FORMAZIONE E SUPPORTO AL RESPONSABILE PER LA PROTEZIONE DATI PERSONALI – DPO
Consulenza e formazione Privacy
Sarà disponibile a partire dal p.v. 28 gennaio, il libro digitale “Fatturazione Elettronica e Gdpr” edito da Wolters Kluwer e scritto dalla Dott.ssa Gloriamaria Paci in collaborazione con Luca Di Leo.
Un ebook che illustra in maniera chiara e sintetica i provvedimenti del Garante rispetto alla fatturazione elettronica attuativa dal 1 gennaio 2019.
L’ebook si può prenotare al seguente link:
https://shop.wki.it/Ipsoa/eBook/eBook_Fatturazione_Elettronica_e_Gdpr_s684922.aspx
1) Ordinanza ingiunzione nei confronti di Comune di Buccino – 7 novembre 2018
Registro dei provvedimenti
n. 479 del 7 novembre 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che l’Ufficio del Garante per la protezione dei dati personali (si seguito Garante), con la nota n. 15656 del 23 maggio 2018, ha definito il procedimento amministrativo relativo a una segnalazione, accertando che il Comune di Buccino C. Fisc.: 82003670658, con sede in Buccino (Sa), piazza Municipio n. 1, in persona del legale rappresentante pro-tempore, ha diffuso on line dati personali sul sito web istituzionale http://www.comune.buccino.sa.it mediante la pubblicazione della nota n. 3645 del 23 maggio 2016, contenente “l’elenco non residenti a Buccino – Cancellazione liste elettorali” , in assenza di un idoneo presupposto normativo in violazione dell’art. 19, comma 3 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196 – nel seguito, “Codice”). Ciò, anche tenendo conto di quanto acquisito in atti nell’ambito dell’istruttoria e formalizzato nella nota n. 15656 del 23 maggio 2018 dal Dipartimento libertà pubblica e sanità del Garante circa il fatto che “(…) la normativa statale in materia di trasparenza (d. lgs. n. 33 del 24/3/2013) non prevede l ‘obbligo di pubblicazioni dei dati personali oggetto della segnalazione (…) “;
VISTO il verbale n. 20683/103633 del 10 luglio 2018 con cui è stata contestata dall’Ufficio del Garante al Comune di Buccino, in persona del legale rappresentante pro-tempore la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 19, comma 3, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;
ESAMINATO il rapporto dell’Ufficio del Garante predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;
CONSIDERATO che la parte non risulta essersi avvalsa delle facoltà previste dall’art. 18 della legge n. 689/1981 (non presentando all’Autorità scritti difensivi né chiedendo di essere ascoltata);
RILEVATO, pertanto, che il Comune di Buccino, ha diffuso on line dati personali sul sito web istituzionale http://www.comune.buccino.sa.it mediante la pubblicazione della nota n. 3645 del 23 maggio 2018, contenente “l’elenco non residenti a Buccino – Cancellazione liste elettorali” , in assenza di un idoneo presupposto normativo in violazione dell’art. 19, comma 3 del Codice;
VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’artt. 19, comma 3, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
RITENUTO che, nel caso in esame, ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria per la violazione dell’art. 162, comma 2-bis del Codice in combinato disposto con l’art. 164-bis, comma 1, nella misura di euro 4.000,00 (quattromila);
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni; VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la della prof.ssa Licia Califano;
ORDINA
al Comune di Buccino C. Fisc.: 82003670658, con sede in Buccino (Sa), piazza Municipio n. 1, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione dell’art. 162, comma 2-bis, indicata in motivazione;
INGIUNGE
al medesimo soggetto di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 7 novembre 2018
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
2) Ordinanza ingiunzione nei confronti di Comune di Castel Maggiore – 7 novembre 2018
Registro dei provvedimenti
n. 480 del 7 novembre 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;
RILEVATO che l’Ufficio del Garante, con atto n. 17786/114844 del 12 giugno 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato il Comune di Castel Maggiore, con sede legale in Castel Maggiore (BO), via Matteotti n. 10, C.F. 00524081205, la violazione prevista dagli artt. 19, comma 3, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 4 settembre 2018, n. 101 in vigore dal 19 settembre 2018);
RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:
– il Garante ha adottato un provvedimento, n. 292 del 16 maggio 2018, nei confronti del Comune di Castel Maggiore, che qui si intende integralmente richiamato;
