Leggi - ICT Legal Consulting

ICT Insider
Marzo 2016
ICT Insider
ICTLC Newsletter
2016 - ISSUE 3
Milano, Bologna, Roma, Amsterdam *Atene, Berlino, Bratislava, Bruxelles, Bucarest, Budapest, Città del Messico, Istanbul, Lisbona, Londra,
Madrid, Mosca, New York, Parigi, Pechino, San Francisco, San Paolo, Shanghai, Sydney, Varsavia, Vienna e
Washington *partner law firms
Alla Germania non
"piace" la politica di
protezione dei dati di
Facebook
In ocL’Ufficio Federale Tedesco
per la concorrenza
(Bundeskartellamt) ha aperto
un'inchiesta contro Facebook,
volta a stabilire se la società,
nella sua raccolta di
informazioni personali degli
utenti, sta abusando della sua
posizione dominante. Il punto
cruciale della ricerca sarà la
legittimità della profilazione
degli utenti come base per la
pubblicità mirata; il
Bundeskartellamt vuole
valutare se gli utenti sono
sufficientemente informati su
questa procedura. La tesi
sostenuta è che gli utenti di
Facebook forniscano più dati
personali di quanto farebbero
se potessero scegliere tra una
gamma di servizi simili (altri
social network simili). Se
l’inchiesta del
Bundeskartellamt rivelasse una
violazione delle leggi antitrust
tedesche, Facebook potrebbe
subire una sanzione fino al
ICT Insider
Il Garante Europeo della Privacy
rilascia la sua prima Opinione
sull’Accordo ombrello tra l’UE e gli USA
in materia penale
Con l’Opinion 1/2016, il Garante Europeo della Privacy (“GEPD”) si
è espresso sull’accordo tra gli Stati Uniti d'America e l'Unione
Europea in materia di protezione dei dati personali nell’ambito della
prevenzione, ricerca, accertamento e perseguimento di reati
(“Accordo”).
Approfittando del fatto che l’Accordo non è stato ancora firmato, e
quindi nella speranza di vedere il testo ulteriormente migliorato, il
GEPD ha colto l’occasione per fare un primo giudizio di
compatibilità con le norme fondanti il sistema comunitario ossia: il
Trattato sul funzionamento dell’Unione Europea (Art. 16 TFUE) e la
Carta dei diritti fondamentali dell’Unione Europea (Artt. 7, 8 e 47
della Carta).
Mosso dal timore che l’Accordo porti ad una generale presunzione
di legittimità dei trasferimenti basati sul medesimo, ma senza una
1
ICT Insider
10 per cento del fatturato
annuo.
La notizia arriva poco tempo
dopo la messa in mora
rilasciata dall'autorità di
protezione dei dati francese a
Facebook, nella quale l’azienda
ha ricevuto un ultimatum di tre
mesi per conformarsi alla
legge francese sulla
protezione dei dati. Leggi di
più
La Francia è un passo
avanti rispetto alla UE
La Francia adotterà alcune
disposizioni del Regolamento
Generale sulla Protezione dei
Dati ("GDPR") prima della sua
entrata in vigore nel 2018. Il
mese scorso, l'Assemblea
Nazionale Francese ha
adottato il progetto di legge
"Digital Republic" - il suo
primo “open bill”, prodotto
tramite la consultazione diretta
con gli utenti internet francesi.
Disposizioni in materia di
portabilità dei dati, la neutralità
della rete e il diritto di
cancellazione dei dati ("il
diritto all'oblio"), anche per
minorenni, sono tutti inclusi nel
nuovo disegno di legge. In
aggiunta, nuovi poteri di
sanzione saranno attribuiti alla
CNIL (l’Autorità francese per la
protezione dei dati personali)
prima della entrata in vigore
della GDPR nel 2018. Il
disegno di legge è
attualmente in fase di revisione
da parte del Senato francese
quindi è ancora in attesa di
approvazione definitiva. Questi
sviluppi confermano
ICT Insider
Marzo 2016
reale base di compliance (come già accaduto per il Safe Harbor), il
GEPD espone in maniera chiara le perplessità e le azioni da
intraprendere alla luce: della giurisprudenza comunitaria (si veda il
caso Schrems); dei recenti accordi raggiunti a dicembre 2015
(Regolamento generale sulla protezione dei dati) e, da ultimo, del
Privacy Shield. Le raccomandazioni sono di due tipi: generali e
specifiche. Le prime sono viste dal GEPD come conditio sine qua non
per rispettare la Carta e l’Art. 16 TFUE, riassumibili nei seguenti tre
punti:
•
precisare che le garanzie contenute nell’Accordo volte a
tutelare gli individui si applicano non solo ai cittadini europei ma a
tutti gli individui;
•
assicurare che il ricordo giurisdizionale previsto nell’Accordo
sia efficace alla luce dell’interpretazione dell’Art. 47 della Carta;
•
precisare che il trasferimento di dati sensibili in massa non è
consentito.
