SLB Studio Legale Broglia

20/12/2022

10 consigli per tutelare la privacy durante le vacanze di Natale.
L'Autorità ha pubblicato ieri utili suggerimenti. Eccoli.

1. Attenzione agli Auguri via sms, email, social
Molti programmi malevoli vengono inviati tramite email, sms, messaggi sui social. Diffidate di quelli che contengono link a siti esterni e invitano a inserire username e password.

Dietro quelle pagine, all'apparenza legittime, si nascondono i truffatori, che “rubano” i dati che inseriamo e li utilizzano sui siti legittimi e altrove. Non facilitiamo i criminali usando le stesse credenziali per accessi diversi!

In altre ipotesi vengono scaricati sui nostri dispositivi file malevoli. Diffidare sempre!

2. Foto e video sotto l’albero
Non tutti vogliono apparire nelle foto. Sempre meglio, quindi, chiedere l'autorizzazione.

Massima attenzione alle foto con i minori, perché spesso vengono copiate o scaricate e usate da malintenzionati. Se possibile, evitare di pubblicarle.

3. Pacchi di Natale
Diffidate sempre delle offerte con sconti straordinari , soprattutto se per ottenerli bisogna compiere altre operazioni, che di solito sono quelle di cliccare qualche link o inserire i propri dati, magari di accesso a siti bancari.

Attenzione anche alle false notifiche di spedizioni, molto frequenti, che tendono quasi sempre allo stesso scopo.

4. Scaricare applicazioni
Le applicazioni per i cellulari possono nascondere virus o malware.

Cercate sempre di capire come funzionano, controllando le impostazioni privacy e leggete con attenzione le descrizioni tecniche, per capire cosa realmente “facciano” sui nostri cellulari.

5. Buonsenso anche per i viaggi
Se durante le feste di Natale si parte per le vacanze, meglio evitare di pubblicare sui social media informazioni che possono rivelare per quanto tempo si sarà assenti e in quali giorni: potrebbero essere utili a eventuali malintenzionati.

Fate attenzione a impostazioni e collegamenti dei dispositivi smart, spesso poco sicuri.

6. In albergo o al ristorante, Wi-Fi gratuito ma con prudenza
Le connessioni offerte da locali e hotel potrebbero non essere protette e, quindi, essere esposte ad attacchi.

Evitate di effettuare operazioni che richiedono l’inserimento di credenziali.

7. Droni
Se si fa volare a fini ricreativi un drone con la fotocamera, in vacanza ma anche a casa, è bene evitare di invadere gli spazi personali e la riservatezza delle persone.

8. Giocattoli smart, privacy smart
I giocattoli smart possono raccogliere e trattare dati personali in grande quantità: sempre bene verificare e limitare al minimo l’inserimento di queste informazioni.

9. Proteggere i dispositivi
Aggiornare e proteggere sempre i dispositivi, anche mobili, è una prassi da non dimenticare mai, nemmeno in vacanza.

10. La miglior difesa
La nostra consapevolezza nell’uso delle tecnologie e l’accortezza nel diffondere i nostri dati personali sono, sempre, le migliori difese.

Il link: https://www.gpdp.it/temi/natale

16/12/2022

Andrea, ma dobbiamo guardarlo un’altra volta?
E’ questa la domanda che mi hanno fatto oggi, di fronte alla richiesta di rivedere, dopo alcuni mesi, il Registro dei trattamenti; un po’ come se fossimo nel film Il giorno della marmotta, titolo italiano Ricomincio da capo, in cui Bill Murray rivive ogni giorno nello stesso modo, in uno strano cortocircuito temporale.
A dirla tutta non è poi così male, visto che ne approfitta per far innamorare una splendida Andie MacDowell….