– nel provvedimento si rappresenta che, a seguito di una segnalazione, è stato accertato che il Comune ha pubblicato sul proprio sito web istituzionale la Determinazione del Settore Ufficio del Segretario Generale n. 1 del 18 maggio 2015, avente ad oggetto “obbligo di astensione del Responsabile del Settore Gestione del Territorio per parziale conflitto di interessi”;
– la Determinazione stabiliva, su richiesta dello stesso Responsabile pro-tempore del Settore Gestione del Territorio, l’obbligo del medesimo di astenersi dalla valutazione di una dipendente, per potenziale conflitto di interessi poiché propria consorte;
– la Determinazione, che riportava in chiaro i dati identificativi del Responsabile del settore e della dipendente oltre che informazioni sull’esistenza di un rapporto di lavoro presso l’ente e di un potenziale conflitto di interessi nell’anno 2014, era accessibile sia dall’area dedicata all’Albo Pretorio, alla sezione denominata “Accesso agli atti amministrativi”, che dall’area “Amministrazione trasparente”, alla sezione “Provvedimenti” “Determine dirigenziali”. L’atto risultava pubblicato da circa tre anni e, quindi, per un periodo superiore ai quindici giorni previsti dalla normativa di settore (art. 124, comma 1, d. lg. n. 267/2000);
– sulla scorta di quanto accertato con il richiamato provvedimento, l’Ufficio ha contestato al Comune, quale titolare del trattamento, la violazione di cui agli artt. 19 e 162, comma 2-bis, del Codice, per aver effettuato una diffusione di dati personali in assenza di un idoneo presupposto normativo ai sensi dell’art. 19, comma 3, del Codice;
RILEVATO che con il citato atto del 12 giugno 2018 è stata contestata al Comune la sopra richiamata violazione;
PRESO ATTO che il Comune non ha provveduto al pagamento in misura ridotta, come evidenziato dal rapporto redatto ai sensi dell’art. 17 della legge n. 689/1981;
LETTI gli scritti difensivi del 12 luglio 2018, nei quali si rappresenta che:
– la determina del Comune di Castel Maggiore del 18 maggio 2015 soggiace agli obblighi di pubblicazione previsti dall’art. 12 del d. lg. 33/2013, che impone la pubblicazione di qualsiasi atto adottato dall’ente pubblico, che dispone in generale sull’organizzazione, sui procedimenti, ivi comprese le misure integrative di prevenzione alla corruzione di cui all’art. 1, comma 2-bis della legge 190/2012;
– la pubblicazione di atti relativi a situazioni di conflitti di interesse rientra nel novero delle misure di prevenzione anti-corruzione e al riguardo devono evidenziarsi i contenuti del Piano nazionale anticorruzione (richiamato dalla citata legge n. 190/2012) nelle parti in cui si stabilisce che la trasparenza è uno degli assi portanti della politica anticorruzione ed è fondata su obblighi di pubblicazione previsti dalla legge ma anche su ulteriori misure di trasparenza, individuate da ciascun ente in ragione delle proprie caratteristiche funzionali;
– il piano anticorruzione adottato dall’Anac, aggiornato in base alla determinazione n. 12/2015, indica che le misure di prevenzione debbano avere un carattere organizzativo e consentano di adottare interventi volti a interessare anche singoli processi/procedimenti tesi a ridurre le condizioni operative che favoriscono la corruzione, misure che riguardano l’imparzialità oggettiva e soggettiva del funzionario;
– in questo senso, deve considerarsi che la pubblicazione della determina oggetto di contestazione risponde ad una duplice ratio con riferimento al rispetto della trasparenza intesa come accessibilità totale e partecipazione all’attività dell’ente, nonché alla prevenzione di fenomeni corruttivi nella pubblica amministrazione;
– la pubblicazione è comunque anche consentita dall’art. 7-bis del d. lg. n. 33/2013, laddove si prevede che le amministrazioni possano disporre la pubblicazione nel proprio sito istituzionale, per la durata di anni cinque, di informazioni e documenti che le stesse non hanno l’obbligo di pubblicare in base a quanto previsto dal decreto o da altre disposizioni di legge o regolamento;
– sotto questo profilo il Piano territoriale anticorruzione del Comune di Castel Maggiore prevede la pubblicazione sul proprio sito istituzionale di direttive, circolari, programmi, istruzioni e ogni atto che dispone in generale sulla organizzazione, sulle funzioni, sugli obiettivi e sui procedimenti e prevede altresì che i responsabili dei settori possano pubblicare ulteriori dati e informazioni che ritengono necessari per assicurare la migliore trasparenza sostanziale dell’azione amministrativa;
