Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti. Varato un Documento di indirizzo sulla conservazione dei metadati

Tratto da www.garanteprivacy.it – Newsletter del 06/02/2024

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

6 Febbraio 2024

Responsabile protezione dati, il Garante sanziona 4 Comuni. Al via una nuova serie di controlli su una vasta platea di enti locali

Tratto da www.garanteprivacy.it – Newsletter del 06/02/2024
 
Con l’adozione di quattro provvedimenti [doc. web n. 9979112, 9979128, 9979152, 9979171] sanzionatori nei confronti di enti locali, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO).

Ed è già al via una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del RPD.

Rilevata la violazione per la mancata comunicazione del RPD il Garante ha comminato a tre enti locali una sanzione di 2.000 euro ciascuno, mentre al quarto ha applicato una sanzione di 5.000 euro, maggiorata poiché l’inadempimento ha riguardato la nomina di due RPD.

In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento Ue, se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, è obbligato a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.

L’obbligo della comunicazione, previsto nel Regolamento Ue, mira a garantire la possibilità per l’Autorità di garanzia di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa.

Pubblicata una vulnerabilità nella libreria Glibc

 
 
Tratto da www.kaspersky.it/blog
Redazione:  Editorial Team – 06/02/2024
 

Il 30 gennaio, alcuni ricercatori di sicurezza hanno pubblicato informazioni su una vulnerabilità scoperta di recente nella libreria glibc (GNU C Library) che potrebbe potenzialmente consentire agli hacker di elevare i propri privilegi sui sistemi Linux fino al livello di root. La libreria consente di effettuare chiamate di sistema e utilizzare funzioni di base del sistema, tra cui syslog e vsyslog, che vengono utilizzate per scrivere messaggi nel registro dei messaggi di sistema. La vulnerabilità è stata identificata con il codice CVE-2023-6246 e ha ricevuto un punteggio di 8,4 sulla scala CVSS v3.1. Nonostante il livello di questa minaccia non sia critico (è solo alto) esiste un’alta probabilità che venga sfruttata in attacchi su larga scala: Ceglibc è la principale libreria di sistema utilizzata da quasi tutti i programmi Linux.

Quali sistemi possono essere colpiti da CVE-2023-6246?

I ricercatori di Qualys che hanno scoperto la vulnerabilità hanno testato una serie di installazioni di sistemi basati su Linux e hanno identificato diversi sistemi vulnerabili: Debian 12 e 13, Ubuntu 23.04 e 23.10 e Fedora Linux dalle versioni 37 a 39. Tuttavia, gli esperti aggiungono che probabilmente anche altre distribuzioni potrebbero essere affette da questa vulnerabilità.

CVE-2023-6246 è presente nella versione 2.36 e precedenti della libreria. Gli sviluppatori di glibc hanno corretto la vulnerabilità nella versione 2.39 il 31 gennaio, un giorno dopo la pubblicazione della notizia.

Che cos’è la vulnerabilità CVE-2023-6246 e da dove proviene?

La vulnerabilità CVE-2023-6246 è legata a un buffer overflow della memoria dinamica e appartiene alla classe LPE (Local Privilege Escalation). In poche parole, un hacker che ha già accesso come utente a un sistema può utilizzare le chiamate di funzione vulnerabili per scalare i propri privilegi fino al livello di super-utente.

Questa vulnerabilità è stata aggiunta per la prima volta alla libreria nella versione 2.37 nell’agosto 2022, nel tentativo di risolvere una vulnerabilità meno pericolosa, la CVE-2022-39046. In seguito, gli sviluppatori della libreria hanno apportato le stesse modifiche alla versione 2.36.

AppGuard: un agent che protegge il sistema operativo

 
 
 

AppGuard protegge il sistema operativo mediante l’applicazione di una policy a livello del kernel. E’ utile sia alle grandi sia alle piccole aziende.

La soluzione previene qualsiasi violazione bloccando l’esecuzione di processi inappropriati da parte delle applicazioni, pur consentendo di continuare a svolgere le normali azioni quotidiane.

Con AppGuard un agente si affianca all’antivirus dell’endpoint e controlla i programmi che vanno in esecuzione. Se l’eseguibile anzichè scrivere dati nell’area utente (user space) scrive nell’area di sistema (system space), e non è un componente di sistema, la soluzione lo blocca.

L’agent leggero di AppGuard (meno di 10MB) si posiziona a livello del kernel e blocca le azioni che ritenga non lecite come code injection o registry override a livello di processo.

Vengono così bloccati gli attacchi più avanzati, malware, ransomware, application exploitation, remote execution e altri attacchi sofisticati, arrestando i processi dannosi prima che prendano avvio.

Per ulteriori informazioni: dircom@argonavis.it

11 Gennaio 2024

Backup Cloud-to-Cloud

 
 
 

Con l’aumento dei malware, compresi gli attacchi ransomware e i data breach, è fondamentale per le aziende proteggere anche i dati in cloud.

Carbonite è una soluzione per il backup cloud-to-cloud e può essere utilizzata per mail, dati e file presenti in Microsoft 365, Google Workspace, Salesforce, Drop, Dropbox e prodotti correlati.

La soluzione è utile per recuperare subito mail, dati o file in cloud, persi o cancellati volontariamente o per errore.

Carbonite si collega alle varie applicazioni in cloud e fa il backup automatico giornaliero dei dati in cloud. I suoi Data Center si trovano in Europa, pertanto, i dati sono protetti dal GDPR (Regolamento n. 679/2016).

I backup sono senza limiti di storage e senza limiti di retention (spazio e tempo di conservazione illimitati).

Per ulteriori informazioni: dircom@argonavis.it

Blog & News

Categorie