Leggi - ICT Legal Consulting
Transcript
Leggi - ICT Legal Consulting
ICT Insider Marzo 2016 ICT Insider ICTLC Newsletter 2016 - ISSUE 3 Milano, Bologna, Roma, Amsterdam *Atene, Berlino, Bratislava, Bruxelles, Bucarest, Budapest, Città del Messico, Istanbul, Lisbona, Londra, Madrid, Mosca, New York, Parigi, Pechino, San Francisco, San Paolo, Shanghai, Sydney, Varsavia, Vienna e Washington *partner law firms Alla Germania non "piace" la politica di protezione dei dati di Facebook In ocL’Ufficio Federale Tedesco per la concorrenza (Bundeskartellamt) ha aperto un'inchiesta contro Facebook, volta a stabilire se la società, nella sua raccolta di informazioni personali degli utenti, sta abusando della sua posizione dominante. Il punto cruciale della ricerca sarà la legittimità della profilazione degli utenti come base per la pubblicità mirata; il Bundeskartellamt vuole valutare se gli utenti sono sufficientemente informati su questa procedura. La tesi sostenuta è che gli utenti di Facebook forniscano più dati personali di quanto farebbero se potessero scegliere tra una gamma di servizi simili (altri social network simili). Se l’inchiesta del Bundeskartellamt rivelasse una violazione delle leggi antitrust tedesche, Facebook potrebbe subire una sanzione fino al ICT Insider Il Garante Europeo della Privacy rilascia la sua prima Opinione sull’Accordo ombrello tra l’UE e gli USA in materia penale Con l’Opinion 1/2016, il Garante Europeo della Privacy (“GEPD”) si è espresso sull’accordo tra gli Stati Uniti d'America e l'Unione Europea in materia di protezione dei dati personali nell’ambito della prevenzione, ricerca, accertamento e perseguimento di reati (“Accordo”). Approfittando del fatto che l’Accordo non è stato ancora firmato, e quindi nella speranza di vedere il testo ulteriormente migliorato, il GEPD ha colto l’occasione per fare un primo giudizio di compatibilità con le norme fondanti il sistema comunitario ossia: il Trattato sul funzionamento dell’Unione Europea (Art. 16 TFUE) e la Carta dei diritti fondamentali dell’Unione Europea (Artt. 7, 8 e 47 della Carta). Mosso dal timore che l’Accordo porti ad una generale presunzione di legittimità dei trasferimenti basati sul medesimo, ma senza una 1 ICT Insider 10 per cento del fatturato annuo. La notizia arriva poco tempo dopo la messa in mora rilasciata dall'autorità di protezione dei dati francese a Facebook, nella quale l’azienda ha ricevuto un ultimatum di tre mesi per conformarsi alla legge francese sulla protezione dei dati. Leggi di più La Francia è un passo avanti rispetto alla UE La Francia adotterà alcune disposizioni del Regolamento Generale sulla Protezione dei Dati ("GDPR") prima della sua entrata in vigore nel 2018. Il mese scorso, l'Assemblea Nazionale Francese ha adottato il progetto di legge "Digital Republic" - il suo primo “open bill”, prodotto tramite la consultazione diretta con gli utenti internet francesi. Disposizioni in materia di portabilità dei dati, la neutralità della rete e il diritto di cancellazione dei dati ("il diritto all'oblio"), anche per minorenni, sono tutti inclusi nel nuovo disegno di legge. In aggiunta, nuovi poteri di sanzione saranno attribuiti alla CNIL (l’Autorità francese per la protezione dei dati personali) prima della entrata in vigore della GDPR nel 2018. Il disegno di legge è attualmente in fase di revisione da parte del Senato francese quindi è ancora in attesa di approvazione definitiva. Questi sviluppi confermano ICT Insider Marzo 2016 reale base di compliance (come già accaduto per il Safe Harbor), il GEPD espone in maniera chiara le perplessità e le azioni da intraprendere alla luce: della giurisprudenza comunitaria (si veda il caso Schrems); dei recenti accordi raggiunti a dicembre 2015 (Regolamento generale sulla protezione dei dati) e, da ultimo, del Privacy Shield. Le raccomandazioni sono di due tipi: generali e specifiche. Le prime sono viste dal GEPD come conditio sine qua non per rispettare la Carta e l’Art. 16 TFUE, riassumibili nei seguenti tre punti: • precisare che le garanzie contenute nell’Accordo volte a tutelare gli individui si applicano non solo ai cittadini europei ma a tutti gli individui; • assicurare che il ricordo giurisdizionale previsto nell’Accordo sia efficace alla luce dell’interpretazione dell’Art. 47 della Carta; • precisare che il trasferimento di dati sensibili in massa non è consentito. Le