– sussistono pertanto, per la diffusione dei dati dei soggetti citati nella determina in argomento, le condizioni richieste dall’art. 19, comma 3, del Codice, ossia l’esistenza di una norma di legge (art. 12 o art. 7-bis del d. lg. n. 33/2013) che consente tale diffusione per un periodo superiore ai 15 giorni indicato nell’art. 124 del d. lg. n. 267/2000;
RITENUTO che le argomentazioni addotte dal Comune non sono idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa per le seguenti ragioni:
– sulla base della prima argomentazione difensiva, l’obbligo di pubblicazione della determina oggetto di contestazione risiederebbe nell’art. 12 del d. lg. n. 33/2013, laddove dispone che sia pubblicato “ogni atto, previsto dalla legge o comunque adottato, che dispone in generale sulla organizzazione, sulle funzioni, sugli obiettivi, sui procedimenti ovvero nei quali si determina l’interpretazione di norme giuridiche che le riguardano o si dettano disposizioni per l’applicazione di esse, ivi compresi i codici di condotta, le misure integrative di prevenzione della corruzione individuate ai sensi dell’articolo 1, comma 2-bis, della legge n. 190 del 2012, i documenti di programmazione strategico-gestionale e gli atti degli organismi indipendenti di valutazione”;
– l’art. 1, comma 2-bis, della legge n. 190/2012 chiarisce che le misure integrative di prevenzione della corruzione sono individuate nel piano nazionale anticorruzione, atto di indirizzo per tutte le amministrazioni pubbliche, adottato con cadenza triennale e aggiornamento annuale, dall’Autorità nazione anticorruzione (ANAC);
– nella ricognizione effettuata dalla difesa delle indicazioni contenute nel Piano nazionale anticorruzione e nei relativi aggiornamenti non si ravvedono riferimenti a disposizioni di legge che siano idonee a soddisfare il requisito previsto dall’art. 19, comma 3, del Codice e che, pertanto, consentano, direttamente e specificamente, la diffusione, da parte di soggetti pubblici, di dati personali di dipendenti raggiunti da un provvedimento che dispone la loro astensione dalla trattazione di determinati procedimenti;
– alla considerazione circa la liceità della predetta diffusione la difesa perviene, infatti, solo attraverso ricostruzioni interpretative di diverse disposizioni, non soltanto di rango primario, in base alle quali sarebbe consentita alle pubbliche amministrazioni, in ragione di generiche esigenze di trasparenza e prevenzione dalla corruzione, una ampia e indiscriminata possibilità di diffusione dei dati personali contenuti nella generalità degli atti dalle stesse adottate;
– al contrario, sulla base di quanto evidenziato nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, adottate dal Garante il 15 maggio 2014, la diffusione dei dati personali da parte di soggetti pubblici viene vincolata a stringenti condizioni ed “è ammessa unicamente quando la stessa è prevista da una specifica norma di legge o di regolamento […]. Pertanto, in relazione all´operazione di diffusione, occorre che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali informazioni, atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, verifichino che la normativa in materia di trasparenza preveda tale obbligo […]”. Peraltro “laddove l´amministrazione riscontri l´esistenza di un obbligo normativo che impone la pubblicazione dell´atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni. I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l´utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità […]. Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013, i soggetti chiamati a darvi attuazione non possono comunque “rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”[…];
– il tema dell’obbligo di astensione del dipendente pubblico in caso di conflitto di interessi trova specifica disciplina nell’art. 6-bis della legge n. 241/1990 (introdotto dall’art. 1, comma 41, della legge n. 190/2012) e nell’art. 7 del d.P.R. n. 62/2013 recante il “Codice di comportamento dei dipendenti pubblici”, disposizioni che nulla prevedono in ordine alla pubblicazione di eventuali determinazioni al riguardo assunte da parte delle pubbliche amministrazioni;
