Misure di sicurezza inadeguate: il Garante sanziona una Asl

 
Tratto da www.garanteprivacy.it – Newsletter del 23/10/2023
 

Sanzione del Garante privacy di 30.000 euro ad una Asl napoletana per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.

La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l’accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.

Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito.

Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.

Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl. Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.

24 Ottobre 2023

D. Lgs. n.24/2023: obbligo di istituire un canale interno di segnalazione di un illecito nell’ambito del contesto lavorativo (whistleblowing)

 

Argonavis può oggi supportare le aziende e gli enti, pubblici e privati, che devono adempiere agli obblighi del Decreto Legislativo Italiano di attuazione n.24 del 10 marzo 2023 relativi al whistleblowing. Il decreto è entrato in vigore il 30 marzo 2023 e le disposizioni ivi previste sono efficaci dal 15 luglio 2023. 

Solo per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249, l’obbligo di istituire un canale interno di segnalazione decorre dal 17 dicembre 2023.

La protezione dei segnalanti operanti nel settore privato, prevista dal D.lgs. n. 24/2023, impone l’obbligo di predisporre canali di segnalazione a carico di quegli enti del medesimo settore che soddisfano almeno una delle seguenti condizioni*:

  • hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato;
  • si occupano di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • adottano i modelli di organizzazione e gestione di cui al decreto legislativo 231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato. 

L’obbligo di predisporre i canali di segnalazione interna grava altresì sui seguenti soggetti del settore pubblico:

  • le amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165
  • le autorità amministrative indipendenti di garanzia, vigilanza o regolazione
  • gli enti pubblici economici, gli organismi di diritto pubblico di cui all’articolo 3, comma 1, lettera d), del decreto legislativo 18 aprile 2016, n. 50
  • i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, così come definite, rispettivamente, dall’articolo 2, comma 1, lettere m) e o), del decreto legislativo 19 agosto 2016, n. 175, anche se quotate.

Le violazioni possono essere comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che consistono in:

  • illeciti amministrativi, contabili, civili o penali; 
  • condotte illecite rilevanti ai sensi del decreto legislativo 231/2001, o violazioni dei modelli di organizzazione e gestione ivi previsti;
  • illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea o nazionali relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
  • atti od omissioni che ledono gli interessi finanziari dell’Unione; 
  • atti od omissioni riguardanti il mercato interno; 
  • atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione.

L’ANAC, l’Autorità Nazionale Anti Corruzione, in caso di inadempienza, può applicare sanzioni da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme a quella richiesta dalla legge, nonché quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.

La piattaforma per il whistleblowing proposta da Argonavis, sviluppata da un Partner, è conforme allo standard ISO 37002, alla Direttiva UE 2019/1937 e al Decreto Legislativo Italiano di attuazione n.24 del 10 marzo 2023; grazie a politiche di conservazione di dati aderenti al GDPR, consente ai segnalatori di condividere dati criptati restando nell’anonimato; gli indirizzi IP da cui parte la segnalazione, infatti, non vengono registrati.

L’interfaccia, accessibile via web, permette all’utente di inserire agevolmente la propria segnalazione, scritta o orale, e al ricevente di analizzare, categorizzare e gestire ogni caso con semplicità.

Con la piattaforma, vengono gestite entro i termini di legge sia la conferma della ricezione della segnalazione (entro 7 giorni dalla medesima) sia il riscontro alla segnalazione (entro 3 mesi dall’avviso del ricevimento). Le segnalazioni e i relativi follow up vengono archiviati per almeno 5 anni.

Per ulteriori informazioni: dircom@argonavis.it

*Fonte: sito ANAC, www.anticorruzione.it

 

 

 

20 Ottobre 2023

Conflitto in Israele: scoperte le prime campagne di truffe informatiche

 
 
 

Tratto da www.lineaedp.it – 18/10/2023

Autore: Redazione LineaEDP

Le campagne utilizzano phishing, enti di beneficenza fittizi e appelli dei rifugiati per derubare gli utenti

I criminali informatici stanno sfruttando il conflitto in Israele con Gaza per trarre vantaggi finanziari sfruttando la solidarietà degli utenti: lo annuncia oggi Bitdefender pubblicando i risultati delle truffe informatiche attualmente in corso e legate al conflitto in Israele che stanno utilizzando phishing, enti di beneficenza fittizi e appelli dei rifugiati per derubare, di fatto, gli utenti.

Bitdefender raccomanda la massima prudenza nell’aprire email con richieste di aiuto e nel visitare i siti di beneficenza, poiché i rischi legati a perdite finanziarie e attività fraudolente sono in questo momento molto elevati.

  • A partire dal 13 ottobre – (meno di una settimana dopo l’attacco di Hamas) – Bitdefender ha iniziato a osservare campagne di truffa via email per soccorrere la popolazione e aiutare i rifugiati.
  • ll 27% dello spam colpisce la Russia, seguita da Svezia (15%) e Romania (10%). Ma Bitdefender avverte che i criminali informatici potrebbero presto concentrarsi su altri Paesi.

Di seguito sono riportati alcuni esempi di come i criminali informatici stiano cercando di sfruttare il conflitto in Israele:

Conflitto in israele-truffe hacker

Mentre il conflitto in Israele prosegue, Bitdefender prevede che questo tipo di email fraudolente sarà recapitato con cadenza regolare nelle caselle di posta degli utenti di tutto il mondo e che i truffatori continueranno ad adattare le loro “storie” e le loro richieste di donazione in linea con le ultime notizie e gli aggiornamenti sul conflitto.

Per non farsi ingannare da queste truffe e proteggere le proprie finanze Bitdefender raccomanda di:

– Verificare con attenzione tutte le comunicazioni relative alla guerra, sia via email, telefono, sms o social media.

