Richieste, informazioni e preventivi

Con la ripresa lavorativa (e la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 101), molte organizzazioni mi stanno contattando per informazioni, richieste e preventivi in merito al GDPR.

Dato l’elevato carico di lavoro, non potrò rispondere a tutte le chiamate telefoniche; chiedo pertanto di inviare le richieste tramite una e-mail a webreq@stefanorossi.it, indicando i riferimenti per essere ricontattati appena mi sarà possibile.

GDPR ed il FireWall perimetrale

Mi vengo a trovare presso uno studio medico per motivi extra-professionali; vengono a sapere che mi occupo di dataprotection.

Intuisco che mi vorrebbero chiedere qualcosa, immagino si tratti di GDPR; la domanda infine salta fuori: ma noi dobbiamo avere un FireWall?

Lo studio medico “ha già fatto gli adeguamenti” con l’assistenza del consulente di una associazione di categoria.

Come spesso avviene quando si “fanno gli adeguamenti al GDPR” tramite fogli e checklist, ben pochi hanno idea di quello che stanno facendo ne del perché occorra farlo.

Come da copione, la formazione non viene fatta e vengono frettolosamente indicate le cose da fare, che non vengono motivate ne ben spiegate.

Con buona pace del concetto di accountability presente nel GDPR!


Un Titolare del Trattamento che abbia dati sanitari, deve mettere in atto tutte le misure di sicurezza che ritiene necessarie affinchè i dati personali conferitigli siano sicuri (art. 32 GDPR).

Il FireWall perimetrale costituisce una delle primarie misure di sicurezza della intera LAN di qualsiasi organizzazione; rimando alla apposita pagina per altri approfondimenti.

Inoltre, una ulteriore considerazione; tutte le LAN sono oggigiorno collegate ad Internet tramite una connessione ADSL o Fibra (definita fibra ma che in effetti è una VDSL) di un fornitore di connettività. Esso fornisce un apparato (router) in comodato d’uso, che diventa il Gateway di tutta la LAN, da e verso Internet.

Il router fornito dal provider viene telegestito da remoto (dai suoi tecnici), per aggiornamenti, configurazioni e diagnostiche; in pratica, soggetti terzi hanno accesso al dispositivo più importante della vostra LAN: il Gateway.

Non solo, ma dato che il router consente l’accesso per telegestione, e che talvolta si manifestano delle vulnerabilità che rendono possibile l’accesso a malintenzionati ai vari router dei providers, e di conseguenza a tutta la rete locale, capite bene che questo rischio non può essere sottovalutato, ne (a mio avviso) accettato.

Quindi, occorre che a valle del router del fornitore sia presente un valido e ben configurato FireWall, gestito dal Titolare del Trattamento, che impedisca ad eventuali terzi estranei, qualora riescano ad accedere al router, di operare anche nella rete locale.

Ovviamente la miglior misura consiste nel sostituire il router fornito in comodato con uno proprietario e gestito dal Titolare del Trattamento; il Border FireWall è comunque sempre necessario.

Invece l’argomento dei FireWall software (quelli installati sugli elaboratori) sarà oggetto di trattazione in un separato post.

GDPR e videosorveglianza

GDPR e videosorveglianza; cosa cambia?

Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).

Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.

Quali sono i cambiamenti più rilevanti?

Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (non i cartelli esposti al limite delle aree sorvegliate).

Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.

Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.

Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.

Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.

Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti;  a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.

Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).

Benvenuto, RGPD

Oggi, 25 maggio 2018, è una data storica.

Dalla mezzanotte ha effetto il nuovo Regolamento Generale sulla Protezione dei Dati Personali, il famoso GDPR … oops RGPD (il Garante Soro ha detto “se vogliamo usare gli acronimi, almeno usiamo quelli italiani”).

Non ci sono stati rinvii, come avevo anticipato, a più riprese, a tutti.

Il “Regolamento” rappresenta un traguardo importante per la tutela della dignità dei cittadini europei, nel contesto della rapida evoluzione tecnologica che pone il dato personale al centro del business delle grandi imprese Internet, ma non solo.

L’obiettivo che il Regolamento si pone è principalmente quello di incrementare le tutele ai diritti fondamentali dei cittadini europei, creando regole uniformi tra i Paesi membri. Si tratta di un cambio di passo fondamentale, che richiede necessariamente una nuova gestione proattiva della sicurezza dei dati (non più reattiva come in precedenza), permeando tutti processi aziendali che trattano dati personali; tra le righe del nuovo testo traspare l’auspicio del legislatore europeo affinché la tutela dei dati personali diventi un leitmotiv delle organizzazioni.