– tali determinazioni, peraltro, in base allo schema delineato dalle sopra richiamate norme, interverrebbero soltanto a seguito di segnalazione da parte del dipendente su cui grava l’obbligo di astensione, come risulta sia avvenuto anche nel caso in argomento, per cui, in un’ottica di puntuale e corretto adempimento delle predette norme, alcuna misura integrativa di prevenzione alla corruzione pare rendersi necessaria;
– in buona sostanza, la determina che dispone l’astensione di un dipendente pubblico rispetto alla trattazione di un determinato procedimento, sulla base della segnalazione del medesimo dipendente, non può connotarsi, di per sé, come una misura organizzativa adottata dall’amministrazione al fine di prevenire eventuali episodi corruttivi, ma come l’ordinaria definizione e presa d’atto di un processo innestato proprio su impulso del dipendente in adempimento di specifici obblighi di legge;
– nei confronti di tale atto, pertanto, non incombe alcun obbligo di pubblicazione per periodi di tempo ulteriori rispetto a quelli stabiliti dall’art. 124 del d. lg. n. 267/2000 in materia di albo pretorio on line;
– quanto al secondo profilo difensivo, concernente la facoltà dell’ente di procedere comunque alla pubblicazione della determina in argomento in base a quanto previsto dall’art. 7-bis del d. lg. n. 33/2013, deve evidenziarsi che tale norma, al comma 3, consente agli enti “la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento […] procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti”;
– la disposizione non consente margini di discrezionalità da parte dell’amministrazione che intende procedere alla pubblicazione, cosicché appare inconferente l’assunto difensivo in base al quale, nel caso della determina pubblicata dal comune di Castel Maggiore, “non sarebbe stato possibile procedere ad anonimizzare o minimizzare il trattamento dei dati personali dei due interessati” poiché “i predetti dati costituiscono l’essenza dell’informazione stessa”: tale considerazione dovrebbe essere astrattamente valida per ogni atto idoneo ad incidere sulla sfera individuale di un interessato, snaturando l’obbligo di anonimizzazione contenuto nella norma;
– per tali ragioni, deve confermarsi la responsabilità del Comune in ordine alla violazione contestata;
RILEVATO, quindi, che il Comune di Castel Maggiore, sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice (nella formulazione vigente all’epoca dei fatti), la violazione indicata nell’atto di contestazione n. 19270/121919 del 26 giugno 2018;
VISTO l’art. 162, comma 2-bis, del Codice (nella formulazione vigente all’epoca dei fatti) che punisce le violazioni delle disposizioni indicate nell’art. 167 del Codice, fra le quali figura anche l’art. 19, con la sanzione amministrativa del pagamento di una somma da euro 10.000 ad euro 120.000;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
CONSIDERATO che, nel caso in esame:
a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano connotate da profili di gravità;
b. ai fini della valutazione dell’opera svolta dall’agente, deve rilevarsi il Comune ha provveduto alla rimozione della determinazione oggetto di contestazione;
c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che il Comune non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
RITENUTO che, nel caso in esame, ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;
RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila) per la violazione di cui all’art. 162, comma 2-bis, del Codice e che, nel caso in argomento, può essere applicata la diminuente di cui all’art. 164-bis, comma 1, in ragione della lieve entità della violazione, costituita dalla pubblicazione della sola determina oggetto di contestazione;
VISTA la documentazione in atti;
VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
ORDINA
al Comune di Castel Maggiore, con sede legale in Castel Maggiore (BO), via Matteotti n. 10, C.F. 00524081205, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;
INGIUNGE
al predetto Ente di pagare la somma di euro 4.000 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 7 novembre 2018
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
Fonte:
1) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9074879
2) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9074891
Mancano ancora 450 Comuni all’appello e molti sono nel caos, eppure la nostra card è considerata una best practice internazionale. E secondo quanto risulta a CorCom entro gennaio sarà effettuata la notifica per candidarla a documento di accesso ai servizi Ue con il massimo livello di sicurezza. A dimostrazione che l’ostacolo sul cammino nazionale non è tecnologico ma di inefficienza burocratica.
