Vecchie Informative Privacy e GDPR

Domanda ricorrente: le vecchie informative ex art. 13 D.Lgs. 196/2003, sono sempre valide per proseguire il trattamento dopo il 15 maggio?

Il Garante italiano specifica che i trattamenti in essere potranno essere proseguiti sulla base dei consensi degli interessati a suo tempo raccolti dagli operatori con la «vecchia» informativa; precisa anche che ciò vale solo se il consenso a suo tempo espresso abbia i requisiti che vengono richiesti dal nuovo Regolamento.

La nuova informativa ha vecchi e nuovi contenuti, come la base giuridica del trattamento, se i dati sono trasferiti in paesi extra-UE, il periodo di conservazione dei dati, il nominativo del DPO (qualora sia nominato).

Quindi, molto probabilmente, le vecchie informative non hanno i requisiti previsti dal GDPR e pertanto non saranno più valide dal 25 maggio prossimo.

Qwant – Privacy compliant Search Engine

Segnalo e ne propongo l’uso, a quei pochi che ancora tengono alla propria privacy, il motore di ricerca etico Qwant.

Ancora non ha la completezza della basedati raccolta da Google ma sta crescendo, giorno dopo giorno; questo sito è gia stato indicizzato.
Da quello che affermano, non vengono utilizzati cookies (verificato adesso) e non profilano gli utenti; inoltre ha base in Francia (soggetta al GDPR).

Colgo l’occasione, in questi giorni nei quali l’argomento diritti dei cittadini digitali è alla ribalta, per far notare che ben pochi hanno compreso quale sia il più devastante strumento che mina la nostra esistenza, attuale e futura: taluni lo chiamano effetto bolla di filtraggio, io lo definisco percezione surrogata della realtà, creata da coloro che profilano i nostri comportamenti e ci rappresentano una realtà alterata, forgiata su logiche speculative.

Pensate poi a quando tutti avranno l’assistente digitale, la casa smart, l’auto a guida autonoma, la realtà virtuale al supermercato; altri decideranno per noi cosa comprare, come vestire, cosa guardare, come giocare, dove cenare, ove andare …

A tal punto, il mondo distopico preconizzato dai vari 1984, Matrix, Divergent, Minority Report, Valerian, … sarà realizzato, addirittura superato. Il bello è che non serviranno neanche i Precog; sarà sufficiente realizzare un sistema di profilazione big-data omnicomprensivo, e potremo ingabbiare i potenziali delinquenti prima del fatto.

Ancora truffe informatiche

Ecco una altra notizia che conferma la necessità del nuovo GDPR (e l’applicazione delle misure di sicurezza).
Evidenzio una parte della notizia (tralasciando il linguaggio poco tecnico):

... a quanto sembra, le credenziali per entrare nel suo computer e poi nella sua posta elettronica, tra l'altro, non sono state "prese" attraverso un virus inviato via email, ma dopo essere riusciti ad "intrufolarsi" nella rete Wifi del suo negozio di autovetture ed aver inserito sul PC un trojan per manipolare il programma email e cambiare gli Iban ...

Trattasi di caso esemplare, riguardante un grave Data Breach, causato dalla mancanza dei corretti livelli di sicurezza (della rete wifi ma anche del PC compromesso).

Comunque, le banche debbono fare di più per garantire la sicurezza dei loro correntisti, e quindi dell’intero sistema bancario; talvolta occorrono solo volontà di fare e qualche risorsa.

GDPR e amministratore di sistema

Domanda ricorrente: con l’entrata in vigore del GDPR, la normativa relativa agli amministratori di sistema rimarrà valida, verrà disapplicata o diventerà inutile?

In primo luogo, il nuovo regolamento europeo 2016/679 non disapplica i provvedimenti e gli altri interventi regolatori emanati dalla nostra Autorità di Controllo (Garante Privacy), se compatibili e non in conflitto con le nuove regole.

In secondo luogo, la filosofia alla base del GDPR (es. valutazione del rischio e responsabilizzazione) intende attribuire l’onere di valutazione delle strategie di controllo e l’adozione delle misure di prevenzione in capo al Titolare del Trattamento.

Quale Titolare potra quindi decidere di considerare inutile il provvedimento sugli amministratori di sistema, che determina un sistema di controllo e prevenzione di attività illecite delle persone che hanno il maggior potere sugli assets I.T. aziendali?
A mio parere, il provvedimento, fintanto che non verrà riproposto o rivisto in ottica GDPR (nel quale la figura dell’IT-admin è la grande assente) rimane una misura necessaria.

Quali sono gli oneri relativi al provvedimento del Garante sugli IT-admin?

Gli obblighi attuali sono i seguenti:

  • il Titolare del Trattamento deve designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti, in base al profilo di autorizzazione assegnato;
  • il Titolare del Trattamento è tenuto a indicare in un documento interno gli estremi identificativi delle persone fisiche designate quali amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
    il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer);
  • il Titolare del Trattamento deve adottare idonei sistemi di registrazione degli accessi logici, compiuti dagli amministratori, ai sistemi di elaborazione ed alle operazioni compiute sugli archivi e files; tali dati (access-log e operation-log) devono essere registrati e conservati per almeno sei mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto;
  • qualora gli amministratori, nell’espletamento delle proprie mansioni, accedano ai dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti; in tal caso, è fatto onere al Titolare del Trattamento di rendere noto ai lavoratori dipendenti questo loro diritto;
  • l’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per verificare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite (questo aspetto viene sistematicamente dimenticato).

Ma i sistemi operativi server già producono i log delle operazioni, quindi siamo a posto?

Assolutamente NO; occorre dapprima valutare se il dettaglio dei log generato di default sia sufficiente a registrare tutte le operazioni compiute dagli amministratori sul server (quasi sempre non lo è); inoltre i file di log debbono essere raccolti in un sistema centralizzato, fuori dalla portata degli amministratori (lo potrebbero alterare), il quale deve garantire l’integrità ed inalterabilità dei log raccolti.

Anche in questo caso, se dovete realizzare (o migliorare) una architettura informatica compliant al provvedimento sugli amministratori di sistema, abbiamo competenza ed esperienze per assistervi nella sua definizione, controllo delle corrette funzionalità e verifica annuale dei log e del corretto funzionamento (sappiate che, talvolta, l’IT-admin è un pò birichino).

UPDATE: altra precisazione sull’argomento.