A parte gli scherzi, è vero che ci sono documenti e procedure che devono essere riviste e, in caso, aggiornate: il Registro, per esempio, ma non solo.
Perché vale la pena (e talvolta si deve) farlo, però, è presto detto e a mio parere evidente: avere il controllo delle attività che si fanno, dei soggetti interessati, dei singoli tipi di dati che si utilizzano, dei giusti tempi di conservazione, degli spesso inevitabili ulteriori fornitori di servizi che intervengono nella gestione di queste attività, così come sapere e stabilire quanto esse siano sicure, è essenziale (oltre che obbligatorio).

Se solo avessimo messo in campo una nuova iniziativa, cambiato il consulente del lavoro, o un provider di un servizio in cloud, è evidente che il “vecchio” registro non sarebbe più attuale; figuriamoci se, come nel caso di oggi, l’azienda avesse deciso di installare un sistema di videosorveglianza controllato con un’applicazione software.

C’è una frase che gli esperti di sicurezza ripetono spesso: non si può proteggere quello che non si conosce.
Tenere aggiornati documenti è procedure è non solo obbligatorio, ma anche molto utile.

14/12/2022

Il mondo è pieno di curiosi. Ma anche di spioni!
Un recente articolo di una rivista specializzata mi ha fatto ricordare un episodio che mi è capitato l’anno scorso.
Ero nell’azienda di un amico e stavamo parlando di misure di sicurezza.
Siccome gestiscono, tra altre cose, progetti che devono rimanere riservati, avevo colto l’occasione per ricordargli l’importanza e la necessità di prevedere e mettere per iscritto apposite misure di sicurezza, anche con delle policy di comportamento precise.
Misure di questo tipo sono infatti necessarie sia per proteggere i locali dove i progettisti elaborano i lavori sia anche, in un’ottica più generale, per tenere al sicuro tutti i documenti e, quindi, anche i dati personali della società.
Tra altre cose avevo segnalato anche la necessità di avere, per esempio, dispositivi distruggi documenti, ma anche di definire alcune regole che vietassero non solo il riutilizzo delle stampe, ma anche di gettare nei cestini la carta già usata.
Il mio amico mi guardava un po’ sornione, ma si capiva che non stava prendendo molto sul serio il mio consiglio.
Proprio in quel momento ero alla finestra e, dall’alto, osservavo i cassonetti dell’immondizia sul marciapiede davanti all’ingresso della società: due persone, che non sembravano particolarmente bisognose, stavano rovistando dentro il contenitore bianco della carta e avevano dei fogli in mano.
L’ho subito fatto presente al mio amico che, ovviamente, ha subito colto il rischio che una disinvolta gestione anche della ormai poca carta che ci circonda potrebbe avere.
Questo sia dal punto di vista degli affari in generale, sia da quello delle possibili ripercussioni, anche sanzionatorie della carenza nella gestione documentale: talvolta, comportamenti un po’ “leggeri” o, semplicemente, non organizzati, possono avere o provocare fastidiose ripercussioni.
Meglio dunque pensarci prima e preparare regole semplici, ma precise, cui tutti debbano attenersi. Ho saputo che nell'azienda del mio amico la carta non finisce più, se non debitamente triturata, nei cassonetti.