La carta di identità elettronica italiana punta ad essere accreditata in qualità di sistema di identità digitale per l’accesso ai servizi a livello Ue. Dopo Spid, dunque, è l’ora della Cie. E secondo quanto risulta a CorCom la notifica per candidare il documento sulla base delle specifiche Eidas (Electronic IDentification Authentication and Signature) – ossia del regolamento europeo 910/2014 sull’identità digitale – sarà effettuata entro questo mese di gennaio.
Nonostante i lunghi tempi di attesa in molti Comuni, per ottenere il nuovo documento e nonostante la roadmap dell’installazione e delle attivazioni non sia ancora stata completata – mancano all’appello circa 450 amministrazioni su 7.956, fra cui la città di Palermo, a dispetto della circolare 7/2018 del Ministero dell’interno che fissava ad agosto 2018 la deadline per garantire il pieno funzionamento del sistema a partire dal 2019 – nonostante dunque gli ostacoli sul cammino nazionale, a livello internazionale la Cie italiana si pone come una best practice, un’eccellenza al punto da essere considerata per molti Paesi un modello a cui ispirarsi. Un vero e propro paradosso che però dimostra da un lato la bontà dello strumento e dall’altro, in non pochi casi, la malagestione delle amministrazioni italiane.
“È un peccato che la questione dei ritardi offuschi le tante caratteristiche innovative della Cie, che peraltro è fra i pochi documenti di identità in Europa ad essere già pienamente conforme alla nuova proposta di Regolamento Ue che punta a uniformare le specifiche di sicurezza nell’identificazione in tutta Europa da qui a 5 anni”, spiega a CorCom Stefano Imperatori, Direttore Sviluppo Soluzioni Integrate del Poligrafico e Zecca dello Stato, che insieme con il Ministero dell’interno, Ministero degli affari esteri e della cooperazione internazionale, Ministero dell’economica e delle finanze, Funzione pubblica, Anci, Agid e Team Digitale è coinvolto nella partita Cie e non solo nel ruolo di “stampatore” delle card visto che al Poligrafico fanno capo anche le attività di dispiegamento delle postazioni presso i Comuni, di realizzazione del sistema di emissione del documento e di formazione del personale.
Tornando alla proposta europea tanto per fare un esempio la Cie tedesca – la Germania è fra i Paesi pionieri sul fronte dell’adozione dell’identità digitale – non sarebbe pienamente conforme ai nuovi dettami Ue. Non solo: la Cie italiana è già predisposta per l’attivazione di una serie di servizi “in tempi rapidissimi a costi estremamente contenuti”, continua Imperatori. “Basti pensare che la Cie può diventare il documento di accesso ai tornelli per l’identificazione del personale, ma anche strumento di accesso ai varchi delle metropolitane o degli stadi, solo per fare qualche esempio. Tutte funzioni che fanno della Cie molto più che un mero documento di riconoscimento. La Cie, inoltre, è importante sottolinearlo, può essere utilizzata alla stregua del passaporto per l’accesso ai varchi di riconoscimento elettronici negli aeroporti dell’area Schengen nonché di quelli dei Paesi oggetto di accordi bilaterali. E come strumento di identità digitale di massimo livello di sicurezza costituisce lo strumento più sicuro per l’accesso ai servizi della PA e dei privati anche in mobilità”, puntualizza Imperatori.
Che il 2019 sarà un anno chiave per passare dai piccoli numeri ai grandi numeri è fuori dubbio: “Il 2019 da sempre è stato identificato come l’anno spartiacque, con tutti i Comuni operativi e un aumento dell’erogazione delle nuove carte – continua Imperatori -. E peraltro abbattere le lungaggini è fondamentale per arrivare puntuali all’appuntamento dei 5 anni fissato dalla Commissione Ue, quando tutti i documenti in circolazione dovranno essere elettronici”. E 5 anni non sono affatto molti se si considera che al momento sono circa 7 milioni le Cie attive e che bisognerà arrivare ad un volume di circa 60 milioni. “A ottobre 2017 le carte erogate erano circa 1 milione, in un anno si sono sestuplicati i numeri a dimostrazione che il sistema è più che rodato. Il tasso di emissione giornaliera si attesta attorno alle 32mila card, insomma possiamo dirci a regime”, evidenzia Imperatori.