Le seconde, invece, sono raccomandazioni su specifici articoli
dell’Accordo volte ad evitare un un’interpretazione non uniforme al
diritto comunitario e al principio di certezza del diritto, riassumibili
nei seguenti punti:
•
garantire che il ruolo delle competenti autorità di controllo
alla luce dell’Art. 8 della Carta non venga minato da una errata
interpretazione dell’Accordo;
•
garantire che le specifiche basi per i trasferimenti di dati
siano sempre compatibili con l’Accordo e, in caso di conflitto, sia
quest’ultimo a prevalere;
garantire che le misure per sospendere il trasferimento di
1.
dati sulla base dell’Accordo vengano estese anche ai dati che sono
già stati trasferiti;
garantire che le definizioni di “processing operations” e “personal
2.
information” siano interpretate in maniera uniforme e compatibile
con il diritto comunitario;
3.
fornire un elenco delle “speciali condizioni” entro le quali è
possibile trasferire dati in massa;
4.
garantire che l’interpretazione delle norme sul data breach
assicuri che la notificazione venga svolta entro tempi ragionevoli;
5.
garantire che la conservazione dei dati non sia solo connessa
a quanto strettamente necessario ma anche nei limiti delle finalità
per cui il dato è stato raccolto;
garantire il principio di trasparenza e l’accesso ai dati
6.
dell’interessato nella massima misura possibile;
specificare quali sono le autorità competenti per l’Accordo e
7.
per i futuri cambiamenti al medesimo; i poteri di cui sono dotate e i
punti di contatto previsti ai fini di assistenza.
L’ultima raccomandazione del GEPD è generale e di chiusura:
garantire che l’interpretazione, l’implementazione e l’applicazione
dell’Accordo sia compatibile con il diritto comunitario. Non passerà
2
ICT Insider
l'importanza per le imprese di
iniziare ad anticipare la
preparazione per le future
esigenze del GDPR. Leggi di
più
Privacy Shield: la nuova
puntata
In una mossa inaspettata, e
forse al fine di affrontare le
preoccupazioni dei critici del
nuovo Privacy Shield, la US
Federal Communications
Commission (“FCC”) ha
pubblicato il 10 marzo una
proposta di regolamento per
quanto riguarda il diritto dei
consumatori alla scelta, alla
trasparenza e alla sicurezza
nell’ambito del proprio
fornitore di servizi Internet
(“ISP”). La mossa del FCC arriva
in un momento di
preoccupazione crescente per
la gestione della privacy
personale, dovuto in parte alla
lotta in corso tra Apple e l’FBI
sulla potenziale prerogativa
del governo di costringere una
società a creare una
"backdoor" del proprio
software. La proposta del FCC
intende soprattutto garantire
che i provider di broadband o
di servizi wireless non siano
autorizzati a condividere i dati
personali dei consumatori con
terzi per finalità marketing
senza il consenso esplicito
degli interessati. Questo
cambiamento potrebbe
portare ad un allineamento tra
la disciplina privacy degli Stati
Uniti e quella dell'UE, indice
che una collaborazione
secondo il modello “Privacy
Shield” potrebbe essere
possibile, dopo tutto.
ICT Insider
Marzo 2016
molto prima di avere una risposta.
…
Ancora ransomware
di Fabio Coatti, Of Counsel of ICT Legal Consulting [email protected]
Con un’insistenza degna di migliori cause, i ransomware continuano
a mietere vittime. Non passa praticamente giorno senza ricevere
notizia di qualche vittima di tali malware. Che siano grosse aziende
o privati, la loro capacità di fare danni è veramente cospicua, come
stanno a testimoniare le storie dell’orrore che mi è capitato di
sentire. Quindi, per quanto non si tratti certo di una minaccia
recentissima, può forse essere utile rivedere questi oggetti e
descrivere le misure più efficaci per difendersene.
In pratica si tratta di una specifica tipologia di malware, ossia codice
malevolo che ha come scopo creare danni a sistemi informatici. I
danni possono essere di diversa natura: dal blocco del sistema alla
sottrazione dei dati riservati al danneggiamento di software ed
anche hardware.
Nel caso di ransomware l’azione è alquanto ingegnosa: l’intruso cifra
diversi files presenti sul sistema, magari leggendo le estensioni per
scegliere quelli più interessanti, e chiede un vero e proprio riscatto
per fornire la chiave di decifrazione necessaria a recuperare i dati.