13/12/2022

Le foto e i video del pranzo di Natale sui social.
E’ tempo di auguri, pranzi e cene natalizie, anche aziendali.
Prevedibile che molte saranno le foto e i video pubblicati sui social.
E’ sempre legittimo e si può fare senza problemi?
In realtà non proprio.
L’autorità sp****la per la protezione dei dati ha pubblicato qualche giorno fa un’interessante e utile “guida”, con link ad ulteriori consigli che sono certamente validi anche per noi. Il nostro Garante, del resto, fa altrettanto in molte occasioni.
Se in ambito aziendale le foto “ufficiali” potranno essere pubblicate sui social, sul sito o sul blog solo se siano state fornite precise informazioni (ex art. 13 del Gdpr) ma, soprattutto, ottenuti i necessari consensi dei lavoratori immortalati, le “nostre” foto personali, siano del pranzo con i colleghi o della cena di Natale con parenti e amici, potrebbero necessitare di qualche cautela in più.
Capita spesso, infatti, che foto e video divertenti nel momento in cui sono ripresi, possano diventare successivamente fuori luogo o, addirittura, imbarazzanti.
Una volta pubblicata, una foto difficilmente “sparisce” dal web e questo potrebbe causare al soggetto fotografato più di una seccatura: prese in giro, sberleffi, ma anche la perdita della reputazione e, talvolta, del lavoro.
Ricordiamoci prima di tutto di fare attenzione alle impostazioni privacy dei nostri social, visto che è possibile stabilire se i contenuti siano visibili agli amici, agli amici degli amici ma anche a tutti gli iscritti e, in secondo luogo, che è estremamente facile “catturare” un’immagine e renderla, così, di fatto, ingestibile.
Prima di pubblicare foto, video, storie, è necessario sempre chiedere l’autorizzazione del soggetto ripreso. Tra privati le regole privacy “non valgono” ma quando pubblichiamo sui social quelle regole tornano valide!
Se, d’altra parte, ci trovassimo noi come soggetti fotografati e volessimo eliminare quello scatto, la prima cosa da fare sarebbe quella di chiedere direttamente all’autore di cancellare il post.
Se questa persona ci ignorasse, ci rivolgeremo direttamente al social media e, infine, con ancora maggiore formalità, eventualmente, al Garante privacy.
Insomma: festeggiamo, pranziamo, fotografiamo e postiamo, ma con giudizio!
La guida sp****la: https://www.aepd.es/es/prensa-y-comunicacion/blog/las-fotos-de-la-cena-de-navidad-del-trabajo
Le sempre utili indicazioni del nostro Garante: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3240343

12/12/2022

Smetteremo di pensare e di lavorare?
Da qualche giorno in rete non si fa che parlare di Chat GPT.
Si tratta di un modello algoritmico sviluppato da che permette di rispondere a domande, sviluppare software, produrre saggi, conversazioni, creare documenti e tanto altro.
Si possono fare cose incredibili e milioni di persone lo stanno già utilizzando per creare risposte automatiche, produrre elaborati, sviluppare i compiti a casa, trovare errori - sì, il modello “ammette” anche “i propri errori”, come riferisce il sito! - creare progetti di ogni tipo, scrivere barzellette e tanto altro.
Il sistema, che elabora le risposte in pochissimo tempo, con un linguaggio accurato, preciso, articolato e scevro di eventuali polemiche, è stato “caricato”, sostanzialmente, di tutte le informazioni disponibili in rete sino alla fine del 2021 (non chiedete, dunque, cose successive, o previsioni sulla guerra in Ucraina).
Talvolta sbaglia o è impreciso ma è davvero impressionante.
Di fatto è un progetto destinato a fare scalpore per diverso tempo; si tratta, soprattutto, di “qualcosa” che non ci abbandonerà presto, tutt’altro: c’è già chi ne parla come del “distruttore” di Google o, più simpaticamente, come il nuovo strumento per lavorare e pensare meno.
Per fare solo un esempio: non fornisce sequenze di link, ma risposte puntuali a precise domande e apprende dai propri errori e dall’interazione con gli utenti, migliorandosi.
La questione è in realtà molto più complessa, per diversi motivi, ma certamente molto interessante e vale la pena di seguirla: non per niente è finanziato anche da Elon Musk.
Al momento è totalmente gratuito, anche se in molti prevedono che, una volta aggiornato al presente e nutrito di specifiche API per specifiche query e argomenti, diverrà a pagamento.
E’ molto di più di un assistente vocale: gli esperti dicono che siamo di fronte a una vera rivoluzione. Staremo a vedere.
Il link per provarlo: https://openai.com/blog/chatgpt/
Tra tante altre info: https://techcrunch.com/.../is-chatgpt-a-virus-that-has.../