I Comuni, in particolare quelli di grandi dimensioni, dovranno però abbattere il più possibile le liste d’attesa. Roma in pole position dove si registrano le maggiori lungaggini pur se la situazione appare migliorata negli ultimi mesi. Stando ai dati resi noti dall’amministrazione comunale i tempi di attesa sarebbero diminuiti in media del 50%; da 114 giorni di luglio 2018 si è passati a 58 giorni al 30 novembre, con un incremento della produttività media giornaliera di carte d’identità elettroniche per postazione pari a + 35% rispetto al mese di settembre.
“Si tratta chiaramente di un risultato intermedio all’interno di un piano di azione organico che necessita di una prospettiva temporale più ampia per poter essere portato a compimento ma al quale l’Amministrazione è costantemente al lavoro con l’obiettivo di mitigare le criticità esistenti”, ha sottolineato l’assessora all’Innovazione del Comune di Roma Flavia Marzano al momento della presentazione dei dati. Nei primi mesi del 2019 – questo il Piano del Comune – si punta ad aumentare a 145 (dalle attuali 125) le postazioni per il rilascio della carta nonché ad aumentare del 30% i dipendenti addetti al rilascio assegnati alle strutture. Previsto anche l’obbligo di almeno 5 postazioni esclusivamente dedicate alla carta d’identità elettronica per ciascun Municipio nonché l’apertura pomeridiana degli sportelli nelle giornate di martedì e giovedì.
Fonte:
Carta di identità elettronica: Italia verso il “bollino” europeo, fra i primi Paesi Ue
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Andrea Ballocchi, “wisesociety.it”, 18 dicembre 2018)
I dati sono l’oro del mondo moderno. Se ne generano miliardi, i cosiddetti Big Data, autentiche miniere da cui ricavare informazioni da trasformare in servizi. È nata così l’economia digitale, «la principale forma economica oggi», afferma Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali. “L’economia digitale è la cornice entro cui si sviluppano tutte le attività dell’umanità intera. Il digitale, quindi, è una dimensione della vita, assolutamente reale per quanto immateriale sia nella quale tutti noi ci troviamo, per comunicare nelle diverse forme”. Pensiamo ai 42 miliardi di messaggi su Whatsapp, ai 150 miliardi di email, ai 66 miliardi di foto su Instagram inviati ogni giorno nel mondo. Tutti dati personali, sensibili, di cui in Rete resta tutto, con tutti i pro e i contro.
Da qui la necessità di porre attenzione alle “Persone in rete”, titolo quanto mai azzeccato del libro di Antonello Soro, presidente dell’Autorità garante della protezione dei dati personali. Infatti, c’è una componente fisica nel mondo virtuale che contribuiamo a creare anche noi con le nostre storie. Ma spesso senza rendercene conto, dando in pasto alle grandi piattaforme digitali la nostra vita. Ecco perché, scrive Soro, occorre impostare un’etica per l’algoritmo.
Presidente Soro, quanto sono importanti oggi i dati?
Sono i protagonisti della rivoluzione digitale, ma sconosciuti dai legittimi possessori. Tendiamo, infatti, a immaginarli come una pura sequenza di numeri che attraverso oscuri canali vengono trattati da alcuni esperti. Ma i dati sono la proiezione digitale della nostra stessa vita. Ogni volta che facciamo un “click” consegniamo a questa dimensione e ai soggetti che li raccoglieranno una tessera della nostra esistenza che, confluendo nei server, verranno ricomposti per formare il mosaico dell’identità. Questo avverrà sempre di più per tutta una serie di dati che hanno a che fare con la materialità della nostra persona. Per esempio, se noi affidiamo al fascicolo sanitario elettronico i dati relativi alla nostra salute c’è un luogo dedicato alla loro conservazione e alla pronta reperibilità per il medico che se ne servirà per prestare le necessarie cure. Sono informazioni vitali, la cui manipolazione però potrebbe avere effetti devastanti per noi. Ecco perché la protezione dei dati è un presupposto fondamentale per la nostra sicurezza anche fisica.
Nel suo libro si evidenzia la necessità di un’etica per l’algoritmo. Come si riesce a delinearla in un mondo finora spesso anarchico?