Il nuovo Regolamento:

  • impone alle organizzazioni una raccolta e un utilizzo più trasparente dei dati personali, allineato alla normativa fin dalla progettazione (Data Protection by Design-Default);
  • introduce regole più chiare in merito alla informativa da fornire ed al consenso da ottenere, stabilendo precisi limiti al trattamento automatico dei dati;
  • determina un flusso più consapevole e accorto sulla gestione e conservazione dei dati, regolando rigorosamente anche il trasferimento e l’interscambio con paesi extra-UE;
  • obbliga le organizzazioni ad implementare nuove architetture di trattamento sicure e ad effettuare maggiori e frequenti controlli nell’ottica di prevenire eventuali violazioni e data-breach.

Il Regolamento si applica a tutte le organizzazioni con sede in Europa, ma anche a quelle con sede legale fuori dall’UE che trattano dati di cittadini europei; questo nuovo concetto di “extra-territorialità” si basa su di un concetto chiaro: i dati personali dei soggetti europei non possono essere trattati con regole diverse in base alla localizzazione geografica delle organizzazioni che li trattano; in questo senso, il GDPR avrà forte rilevanza sulle grandi organizzazioni Internet che trattano dati di milioni di persone (come per esempio fanno Amazon, Google, FaceBook, Apple, Microsoft, eBay ed altri).

Ieri, all’incontro del Garante con i DPO … oops RPD, ho appreso che sono oltre 10.000 i miei “colleghi” italiani; a tutti loro auguro buon lavoro, sperando che avremo modo di incontrarci e fare rete, come ci è stato richiesto.

Ma sopratutto auguro buon lavoro a tutti i Titolari del Trattamento, ai loro Responsabili ed Incaricati, con l’auspicio che il nuovo Regolamento costituisca, per loro, non un peso aggiuntivo ma una risorsa ed una opportunità di crescita.

Da ultimo, un pensiero non può che andare alla Autorità Garante per la Protezione dei Dati Personali, che tanto ha fatto in questi 20 anni per la tutela dei dati dei cittadini italiani; da domani essa scomparirà, per lasciare il posto alla nuova Autorità di Controllo.

Workshop “GDPR – Il nuovo volto della privacy”

Stasera, a Torrita di Siena, il seminario di lavoro “Regolamento UE sulla protezione dei dati personali: il nuovo volto della privacy”, organizzato da due studi commerciali del luogo.

Avrò onore ed onere di essere il relatore; parlerò delle novità introdotte dal nuovo GDPR in riferimento al D.Lgs. 196/03, della “nuova” figura del D.P.O. e di quali sono gli adempimenti più importanti (che io ho definito V.I.G.A. – Very Important GDPR Articles).

Data la tarda ora, speriamo che non mi si addormenti la platea.

UPDATE: sala piena, ottimo pubblico e nessuno addormentato.
Ottimo risultato.

Locandina workshop privacy

Firewall

FireWall, il componente più determinante per la sicurezza I.T.C.

Il termine “firewall” in origine si riferiva a un muro destinato a confinare un incendio all’interno di un edificio; la definizione fu applicata, alla fine degli anni ’80 alla tecnologia di rete che consentiva di  “confinare” una rete locale collegata ad Internet, quando si evidenziarono problematiche afferenti alla sicurezza.

Un FireWall serve a regolare il traffico della rete locale proveniente da e diretto ad Internet; il suo scopo principale è quello di garantire sicurezza ai sistemi collocati dietro al suo perimetro.

Sulla base di regole impostate (policy o ACL) esso, agendo sui pacchetti IP, consente o nega la comunicazione tra le due parti che la richiedono (es. il client locale verso il server remoto); di norma vengono consentite solo le connessioni impostate dalle policy e negato tutto il resto (configurazione deny all).

Successivamente, con la diffusione di ulteriori tipologie di attacco, che veicolavano traffico illecito su connessioni consentite, furono sviluppati FireWall che valutano i pacchetti IP in transito e “capiscono” a quale protocollo o applicazione essi facciano capo; in tale modo è possibile bloccare (o consentire) un determinato tipo di traffico (es. il traffico generato dalle applicazioni p2p) indipendentemente dalle porte utilizzate e dalle regole statiche assentite.

I FireWalls di ultimissima generazione dispongono di ulteriori ed importantissime funzioni di sicurezza, quali Logging & Reporting, AntiMalware e IDS – Intrusion Detection System e/o IPS Intrusion Prevention System.

In ottica GDPR (art. 32 – sicurezza del trattamento) l’installazione e la gestione di un FireWall di terza generazione è assolutamente necessario; la sua installazione non esonera dalle altre misure di prevenzione e sicurezza, come talvolta erroneamente affermato.

Inoltre, per poter prevenire e notificare un eventuale Data Breach qualora eventualmente accada (art. 33 – notifica di una violazione di dati personali all’autorità di controllo) occorre che il FireWall disponga di funzioni IDS, meglio ancora se IPS (Prevention).

Da anni sviluppo e realizzo ApplianceIPsent – che consentono tutto quanto sopra a costi accessibili anche alle piccole realtà.