08/12/2022

La potenza è nulla senza controllo.
Anni fa una famosa pubblicità ci ricordava l’importanza del controllo: una macchina potente, ma ingovernabile perché non dotata degli pneumatici adatti, era sostanzialmente inservibile, proprio perché incontrollabile.
Io aggiungerei: pericolosa.
Possiamo dire lo stesso per quanto riguarda la tecnologia e, in particolare, la possibilità di sapere cosa viene fatto con le informazioni che ci riguardano.
Non è una novità: il “Gdpr” ha esteso le facoltà e i diritti che sono riconosciuti agli “interessati”, ossia a tutti noi.
I più importanti, elencati negli articoli da 15 a 22 del Gdpr, sono quelli
🏎 di accesso,
🏎 di essere informati,
🏎 di opposizione,
🏎 di rettifica,
🏎 il diritto all’oblio e
🏎 il diritto alla portabilità.
E’ disponibile, sul sito dell’Autorità Garante per la Protezione dei Dati Personali, un’apposita pagina nella quale è possibile sapere come inviare richieste ai soggetti che trattano i nostri dati, con semplici e utili modelli da poter utilizzare, senza particolari formalità: https://www.garanteprivacy.it/i-miei-diritti.
Coloro che ricevono tali richieste, è bene saperlo, devono fornire un riscontro non generico in tempistiche piuttosto precise: al più tardi, salvo particolari circostanze, entro un mese.
Non farlo espone al rischio di sanzioni abbastanza gravi.

07/12/2022

Ci hanno rubato un hard disk!
Ieri, proprio dopo una riunione di formazione sugli “incidenti” nella quale ho utilizzato, in apertura, la slide qui sotto, mi ha chiamato un cliente che, tra l’arrabbiato e il (molto) preoccupato, mi ha chiesto: “Hanno rubato dalla macchina di un dipendente un hard disk con un sacco di documenti, lasciato sul sedile in bella vista. E’ un data breach, dobbiamo fare la notifica al Garante?”
In effetti questo cliente, piuttosto pignolo, si era già fatto le sue ricerche, recuperando un provvedimento dello scorso anno in cui un’organizzazione è stata sanzionata per essersi fatta rubare un hard disk contenente molti dati (documenti di riconoscimento, fiscali, buste paga, pratiche di rimborso, ecc.: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9538748).
Il Garante, in questo caso giustamente, ha evidenziato che è onere del titolare mettere in atto “misure tecniche e organizzative adeguate” affinché sia garantito un livello di sicurezza adeguato al rischio.
Il cliente era molto preoccupato perché il dipendente, stando alle regole interne, non avrebbe dovuto salvare sul disco esterno i dati e, ovviamente, nemmeno portarli fuori dall’azienda.
Questi comportamenti, certamente sanzionabili da un punto di vista disciplinare, non c’entrano però, in questo caso, con la necessità della notifica al Garante nelle “famose” 72 ore prevista dal Gdpr all’art. 33.
Il mio interlocutore, infatti, mi ha poi spiegato che per fortuna il dipendente, per il suo hard disk, ha usato un sistema di full disk encryption, ossia di cifratura, in particolare quello disponibile per i sistemi Windows, ossia BitLocker.
Poiché in mancanza della chiave di accesso il disco è del tutto inutilizzabile e, quindi, i dati sono illeggibili, ho potuto rassicurare il cliente, perché gli interessati, in questo caso, non corrono alcun rischio: una violazione di dati personali, infatti, è una violazione che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali, siano tali eventi accidentali oppure intenzionali.
Si dovrà “solo” registrare l’evento su un apposito documento, il cosiddetto Registro degli incidenti.
Il rischio, invece, reale, lo corre al momento, per quanto ne so, il dipendente che ha violato il regolamento interno. Chissà come andrà a finire.