Una volta che i files sono cifrati, non c’è antivirus che tenga: senza
chiave non si riottengono i files originali. A dire il vero, una delle
prime versioni di ransomware aveva un “bug” che permetteva in
alcuni casi il recupero dei files, ma meglio non contarci. In breve: se
il malware ha colpito, è meglio considerare i files persi. Si potrebbe
essere tentati di pagare il riscatto, ma anche tralasciando gli aspetti
di ordine legale, non è una strada agevole: probabilmente si
dovranno acquistare bitcoins, seguire le istruzioni per pagare e
soprattutto sperare che il processo non si interrompa prima di avere
la possibilità di recuperare i files. In sintesi è molto meglio prevenire
che curare, regola del resto sempre valida.
Stabilito questo, cosa è meglio fare? Per prima cosa, backups. Non è
una misura preventiva, ma è il miglior sistema per uscire dai guai
quando la situazione diventa patologica e non solo in caso di
ransomware. Meglio dare per scontato che nei guai ci si finirà, per
un motivo o l’altro, e ragionare su questa base. Attenzione però: i
backups vanno fatti bene, altrimenti i guai vengono amplificati a
livelli catastrofici. Un paio di esempi: i backups devono essere
offline, non visibili in rete, altrimenti è probabile che il ransomware
li trovi e li cifri allegramente. Meglio tenere uno storico: se ci si
accorge dell’infezione con qualche giorno di ritardo ed abbiamo una
sola una copia di backup, recupereremo solo files cifrati.
Ovviamente, antivirus attivi ed aggiornati. È un consiglio scontato,
ma vista la diffusione delle infezioni, meglio ribadirlo. Attenzione:
gli antivirus non sono una panacea; magari il malware colpisce prima
che l’antivirus possa riconoscerlo, quindi meglio ricordare la regola 1:
backups.
Pur con tutte le misure tecniche che si possono adottare, e quelle
3
ICT Insider
La FCC dovrebbe votare per
sottoporre la proposta a
consultazione pubblica in
occasione della riunione del
31 marzo. In caso di voto
positivo, le norme dovrebbero
essere redatte entro la fine
dell'anno. Leggi di più
Marzo 2016
sopra sono solo un piccolo esempio, la miglior prevenzione rimane
sempre e comunque la consapevolezza e il training degli operatori.
Molti malware, ed i ransomware non fanno eccezione, richiedono
“collaborazione” da parte dell’utente: basta quindi un po’ di cautela
per evitare danni anche importanti. Per chi ha la responsabilità
dell’information security, magari in un’azienda non specializzata
nell’IT, è fondamentale portare gli operatori ad un livello di
preparazione, anche minimo, che li metta in grado di sventare le
minacce più ovvie. Così come avviene per i corsi di sicurezza
“fisica”: fare training pratici su come identificare siti fake, mail di
phishing o spear-phishing ed altre minacce può essere un
investimento molto redditizio.
Eventi
15-16 marzo 2016
…
ICTLC su SKY
Paolo Balboni e Paolo Balboni
sono docenti al Master di
Privacy Officer e Consulente
della Privacy (Certificato TÜV)
organizzato da Federprivacy a
Milano (Italia). Leggi di più
11 marzo 2016
Paolo Balboni è relatore al
corso di EIPA sul Regolamento
Europeo sulla Protezione dei
Dati Personali presso il
Research Executive Agency a
Bruxelles (Belgio). Leggi di più
Paolo Balboni è su Reteconomy (canale 512 di Sky): intervista sul
tema riguardante la figura dell'avvocato negli ultimi anni. Guarda il
video
09 marzo 2016
…
Paolo Balboni è moderatore
alla sessione intitolata "Seeing
eye to eye" a Cloudscape2016
che si svolge a Bruxelles
(Belgio). Leggi di più
ICTLC Awards
08 marzo 2016
Paolo Balboni è relatore al
corso di EIPA sul Regolamento
Europeo sulla Protezione dei
Dati Personali presso il
Research Executive Agency a
Bruxelles (Belgio). Leggi di più
ICT Insider
4
ICT Insider
Marzo 2016
02-03 Marzo 2016
Paolo Balboni e Luca Bolognini
sono relatori al Forum PrivacyNuovo Regolamento Europeo
"Novità in materia di
trattamento, conservazione e
tutela dei dati" e "Controlli sui
lavoratori: Novità del Jobs Act
- L. 183/2014", organizzato da
Synergia Formazione, Milano
(Italia). Leggi di più
Luca Bolognini
Claudio Partesotti
(+39) 02 8424 7194
(+39) 02 8424 7194
Paolo Balboni
(+39) 02 8424 7194
Luca Bolognini
Paolo Balboni
Claudio Partesotti
Milano
Bologna
Roma
Amsterdam NL
Via Zaccaria 4
20122
Via Ugo Bassi 3
40121
Piazza San Salvatore in
Lauro 13 00186
Veemkade 536
1019 HE
(+39) 02 8424 7194
Contattaci
(+39) 051 272 036
Contattaci
(+39) 06 97842 491
Contattaci
(+31) (0) 20 894 6338
Contattaci
“L’eccellenza non è un atto, ma un’abitudine” - Aristotele
ICT Insider
5