Non proteggere i dati è reato
Transcript
Non proteggere i dati è reato
Non proteggere i dati è reato: piovono multe del Garante Privacy alle aziende Martedì 14 Aprile 2015 00:00 Corriere della Privacy Nel solo secondo semestre 2014 il Garante Privacy ha fatto sanzioni ad aziende pubbliche e private che hanno fruttato all’erario circa 5 milioni di euro, frutto di 385 ispezioni condotte in team con il Nucleo speciale Privacy. Oltre alle sanzioni già verbalizzate, altre 577 sanzioni amministrative sono fase di definizione, mentre sono state fatte 39 segnalazioni all’autorità giudiziaria, che qualora vadano in giudicato potrebbero tramutarsi in pene detentive fino a un massimo di due anni di carcere, come previsto dall’articolo 169 del DLgs 196/2003 che recita testualmente “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a 2 anni o con l’ammenda da 10.000 a 50.000 euro”. A fronte del vertiginoso incremento dei casi di furto di dati o di danni all’integrità degli stessi perpetrati con i più svariati malware, il Garante della Privacy sta battendo a tappeto le aziende che detengono informazioni sensibili, per verificare che i sistemi informativi in uso siano in grado di sostenere qualsiasi tipo di evento di cybercrime. Le aziende che non proteggono in maniera adeguata i dati sensibili dei propri collaboratori e dei propri clienti da attacchi informatici rischiano di passare dei seri guai: oltre al costo vivo del ripristino dei sistemi, parliamo di multe salatissime, e addirittura del rischio di arresto, laddove basterebbero davvero pochi ma importanti accorgimenti per tutelarsi. “Sono ormai numerosi gli studi commissionati da noti brand della sicurezza informatica e divulgati dai più diversi istituti di ricerca statunitensi in merito al costo del cyber-crime”, afferma Giulio Vada, Country Manager di G DATA Italia, “eppure, nonostante il chiasso con cui tali informazioni vengono distribuite sia quasi al limite del terrorismo psicologico, le aziende non mostrano preoccupazioni né rispetto al danno reputazionale associato al furto di dati, né rispetto al danno economico cagionato da un’eventuale indisponibilità dei sistemi a fronte di un cyber-attacco, né, men che meno, rispetto alle misure del Garante”. In effetti, le cifre astronomiche menzionate negli studi (il più recente cita 875 milioni di dollari di perdite dovute agli attacchi, e spese di ripristino dei sistemi per un valore di quasi nove miliardi, solo in Italia) risultano quanto mai ingiustificate, se rapportate all’effettiva spesa in cui un’azienda incorre per l’acquisto di una soluzione integrata antimalware prodotta in Europa e quindi conforme alle normative europee sulla salvaguardia dell’integrità dei dati e sulla privacy. Il furto di informazioni business (ad esempio dettagli sui clienti tra cui dati di contatto, linea di credito, termini di pagamento, numero degli ordini effettuati, articoli acquistati e dettagli sulle abitudini d’acquisto) rappresenta una delle attività più lucrative per il cybercrime, poiché immediatamente monetizzabile. Una protezione efficace degli asset aziendali inizia proprio con l’implementazione di sistemi di protezione dei server che ospitano i sistemi di gestione di tali dati e le relative interfacce, tra cui server Web che ospitano piattaforme e-commerce o strumenti di pagamento on-line. Lo stesso vale per i terminali deputati all’inserimento e all’elaborazione dei dati nei gestionali, oltre che autorizzati ad accedervi. Tra questi in primis smartphone e portatili, che – spesso di proprietà del dipendente – non sono conformi alle politiche di sicurezza aziendali e, privi di qualsivoglia protezione, possono veicolare malware e aprire back door nella rete aziendale una volta connessi ad essa; malware in grado di trasmettere dati e informazioni riservate all’esterno in modo del tutto impercettibile, o di assoggettare intere reti a botnet del calibro di Ramnit. Domandandosi perché le aziende oggi corrono anche solo il rischio di subire sanzioni o danni economici per attacchi veicolati da malware, quando la soluzione è alla portata di chiunque, risulta evidente che, per quanto facilmente fruibile, la sicurezza è spiacevolmente percepita come costo reale – seppur talvolta irrisorio – mentre il rischio è solo potenziale. “Il ‘toto-probabilità’ è una risposta decisamente inadeguata al panorama delle attuali minacce informatiche” sottolinea Vada. “I primi operatori che dovrebbero sensibilizzare le aziende a proteggere efficacemente i dati di cui sono in possesso, sono proprio i rivenditori dei software che gestiscono dati e/o informazioni sensibili”. Integrando nella propria offerta soluzioni per la sicurezza IT, chi propone e installa piattaforme ERP non solo tutela i propri clienti, ma avrebbe anche modo di diversificare il proprio portafoglio, attivandosi in un ambito dell’information technology, quello della sicurezza IT, che, vista la creatività degli hacker, non conosce crisi. Fonte: BitMat Il Parlamento UE approva in via definitiva il nuovo pacchetto protezione dati Venerdì 15 Aprile 2016 06:09 Fonte : Corriere della Privacy http://www.corriereprivacy.it L’assemblea plenaria del Parlamento Europeo ha adottato questa mattina in seconda lettura i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Con questo passaggio si conclude un iter legislativo durato oltre 4 anni. Il nuovo “pacchetto protezione dati” garantirà maggiori opportunità e tutele per cittadini e imprese, adeguando una normativa europea che risale ormai agli anni 90, cioè ad un’epoca in cui molte delle nuove tecnologie attuali non esistevano e Internet era ancora ai suoi albori”. In particolare, il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi - come il diritto all’oblio e alla portabilità dei dati - e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. La Direttiva, secondo elemento fondamentale del pacchetto, stabilisce, per la prima volta, norme comuni per il trattamento dei dati a fini giudiziari e di polizia all'interno di tutti gli Stati membri. Obiettivo della Direttiva è quello di innalzare le garanzie per la privacy dei cittadini quanto interviene un trattamento dati per motivi giudiziari e di polizia, ma anche facilitare notevolmente lo scambio e l’uso delle informazioni utili per il contrasto a fenomeni come criminalità e terrorismo. Dopo che, la prossima settimana, il Consiglio Ue avrà preso atto formalmente dell’approvazione del pacchetto da parte del Parlamento, si avrà la pubblicazione dei testi nella Gazzetta Ufficiale dell’Unione Europea (GUUE), verosimilmente entro la fine di giugno. Il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella GUUE e, dopo due anni, le sue disposizioni saranno direttamente applicabili in tutta l’Unione europea. Gli Stati membri avranno due anni per recepire le disposizioni della direttiva nel diritto nazionale con apposite norme. “L’approvazione del Regolamento e della Direttiva rappresentano per l’Unione un traguardo importante, atteso da tempo” – ha commentato Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati personali. “Ma si pongono anche come una sfida sia per le Autorità Garanti sia per imprese, soggetti pubblici, liberi professionisti chiamati ad un ruolo di grande rilievo e responsabilità nel garantire un sempre più elevato grado di tutela delle persone che vivono e operano nell’Unione. Un percorso verso una più ampia tutela, soprattutto nel mondo digitale - ha concluso Soro - che si apre già da subito e che vedrà l’Autorità italiana impegnata in un dialogo costante con tutti gli attori in campo e con le altre Autorità Garanti europee”. Fonte: Garante Privacy