05/12/2022

Sicurezza delle informazioni, cybersecurity e privacy.
No, non sono la stessa cosa.
La Sicurezza delle informazioni (Information Security) ha a che fare con la necessità che le informazioni mantengano caratteristiche di riservatezza, integrità e disponibilità (R.I.D.).
E’ una triade molto conosciuta, che gli anglosassoni chiamano C.I.A.: confidentiality, integrity, availability.
In pratica, un’informazione deve rimanere “riservata”, ossia accessibile solamente agli utenti autorizzati a visionarla; deve, quindi, essere protetta da accessi non autorizzati, interni o esterni che siano.
Un’informazione, inoltre, deve rimanere “integra”, ossia non modificabile, oppure modificabile solo dalle persone che siano autorizzate a farlo.
Infine, un’informazione deve essere “accessibile” tutte le volte in cui ce ne dobbiamo servire. In questo ultimo caso, per esempio, se avessimo perso in modo irreparabile un file o un documento, ne avremmo perso la disponibilità.
La c.d. Cybersecurity è riferita, più specificamente, alla sicurezza dei sistemi informatici: è dunque legata alla sicurezza e alla protezione contro le minacce informatiche.
La differenza è intuibile: una violazione della sicurezza di un’informazione in senso “classico” è, per esempio, come nell’esempio fatto sopra, la perdita di un documento cartaceo, oppure un accesso non autorizzato a documenti classificati.
Una violazione di cyber security, invece, riguarda i sistemi informatici, come nel caso di un attacco ransomware che abbia criptato tutti i file di un server.
La Privacy, infine, riguarda un ambito più limitato ma non meno importante delle informazioni: quelle che sono definibili dati personali.
Si tratta, in particolare, di tutte quelle informazioni che consentono di individuare una persona direttamente o anche indirettamente, mediante il confronto, il raffronto o la connessione di più dati (un dato identificativo come un nome o un indirizzo personale, oppure un codice, un identificativo come una targa di un veicolo).
Per questi motivi si afferma che se le violazioni dei dati personali sono incidenti di sicurezza delle informazioni, non tutti gli incidenti sono necessariamente violazioni dei dati personali: un evento, infatti, potrebbe riguardare la sicurezza di un'informazione ma non la privacy, perché quell'informazione non è un dato personale: il furto di un brevetto o di un disegno industriale è un incidente di sicurezza delle informazioni, mentre il furto o la perdita di una chiavetta usb con una lista di clienti è un incidente che riguarda la privacy. Si chiama data breach.

02/12/2022

Navigare in incognito. Funziona?
La modalità di navigazione in incognito (o privata) ci consente esplorare il web senza che il browser (il software che usiamo per “andare su internet”, come Microsoft Edge, Firefox, Chrome, Safari, Brave …) memorizzi quello che facciamo.
In pratica non salva la cronologia, non vengono installati i cookie, non vengono memorizzate le azioni che facciamo e nemmeno le credenziali che inseriamo.

Di solito, infatti, il browser ricorda tutto, ma proprio tutto quello che avviene: cosa vediamo, per quanto tempo ci fermiamo su un video o un’immagine, dove spostiamo il mouse, cosa compriamo, quale musica ascoltiamo e così via.
In modalità “incognito” queste interazioni non vengono salvate.
Gli esperti consigliano di adottare questa modalità oltre che, appunto, per non salvare nulla sul dispositivo, anche quando si utilizzano computer o macchine di altri oppure, più semplicemente, quando non vogliamo che altri che utilizzano lo stesso pc possano “vedere” dove abbiamo navigato.
Ricordiamoci, però, che è impossibile non lasciare tracce sulla rete e, soprattutto, che i siti e le piattaforme, al contrario di quello che succede sul nostro dispositivo, vedono invece bene e registrano quello che facciamo.
In sostanza la navigazione in incognito non salva nulla sui nostri device ma non ci garantisce di essere completamente anonimi.
I moderni sistemi di tracciamento degli utenti sono molto sviluppati e possono fare molto di più di quello che era possibile sino a non molto tempo fa con i soli cookie.
La disponibilità di tanta tecnologia e di molti altri dati da incrociare consente ai proprietari dei siti e ai gestori delle piattaforme di sapere tanto di più di quanto crediamo.