seconde, invece, sono raccomandazioni su specifici articoli dell’Accordo volte ad evitare un un’interpretazione non uniforme al diritto comunitario e al principio di certezza del diritto, riassumibili nei seguenti punti: • garantire che il ruolo delle competenti autorità di controllo alla luce dell’Art. 8 della Carta non venga minato da una errata interpretazione dell’Accordo; • garantire che le specifiche basi per i trasferimenti di dati siano sempre compatibili con l’Accordo e, in caso di conflitto, sia quest’ultimo a prevalere; garantire che le misure per sospendere il trasferimento di 1. dati sulla base dell’Accordo vengano estese anche ai dati che sono già stati trasferiti; garantire che le definizioni di “processing operations” e “personal 2. information” siano interpretate in maniera uniforme e compatibile con il diritto comunitario; 3. fornire un elenco delle “speciali condizioni” entro le quali è possibile trasferire dati in massa; 4. garantire che l’interpretazione delle norme sul data breach assicuri che la notificazione venga svolta entro tempi ragionevoli; 5. garantire che la conservazione dei dati non sia solo connessa a quanto strettamente necessario ma anche nei limiti delle finalità per cui il dato è stato raccolto; garantire il principio di trasparenza e l’accesso ai dati 6. dell’interessato nella massima misura possibile; specificare quali sono le autorità competenti per l’Accordo e 7. per i futuri cambiamenti al medesimo; i poteri di cui sono dotate e i punti di contatto previsti ai fini di assistenza. L’ultima raccomandazione del GEPD è generale e di chiusura: garantire che l’interpretazione, l’implementazione e l’applicazione dell’Accordo sia compatibile con il diritto comunitario. Non passerà 2 ICT Insider l'importanza per le imprese di iniziare ad anticipare la preparazione per le future esigenze del GDPR. Leggi di più Privacy Shield: la nuova puntata In una mossa inaspettata, e forse al fine di affrontare le preoccupazioni dei critici del nuovo Privacy Shield, la US Federal Communications Commission (“FCC”) ha pubblicato il 10 marzo una proposta di regolamento per quanto riguarda il diritto dei consumatori alla scelta, alla trasparenza e alla sicurezza nell’ambito del proprio fornitore di servizi Internet (“ISP”). La mossa del FCC arriva in un momento di preoccupazione crescente per la gestione della privacy personale, dovuto in parte alla lotta in corso tra Apple e l’FBI sulla potenziale prerogativa del governo di costringere una società a creare una "backdoor" del proprio software. La proposta del FCC intende soprattutto garantire che i provider di broadband o di servizi wireless non siano autorizzati a condividere i dati personali dei consumatori con terzi per finalità marketing senza il consenso esplicito degli interessati. Questo cambiamento potrebbe portare ad un allineamento tra la disciplina privacy degli Stati Uniti e quella dell'UE, indice che una collaborazione secondo il modello “Privacy Shield” potrebbe essere possibile, dopo tutto. ICT Insider Marzo 2016 molto prima di avere una risposta. … Ancora ransomware di Fabio Coatti, Of Counsel of ICT Legal Consulting [email protected] Con un’insistenza degna di migliori cause, i ransomware continuano a mietere vittime. Non passa praticamente giorno senza ricevere notizia di qualche vittima di tali malware. Che siano grosse aziende o privati, la loro capacità di fare danni è veramente cospicua, come stanno a testimoniare le storie dell’orrore che mi è capitato di sentire. Quindi, per quanto non si tratti certo di una minaccia recentissima, può forse essere utile rivedere questi oggetti e descrivere le misure più efficaci per difendersene. In pratica si tratta di una specifica tipologia di malware, ossia codice malevolo che ha come scopo creare danni a sistemi informatici. I danni possono essere di diversa natura: dal blocco del sistema alla sottrazione dei dati riservati al danneggiamento di software ed anche hardware. Nel caso di ransomware l’azione è alquanto ingegnosa: l’intruso cifra diversi files presenti sul sistema, magari leggendo le estensioni per scegliere quelli più interessanti, e chiede un vero e proprio riscatto per fornire la chiave di decifrazione necessaria a recuperare i dati. Una volta che i files sono cifrati, non c’è antivirus che tenga: senza chiave non si riottengono i files originali. A dire il vero, una