mi sento di consigliare i proprietari di strutture alberghiere in tal senso, essendo sempre in capo ad essi la responsabilità di eventuali illeciti commessi da terzi nell’utilizzo delle proprie infrastrutture ITC.

Occorre quindi trovare “la quadratura del cerchio”; questa dovrà essere basata sulle specifiche caratteristiche della infrastruttura e delle esigenze della proprietà.


GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.

GDPR e videosorveglianza

GDPR e videosorveglianza; cosa cambia?

Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).

Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.

Quali sono i cambiamenti più rilevanti?

Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (che non sono i cartelli esposti al limite delle aree sorvegliate).

Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.

Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.

Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.

Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.

Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti;  a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.

Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).

Aggiornamento: l’Ente Italiano di Normazione ha pubblicato recentemente le Prassi di Riferimento (UNI/PdR 43.1:2018); al punto 22.6 Videosorveglianza Aziendale viene specificato che:

... prima di progettare il sistema di videosorveglianza, o sue modifiche, il titolare conduce una analisi dei rischi per i diritti e le libertà delle persone che operano nell'area di azione del sistema, considerate le finalità per cui esso vorrà essere utilizzato. L'analisi dei rischi individua le modalità corrette di disposizione, configurazione ed utilizzo del sistema, definisce i compiti e le responsabilità, le misure adeguate per proteggere le informazioni, gli adempimenti occorrenti (p.es., i cartelli di informativa, i profili di autorizzazione, la valutazione
preliminare d'impatto) formalizzando il tutto in un documento delle scelte conservato dal titolare ...

Firefox e Privacy by Design

Successivamente alla piena entrata in vigore del Regolamento, ricevo molte richieste sui cookies e le relative informative dei siti web.

Vorrei proporre, ai miei 4 occasionali visitatori, una nuova prospettiva dalla quale approcciare il problema.

Dapprima voglio ricordare come molti survey, effettuati da più parti, indicano come i visitatori dei siti web non si soffermano quasi mai a leggere l’informativa, neanche quella semplificata; è quindi errato il concetto alla base.

Propongo quindi di spostare il problema su di un diverso ambito; quello di privacy by design.

Coloro che visitano un sito web utilizzano un software definito web browser; si tratta quindi di un software che gli utenti possono liberamente configurare (anzi devono, se tengono alla propria privacy).

Purtroppo molti non conoscono bene le implicazioni conseguenti ad una errata o mancata configurazione; nello specifico vorrei focalizzare sulla gestione dei cookies di Firefox.

Prendiamo come browser di esempio Firefox in quanto molto conosciuto e da sempre paladino delle libertà in rete; nella sua configurazione di default, esso consente la creazione di tutti i cookies, anche di terze parti, e la conservazione sino alla loro scadenza (impostata dal codice del sito web che lo ha generato).

Questa non è una configurazione “privacy by design”; la configurazione privacy migliore sarebbe quella di non accettare nessun cookie.

Dato che spesso tale configurazione non consente il corretto funzionamento del sito (moltissimi siti utilizzano cookie tecnici per il loro funzionamento) la configurazione minimale e funzionante è quella che indico nella immagine soprastante: accetta solo cookie di prima parte e conservali sino alla chiusura del programma.

In questo modo, non verranno resi possibili cookies di terze parti, mentre quelli tecnici saranno rimossi alla chiusura del browser.

Proporrò ai creatori di Firefox di impostare, durante l’installazione del software, tali parametri come di default.

Molto più semplice e lineare che costringere milioni di siti ad arrampicarsi sugli specchi per rendere compliant i loro servizi, farciti di servizi di terze parti.

Ritengo che questo dovrà valere per ogni software, dispositivo o app che gli utenti possano installare.

Certo, occorrerà una nuova mentalità; spero che il GDPR, ma anche il prossimo Regolamento e-privacy, contribuiranno a tale mutamento.

GDPR compliance assessment

La nostra attività GDPR assessment consiste in una valutazione completa ed approfondita della vostra organizzazione, per valutarne il livello di compliance al Regolamento Europeo 679/2016 (GDPR o RGPD).

Le attività di analisi riguardano tutti gli ambiti ed i processi inerenti al trattamento di dati personali; vengono analizzati gli aspetti giuridici, legali, procedurali, organizzativi e tecnologici, sia inerenti sistemi informativi che trattamenti cartacei, nonchè la necessità di effettuare la DPIA – Data Protection Impact Assessment per i trattamenti soggetti.

Vengono sottoposti a valutazione di adeguatezza gli strumenti adottati per il trattamento dei dati personali ed il relativo livello di sicurezza, ivi compresa l’aderenza ai requisiti di trasparenza, minimizzazione, privacy by design – default e dei tempi di conservazione.

Sono anche valutati il livello di formazione degli incaricati ed il livello di accountability delle varie unità organizzative, nonchè il rispetto delle prerogative e dei diritti degli interessati.

Il nostro team ha le competenze necessarie a rendere ogni organizzazione, anche multinazionale, aderente ai dettami del Regolamento UE 679/2016 sulla protezione dei dati personali dei soggetti presenti nel territorio europeo.