Linee guida in materia di conservazione delle password

Tratto da www.garanteprivacy.it – Newsletter del 01/03/2024

Le password giocano un ruolo determinante nel proteggere la vita delle persone nel mondo digitale. Ed è proprio con l’obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, che nel dicembre 2023 l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

Tali attacchi informatici sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).

L’obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

Videosorveglianza: le nuove FAQ del Garante Privacy. Le regole per installare telecamere

Tratto da www.garanteprivacy.it

Il datore di lavoro può installare un sistema di videosorveglianza nelle sedi di lavoro? Occorre avere una autorizzazione del Garante per installare le telecamere? In che modo si fornisce l’informativa agli interessati? Quali sono i tempi dell’eventuale conservazione delle immagini registrate? Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?

Sono queste alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle questioni concernenti il trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. I chiarimenti si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, ad esempio, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un semplice cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.

Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

Wi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utenti

Tratto da www.garanteprivacy.it

NEWSLETTER N. 470 del 1 dicembre 2020

Misure di sicurezza per evitare accessi alle reti interne della Pa, divieto di tracciamenti non necessari degli utenti, conservazione a tempo dei dati, maggiore trasparenza. Sono alcune delle importanti garanzie richieste dal Garante per la protezione dei dati personali nel parere reso all’Agid sullo schema di Linee guida sul Wi-Fi pubblico. L’Agenzia per l’Italia Digitale dovrà integrare lo schema per renderlo conforme alle disposizioni del Regolamento Ue e del Codice privacy.

Le Linee guida offrono indicazioni alle Pa che forniscono ai cittadini la connessione wireless ad Internet presso gli uffici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e turistico, anche mettendo a disposizione dei cittadini la porzione di banda non utilizzata dagli uffici.

L’offerta di tale servizio comporta tuttavia il trattamento, da parte delle amministrazioni, dei dati degli utenti che ne usufruiscono, caratterizzato da diversi profili di rischio. Per questo motivo l’Autorità ha ritenuto che le Linee guida devono essere integrate al fine di richiamare le pubbliche amministrazioni a garantire una corretta applicazione del Regolamento mediante l’adozione di misure tecniche ed organizzative adeguate al rischio e configurando il servizio in modo da assicurare la protezione dei dati trattati fin dalla progettazione e per impostazione predefinita.

Lo schema sottoposto al Garante raccomanda, in particolare, alle Pa di identificare gli utenti, per poter rintracciare eventuali comportamenti malevoli. Su questo punto, l’Autorità ha precisato che le amministrazioni non sono autorizzate a conservare dati di traffico telematico e ha chiesto all’Agid di integrare le Linee guida indicando alle amministrazioni modalità rispettose del Regolamento per individuare, a posteriori, i responsabili di condotte illecite (ad es. utilizzando i soli dati relativi alla connessione e disconnessione degli utenti).

L’Autorità ha chiesto inoltre di fornire indicazioni alle amministrazioni sulle tipologie di dati da raccogliere e sui tempi di conservazione, nel rispetto del principio di minimizzazione. Dovrà essere vietato qualunque trattamento di dati relativi ai dispositivi degli utenti a fini di tracciamento dell’ubicazione o degli spostamenti (mediante tecniche di Wi-Fi location tracking), consentendo solo l’uso di quelli indispensabili per l’accesso al servizio o per individuare, a posteriori, eventuali illeciti.

È possibile, inoltre, che il servizio di Wi-Fi free pubblico venga offerto anche ai turisti, attraverso le strutture alberghiere. Al riguardo, il Garante ha richiesto che lo schema venga integrato precisando che il turista deve poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera. L’eventuale interoperabilità non deve automaticamente prevedere la comunicazione alle amministrazioni dei dati dei clienti degli alberghi.

Infine, le Linee guida dovranno ribadire alle Pa la necessità di adottare adeguate misure di sicurezza, anche per la gestione delle violazioni di dati personali (artt. 32, 33 e 34 del Regolamento), nonché suggerire specifiche cautele nel caso in cui il servizio Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che lo fornisce.

Categorie