3408184807 giulio.fontana@itconsbs.it

Cybercrime e phishing, quanto conta il fattore umano?

Una delle principali cause di violazioni e incidenti è infatti la vulnerabilità dell’utente finale correlata alla sua debolezza nel riconoscere e fronteggiare una possibile trappola informatica, diventando spesso esso stesso vittima e complice inconsapevole dei criminal hacker. Cybercrime e phishing, quanto conta il fattore...

Via libera del Garante all’app “Immuni”

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9356588 “Il Garante per la protezione dei dati personali ha autorizzato il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 (app “Immuni”). Sulla base della valutazione d’impatto trasmessa dal Ministero, il trattamento di dati personali effettuato nell’ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento. Tenuto conto della complessità del sistema di allerta e del numero dei soggetti potenzialmente coinvolti, il Garante ha comunque ritenuto di dare una serie di misure volte a rafforzare la sicurezza dei dati delle persone che scaricheranno la app. Tali misure potranno essere adottate nell’ambito della sperimentazione del Sistema, così da garantire che nella fase di attuazione ogni residua criticità sia risolta. In particolare, l’Autorità ha chiesto che gli utenti siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio. E dovranno essere portati a conoscenza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio. Gli utenti dovranno avere inoltre la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale. Segue…...

Le Linee Guida dell’EDPB (European Data Protection Board) n. 5-2020 sul consenso, adottate lo scorso 4 maggio.

Il Comitato europeo ha ritenuto necessario fornire dei chiarimenti su due argomenti specifici: la validità del consenso prestato dall’interessato nell’interazione con i ‘cookie walls’, ovvero quei cookie che permettono l’accesso e/o la fruizione di una pagina web a condizione che i visitatori prestino uno specifico consenso per le diverse tipologie di cookie;la possibilità di associare al c.d. ‘scrolling’ (scorrimento) delle pagine di un sito web il consenso dell’utente/interessato. https://www.garanteprivacy.it/regolamentoue/consenso La parziale modifica dell’esempio n. 16 riportato nelle Linee Guida del Gruppo di lavoro articolo 29, rev. 01 del 2018, “azioni come scorrere o sfogliare una pagina web o come altra attività analoga dell’utente, non potranno in qualsivoglia modo soddisfare il requisito della azione chiara e positiva: dette azioni si distinguono ben difficilmente da altre attività o interazioni dell’utente e perciò con esse non sarà possibile stabilire che sia stato ottenuto un consenso privo di ambiguità. Per di più, in un caso come questo, sarebbe difficile offrire all’utente la possibilità di revocare il consenso in un modo che fosse altrettanto semplice come averlo...

Appropriazione indebita per il dipendente che si impossessa dei file con i dati dell’azienda

Scatta l’appropriazione indebita per il dipendente che sottrae dal computer aziendale i files contenenti dati informatici, provvedendo alla successiva cancellazione e alla restituzione del Pc formattato. La Corte di cassazione, con la sentenza 11959, respinge il ricorso contro la condanna per il reato, previsto dall’articolo 646 del Codice penale, a carico dell’imputato. Il ricorrente, dipendente di una società, aveva dato le sue dimissioni ed era stato assunto da una compagine, costituita di recente, che operava nello stesso settore del precedente datore di lavoro. Prima del congedo l’imputato aveva restituito il notebook aziendale, che gli era stato affidato nel corso del rapporto di lavoro, con l’hard disk formattato, senza traccia dei dati informatici che erano presenti in origine, che venivano poi ritrovati su compiute da lui utilizzati. La difesa contestava il verdetto perché la Corte d’Appello aveva considerato, sbagliando, i dati informatici suscettibili di appropriazione indebita , mentre questi non potevano essere qualificati come cose mobili. La Cassazione, pur consapevole di orientamenti differenti, non è d’accordo con la lettura della difesa. La Suprema corte valorizza, infatti, la capacità dei file di essere trasferiti da un supporto informatico ad un altro, mantenendo le proprie caratteristiche strutturali , così come la possibilità che lo stesso dato viaggi attraverso la rete di internet per essere inviato da un sistema dispositivo ad un altro sistema , a distanze rilevanti. In più il file può essere custodito in ambienti virtuali, corrispondenti ai luoghi fisici in cui gli elaboratori conservano e trattano i dati informatici. Caratteristiche che confermano, precisano i giudici, il presupposto logico della possibilità di sottrarre o appropriarsi dei dati informatici. Per questo, anche...

LAVORO & COVID-19

L’emergenza Covid-19 ha evidenziato la mancanza di preparazione e organizzazione, errori negli investimenti riferiti soprattutto all’ambito sanitario, carenze legislative, politiche, economiche, tecnologiche in ambito mondiale, comunitario e nazionale. Si è rilevata, almeno inizialmente, molta “leggerezza” da parte delle Istituzioni e dei cittadini che hanno consentito, con scelte spesso irresponsabili, un contagio veloce e con conseguenze drammatiche per le categorie più esposte di lavoratori, soprattutto in ambito sanitario e assistenziale. Emerge anche la necessità, per la tutela della salute pubblica, di intervenire in merito al trattamento dati personali anche in ambito lavorativo. Si rende infatti necessario, al fine di poter pianificare la cosiddetta “fase 2”, raccogliere informazioni riconducibili all’art. 9 del G.D.P.R. ed espressamente riferiti alla categoria di dati “sensibili” inerenti lo stato di salute dei dipendenti, dei loro familiari e di tutti i soggetti terzi coinvolti, dati indispensabili all’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti” di un lavoratore risultato positivo al COVID-19. Diventa quindi fondamentale fare riferimento a due recenti interventi normativi: il D.L. n. 14 del 9 marzo 2020 “Disposizioni sul trattamento dei dati personali nel contesto emergenziale”,e il documento europeo “edpb_statement_2020_processingpersonaldataandcovid-19”. Il decreto, “per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dell’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del Covid-19 […]”, consente il trattamento di tutti i dati di cui all’art. 9 del G.D.P.R. sopra già citato. Contestualmente inibisce il trattamento a tutti i soggetti diversi da quelli che operano nell’ambito Sanitario pubblico e privato, nel Servizio nazionale di protezione civile, nei “soggetti attuatori” del servizio stesso, negli Uffici del Ministero della salute...