– Eseguire sempre delle ricerche sull’organizzazione prima di effettuare qualsiasi pagamento: le richieste di donazione in criptovalute, i bonifici bancari e le carte regalo sono un segnale di pericolo e vanno quindi sempre evitate.

– Non rispondere mai a email non richieste che potrebbero essere una truffa. In caso di risposta i truffatori avranno la conferma della validità dell’indirizzo email e continueranno a inviare ulteriori messaggi truffaldini.

19 Ottobre 2023

Videosorveglianza: rifiuti, il Garante sanziona un Comune e due società. Utenti non informati adeguatamente sui sistemi installati

 
Tratto da www.garanteprivacy.it – Newsletter del 11/09/2023
 
 

Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina che tutela i dati personali.

Per contrastare il fenomeno diffuso dell’abbandono dei rifiuti, il Comune aveva incaricato due ditte, sanzionate anch’esse dal Garante, dell’acquisto, installazione e manutenzione di telecamere fisse, e della raccolta e analisi dei filmati relativi alle violazioni. 

L’intervento dell’Autorità segue le segnalazioni di un cittadino che lamentava la ricezione di alcune multe per aver conferito i rifiuti indifferenziati in modo errato. Gli accertamenti della violazione sarebbero avvenuti più di un mese dopo la registrazione dei filmati, effettuata senza che i cittadini fossero stati adeguatamente informati della presenza delle telecamere e del trattamento dei dati. Il Comune infatti aveva apposto un cartello direttamente sul cassonetto, non facilmente visibile e per di più privo delle informazioni necessarie.

Il Municipio inoltre non aveva individuato i tempi di conservazione dei dati e non aveva nominato, prima dell’inizio del trattamento, le due aziende sopracitate quali responsabili del trattamento dati, come previsto dalla normativa privacy. Anche le società dunque operavano in modo illecito, ragion per cui entrambe sono state sanzionate anch’esse dal Garante, l’una per 10.000 euro, per non essere mai stata nominata responsabile del trattamento, e l’altra per 5.000 euro, per essere stata nominata responsabile in ritardo.

Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale e la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali. Anche in presenza di una condizione di liceità il titolare del trattamento, ha ribadito il Garante, è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di liceità, correttezza e trasparenza. In particolare, è necessario adottare misure appropriate per fornire all’interessato tutte le informazioni previste dal GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile.

Ai fini dell’applicazione delle sanzioni il Garante ha tenuto conto del fatto che il trattamento ha riguardato potenzialmente i dati dei residenti del Comune (circa 53.000 interessati) e dei soggetti non residenti (il cui numero non è quantificabile).

Di contro, l’Autorità ha considerato il comportamento non doloso del Municipio e delle aziende, nonché l’assenza di precedenti violazioni a loro carico.

12 Settembre 2023

Sito falso, il Garante Privacy ordina a Google la rimozione dell’indirizzo web. Creato da anonimi con il nominativo di un imprenditore e dati reperiti in rete

 
Tratto da www.garanteprivacy.it – Newsletter del 11/09/2023
 
 

Il Garante Privacy ha ordinato a Google la rimozione dai risultati di ricerca di un Url collegato a un sito web falso, il cui indirizzo era formato dal nome e cognome di un imprenditore italiano e al cui interno erano riportate affermazioni lesive della reputazione personale e professionale.

Il sito era stato creato da soggetti anonimi utilizzando i dati personali dell’interessato reperiti in rete, tra cui una foto e un indirizzo email la cui denominazione lasciava presupporre l’appartenenza ad un’organizzazione criminale. Il sito conteneva anche link a documenti pubblici relativi a supposte vicende giudiziarie.

Nel reclamo inviato all’Autorità, l’interessato, un imprenditore con attività anche all’estero, chiedeva la deindicizzazione del sito associato al suo nome e cognome e specificava di non aver mai riportato condanne, né di essere mai stato coinvolto in procedimenti giudiziari, vertenze, indagini legate a contesti di criminalità o malavita organizzata come invece riportato nel sito. L’imprenditore faceva inoltre presente di aver già ottenuto da Google, a seguito di una sentenza di un’autorità giudiziaria extraeuropea, la deindicizzazione dell’Url, che rimaneva tuttavia visibile in Europa.

Google, infatti, al quale l’interessato si era rivolto per ottenere una deindicizzazione globale, aveva dichiarato inammissibile il reclamo ritenendo che fosse basato sulla tutela della reputazione, dell’onore e dell’immagine e non sulla tutela dei dati personali, qualificabile quindi, forse, più come reato di diffamazione e non come violazione del diritto all’oblio.

Nel ritenere fondata la richiesta, il Garante Privacy ha accolto invece le ragioni del reclamante, che sosteneva l’uso improprio e a fini denigratori dei suoi dati personali all’interno del sito in questione, e ha precisato che il motore di ricerca non aveva considerato le plurime violazioni della disciplina privacy poste in essere dagli autori del sito, tra cui la mancanza di informativa e dei riferimenti dei titolari, che tutt’ora rendono impossibile esercitare i diritti di opposizione e di rettifica di cui all’art. 12 del Regolamento.

Il Garante ha ricordato infine che, nel valutare le richieste di deindicizzazione, occorre tenere conto, in particolare, oltre che del trascorrere del tempo, anche del criterio relativo all’esattezza del dato laddove si sottolinea l’esigenza di tenere in particolare conto di quelle informazioni che originino “un’impressione inesatta, inadeguata o fuorviante rispetto alla persona interessata”, come raccomandato dalle Linee Guida EDPB sul diritto all’oblio del 2014.

11 Settembre 2023

Blog & News

Categorie