Magari ne parliamo in un’altra occasione.

01/12/2022

No, grazie. Non mi interessa.
Quante volte al giorno ripetiamo la stessa frase agli operatori che ci chiamano per proporre servizi, prodotti, nuovi strabilianti contratti?
E' il telemarketing, bello, e da sempre funziona così.

Beh, non è proprio vero, perché da anni in Italia abbiamo, o avremmo, delle regole precise, anche se non sono spesso rispettate.
In più, da pochi mesi, è in vigore una riforma dell'apposito Registro delle Opposizioni (https://registrodelleopposizioni.it/) che permette agli utenti dei servizi di telefonia di inserire, proprio in questo Registro, sia il proprio numero fisso sia quello di cellulare.
Gli operatori, e i loro call center, quando vogliono fare chiamate commerciali, ossia di marketing, devono verificare che il destinatario non sia tra i numeri presenti sul Registro.
Lo fanno? Non tutti, come purtroppo sappiamo bene.
Per contrastare queste pratiche "selvagge", come ogni tanto vengono chiamate, il Garante della Privacy ha istituito un nuovo servizio per fare precise segnalazioni, così da "irrobustire" le tutele e le garanzie per tutti noi.

Se vuoi provarlo, e trovare altre notizie interessanti, vai a questo link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9822195.

30/11/2022

Quanto ci piace lavorare da remoto! Ma è sempre sicuro?

Non è un mistero che, soprattutto dopo la pandemia, il lavoro "da remoto" sia aumentato, in tutti i settori, moltissimo.

Se quando lavoriamo da casa le connessioni ai sistemi aziendali sono generalmente protette dalle misure messe in atto dal reparto IT, quando ci connettiamo a sistemi Wi-Fi free le cose stanno diversamente.

La diffusione di connessioni gratuite in alberghi, bar, ristoranti, treni e locali è certamente una comodità, perché ci consente di avere sempre un accesso alla rete.

Gli esperti ricordano però che, tanto quanto gli hot spot sono appetibili per noi, altrettanto, se non talvolta di più, lo sono anche per i criminali informatici.

Poiché la connessione è spesso possibile senza effettuare alcuna autenticazione, i malintenzionati hanno la possibilità di accedere ai dispositivi non protetti: inserendosi tra gli utenti e il punto di connessione, possono ricevere le comunicazioni che inviamo.

Le conseguenze potrebbero essere molto spiacevoli, come ad esempio

⚡ credenziali (username e pswd) con le quali accediamo ai servizi (social media ma, soprattutto, siti bancari, server aziendali, siti istituzionali...) rubate;

⚡ distribuzione di malware e software dannosi.

Meglio dunque ascoltare gli esperti:

☂ usare una VPN;

☂ usare sempre connessioni con il lucchetto, che rendono le comunicazioni cifrate (https//);

☂ disattivare la condivisione nelle preferenze di sistema;

☂ disattivare la connessione wi-fi quando non necessaria;

☂ utilizzare software e servizi di protezione.

29/11/2022

Melius abundare?

Il principio di limitazione della conservazione dei dati è un principio importante, anche se spesso difficile da applicare e osservare scrupolosamente.

Di sicuro, però, non osservarlo o "dimenticarsene" può costare molto in termini di sanzioni.

Ce lo ricorda il Garante, con un recente provvedimento.

Se fosse giunto il momento di optare per il più fascinoso "less is more?"

Melius abundare? Nov 29, 2022 | Data Protection, Diritto Commerciale “Teniamo tutto, può sempre servire.”   Quante volte abbiamo detto o ascoltato questa frase mentre si discuteva di dati, informazioni, liste e anagrafiche, soprattutto di clienti oppure, semplicemente, di documenti?   Non sol...