GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

 
 
Tratto da www.garanteprivacy.it – 30/06/2022
 

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.

Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti – verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea. Lo strumento della certificazione può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa.

Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti. Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida EDPB e nell’ISO 17065). Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell’ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Nella quarta parte vengono affrontati gli impegni vincolanti e applicabili da attuare.

Il GDPR impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.

Le linee guida propongono anche un allegato con esempi specifici per l’utilizzo di una certificazione come strumento per i trasferimenti.

1 Luglio 2022

Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie

 
Tratto da www.garanteprivacy.it – 23/06/2022
 

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

24 Giugno 2022

Follina: file di Office come cavallo di troia

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 02/06/2022
 
 

La nuova vulnerabilità CVE-2022-30190, nota come Follina, consente di sfruttare il Windows Support Diagnostic Tool attraverso i file di MS Office

 

 

I ricercatori hanno scoperto un’altra grave vulnerabilità nei prodotti Microsoft che potenzialmente permette agli hacker di eseguire un codice arbitrario. Il MITRE ha classificato questa vulnerabilità con il nome di CVE-2022-30190, mentre i ricercatori l’hanno chiamata in modo un po’ poetico Follina. La cosa più preoccupante è che non esiste ancora un fix per questo bug e ciò che è ancor più grave è che la vulnerabilità viene già sfruttata attivamente da molti criminali informatici. L’aggiornamento è in fase di sviluppo, ma nel frattempo consigliamo a tutti gli utenti e amministratori di Windows di utilizzare workaround temporanei.

Che cos’è CVE-2022-30190 e quali sono i prodotti interessati?

La vulnerabilità CVE-2022-30190 è contenuta nello strumento di diagnostica Microsoft Windows Support Diagnostic Tool (al quale ci riferiremo con la sua sigla MSDT), il che non sembra un grosso problema. Purtroppo, a causa dell’implementazione di questo strumento, la vulnerabilità può essere sfruttata tramite un file MS Office dannoso.

L’MSDT è un’applicazione utilizzata per raccogliere automaticamente informazioni diagnostiche e inviarle a Microsoft quando qualcosa non funziona su Windows. Lo strumento può essere richiamato da altre applicazioni (Microsoft Word è l’esempio più noto) attraverso un protocollo URL speciale di MSDT. Se la vulnerabilità viene sfruttata con successo, un utente malintenzionato può eseguire un codice arbitrario con i privilegi dell’applicazione che ha richiamato l’MSDT, ovvero, in questo caso, con i diritti dell’utente che ha aperto il file dannoso.

La vulnerabilità CVE-2022-30190 può essere sfruttata in tutti i sistemi operativi della famiglia Windows, sia desktop che server.

Come i cyber-criminali sfruttano CVE-2022-30190

Per capire come funziona un attacco, i ricercatori che hanno scoperto questa vulnerabilità offrono il seguente esempio.

I criminali creano un documento Office dannoso e fanno in modo che la vittima lo riceva. Il modo più comune per farlo è inviare un’e-mail con un allegato dannoso, condito con qualche classico stratagemma di social engineering per convincere il destinatario ad aprire il file in questione. Per esempio, un e-mail con un messaggio del tipo “controlla urgentemente il contratto, firma domani mattina” potrebbe funzionare.

Il file infetto contiene un link a un file HTML che contiene a sua volta un codice JavaScript capace di eseguire un codice dannoso nella riga di comando tramite l’MSDT. Se lo sfruttamento va a buon fine, gli hacker possono installare programmi, visualizzare, modificare o distruggere dati, nonché creare nuovi account, ovvero avere il via libera all’interno del sistema utilizzando i privilegi della vittima.

Come proteggersi

Come menzionato in precedenza, non esiste ancora una patch. Nel frattempo, Microsoft consiglia disabilitare il protocollo URL di MSDT. Per farlo, è necessario aprire il prompt dei comandi con diritti di amministratore ed eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Prima di farlo, vi raccomandiamo di eseguire un back up del registro eseguendo il seguente codice: reg export HKEY_CLASSES_ROOT\ms-msdt filename. In questo modo, potrete ripristinare velocemente il registro con il comando reg import filename non appena questo workaround non sarà più necessario.

Naturalmente, questa è solo una misura temporanea e la cosa migliore sarebbe installare, non appena disponibile, l’aggiornamento che corregga la vulnerabilità Follina.

I metodi descritti per sfruttare questa vulnerabilità prevedono l’uso di e-mail con allegati dannosi e metodi di social engineering. Pertanto, si consiglia di prestare ancora più attenzione del normale alle e-mail provenienti da mittenti sconosciuti, in particolare ai file Office allegati. Per le aziende, è opportuno sensibilizzare regolarmente i dipendenti circa i trucchi più importanti e comuni utilizzati dagli hacker.

Inoltre, tutti i dispositivi con accesso a Internet dovrebbero essere dotati di solide soluzioni di sicurezza. Tali soluzioni possono impedire l’esecuzione di codici dannosi sul computer dell’utente anche quando si sfrutta una vulnerabilità sconosciuta.

6 Giugno 2022

Data breach: Garante privacy sanziona Inail per 50mila euro

 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 30/05/2022
 
 
L’ente ha subito tre violazioni di dati sugli infortuni dei lavoratori
 
 

Tutti gli enti pubblici, in particolare quelli con rilevanti competenze istituzionali, devono adottare adeguate misure tecniche e organizzative per evitare violazioni dei dati personali. Lo ha ribadito il Garante per la privacy nel sanzionare l’Inail, che ha registrato tre incidenti informatici che hanno comportato l’accesso non autorizzato ai dati di alcuni lavoratori, in particolare quelli sulla salute e sugli infortuni subiti.

Dall’istruttoria del Garante è emerso che, almeno in tre diverse occasioni, lo “Sportello Virtuale Lavoratori” gestito dall’Ente avrebbe consentito ad alcuni utenti di consultare accidentalmente le pratiche di infortunio e malattia professionale di altri lavoratori. In un caso, peraltro, l’incidente si è verificato a seguito dell’esecuzione di una versione non aggiornata dello “Sportello Virtuale Lavoratori”, a causa di un errore umano.

Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal Gdpr, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.

Il Garante per la privacy, tenuto conto della piena collaborazione offerta dalla pubblica amministrazione nel corso dell’istruttoria e del numero esiguo di persone coinvolte nei data breach individuati, ha comminato all’Ente una sanzione di 50.000 euro.

31 Maggio 2022

Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 19/05/2022
 
 
Il Garante sanziona un’azienda per 50.000 euro
 
 
 

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

20 Maggio 2022

Blog & News

Categorie