delle prime versioni di ransomware aveva un “bug” che permetteva in alcuni casi il recupero dei files, ma meglio non contarci. In breve: se il malware ha colpito, è meglio considerare i files persi. Si potrebbe essere tentati di pagare il riscatto, ma anche tralasciando gli aspetti di ordine legale, non è una strada agevole: probabilmente si dovranno acquistare bitcoins, seguire le istruzioni per pagare e soprattutto sperare che il processo non si interrompa prima di avere la possibilità di recuperare i files. In sintesi è molto meglio prevenire che curare, regola del resto sempre valida. Stabilito questo, cosa è meglio fare? Per prima cosa, backups. Non è una misura preventiva, ma è il miglior sistema per uscire dai guai quando la situazione diventa patologica e non solo in caso di ransomware. Meglio dare per scontato che nei guai ci si finirà, per un motivo o l’altro, e ragionare su questa base. Attenzione però: i backups vanno fatti bene, altrimenti i guai vengono amplificati a livelli catastrofici. Un paio di esempi: i backups devono essere offline, non visibili in rete, altrimenti è probabile che il ransomware li trovi e li cifri allegramente. Meglio tenere uno storico: se ci si accorge dell’infezione con qualche giorno di ritardo ed abbiamo una sola una copia di backup, recupereremo solo files cifrati. Ovviamente, antivirus attivi ed aggiornati. È un consiglio scontato, ma vista la diffusione delle infezioni, meglio ribadirlo. Attenzione: gli antivirus non sono una panacea; magari il malware colpisce prima che l’antivirus possa riconoscerlo, quindi meglio ricordare la regola 1: backups. Pur con tutte le misure tecniche che si possono adottare, e quelle 3 ICT Insider La FCC dovrebbe votare per sottoporre la proposta a consultazione pubblica in occasione della riunione del 31 marzo. In caso di voto positivo, le norme dovrebbero essere redatte entro la fine dell'anno. Leggi di più Marzo 2016 sopra sono solo un piccolo esempio, la miglior prevenzione rimane sempre e comunque la consapevolezza e il training degli operatori. Molti malware, ed i ransomware non fanno eccezione, richiedono “collaborazione” da parte dell’utente: basta quindi un po’ di cautela per evitare danni anche importanti. Per chi ha la responsabilità dell’information security, magari in un’azienda non specializzata nell’IT, è fondamentale portare gli operatori ad un livello di preparazione, anche minimo, che li metta in grado di sventare le minacce più ovvie. Così come avviene per i corsi di sicurezza “fisica”: fare training pratici su come identificare siti fake, mail di phishing o spear-phishing ed altre minacce può essere un investimento molto redditizio. Eventi 15-16 marzo 2016 … ICTLC su SKY Paolo Balboni e Paolo Balboni sono docenti al Master di Privacy Officer e Consulente della Privacy (Certificato TÜV) organizzato da Federprivacy a Milano (Italia). Leggi di più 11 marzo 2016 Paolo Balboni è relatore al corso di EIPA sul Regolamento Europeo sulla Protezione dei Dati Personali presso il Research Executive Agency a Bruxelles (Belgio). Leggi di più Paolo Balboni è su Reteconomy (canale 512 di Sky): intervista sul tema riguardante la figura dell'avvocato negli ultimi anni. Guarda il video 09 marzo 2016 … Paolo Balboni è moderatore alla sessione intitolata "Seeing eye to eye" a Cloudscape2016 che si svolge a Bruxelles (Belgio). Leggi di più ICTLC Awards 08 marzo 2016 Paolo Balboni è relatore al corso di EIPA sul Regolamento Europeo sulla Protezione dei Dati Personali presso il Research Executive Agency a Bruxelles (Belgio). Leggi di più ICT Insider 4 ICT Insider Marzo 2016 02-03 Marzo 2016 Paolo Balboni e Luca Bolognini sono relatori al Forum PrivacyNuovo Regolamento Europeo "Novità in materia di trattamento, conservazione e tutela dei dati" e "Controlli sui lavoratori: Novità del Jobs Act - L. 183/2014", organizzato da Synergia Formazione, Milano (Italia). Leggi di più Luca Bolognini Claudio Partesotti (+39) 02 8424 7194 (+39) 02 8424 7194 Paolo Balboni (+39) 02 8424 7194 Luca Bolognini Paolo Balboni Claudio Partesotti Milano Bologna Roma Amsterdam NL Via Zaccaria 4 20122 Via Ugo Bassi 3 40121 Piazza San Salvatore in Lauro 13 00186 Veemkade 536 1019 HE (+39) 02 8424 7194 Contattaci (+39) 051 272 036 Contattaci (+39) 06 97842 491 Contattaci (+31) (0) 20 894 6338 Contattaci “L’eccellenza non è un atto, ma un’abitudine” - Aristotele ICT Insider 5