Attraverso due vie: la prima passa dalla consapevolezza dell’utente. Deve sapere che l’algoritmo non è neutro, ma è un programma informatico ideato da un uomo con tutti i suoi pregiudizi ed esperienze pregresse e come tale può essere un prodotto capace di avere effetti importanti una volta utilizzato. Per questo non si deve delegare alla macchina in modo ideologico e generalizzato. L’altra via passa dall’attuazione delle regole. In questa direzione va il GDPR, regolamento europeo per la protezione dei dati personali. Un provvedimento di grande importanza in quanto ha stabilito per la prima volta che nessuna decisione esclusivamente automatizzata può essere adottata senza che l’interessato possa contestarla.
Consapevolezza e regolamentazione possono costituire le basi per restituire un ruolo alla persona e in questo sta una nuova etica: non pensare che la delega all’algoritmo, alla macchina, all’innovazione sostituisca la responsabilità che sta in capo alla persona, a chi fa uso delle tecnologie, che non deve essere usato.
In questa rivoluzione digitale che ha prodotto un’economia, c’è bisogno di sostenibilità, in termini di tutela della libertà della persona?
Certo. Nella società digitale dobbiamo introdurre una regolazione che sia all’altezza della storia del diritto così come l’abbiamo maturato nei secoli nella dimensione fisica. Dobbiamo accrescere la tutela dei diritti, sapendo che la protezione del dato riguarda la tutela della persona, ma anche una tutela della nuova economia e dell’organizzazione sociale, in assenza della quale si rischia di vivere in un mondo oscuro dove la vita dell’uomo è destinata a peggiorare.
Come si rende consapevole il cittadino in tutto questo?
Con un’educazione altrettanto digitale.
Fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068705
Niente banca dati delle fatture dell’Agenzia delle entrate, memorizzati solo i dati fiscali necessari per i controlli automatizzati, no alla fatturazione elettronica per le prestazioni sanitarie. L’Agenzia potrà archiviare le fatture solo su richiesta dei contribuenti che avranno necessità di consultarle.
Con un articolato provvedimento, il Garante per la protezione dei dati personali – preso atto delle modifiche apportate all’impianto originario della fatturazione elettronica e delle ulteriori rassicurazioni fornite dall’Agenzia delle entrate – ha individuato i presupposti e le condizioni perché la stessa Agenzia possa avviare dal 1 gennaio 2019 i trattamenti di dati connessi al nuovo obbligo.
Nelle settimane scorse era stato costituito un tavolo di lavoro tecnico, con l’Agenzia delle entrate e il Mef, per esaminare congiuntamente le criticità rilevate dal Garante e che ha visto coinvolti anche l’Agid, il Consiglio nazionale dei dottori commercialisti e degli esperti contabili, il Consiglio nazionale dell’ordine dei consulenti del lavoro e l’associazione dei produttori di software gestionale e fiscale (AssoSoftware).
La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, infatti, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio (SDI), avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche (2,1 miliardi nel 2017) che contengono di per sé informazioni di dettaglio, anche non rilevanti a fini fiscali, sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).
Il nuovo sistema di e-fattura prevede invece che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es., incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.
I soggetti che erogano prestazioni sanitarie non dovranno emettere fattura elettronica.
Per quanto riguarda il rischio di usi impropri dei dati, il Garante, con l’istituto dell’avvertimento, ha messo in guardia tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.
Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione.
Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sula protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.
Roma, 20 dicembre 2018
Fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069057
L’accordo sulla Privacy Shield UE-USA è stata adottata il 12 luglio 2016 e diventata operativa il 1 ° agosto 2016. Tale patto protegge i diritti fondamentali di chiunque nell’UE i cui dati personali sono trasferiti negli Stati Uniti a fini commerciali. Il quadro apporta inoltre chiarezza giuridica alle aziende che fanno affidamento sui trasferimenti
Il nuovo accordo include:
– forti obblighi di protezione dei dati per le società che ricevono dati personali dall’UE
– garanzie sull’accesso ai dati da parte del governo degli Stati Uniti
– protezione e risarcimento efficaci per le persone
– una revisione congiunta annuale da parte di UE e USA per monitorare la corretta applicazione dell’accordo.
Fonte:
Laureato alla Sorbona, è riuscito a rubare 800 mila euro. Ogni anno 14 milioni di truffe informatiche alle aziende nella sola Emilia-Romagna
BOLOGNA – Una mail molto circostanziata, quindi assai credibile. Alla quale i manager di Toyota Italia, che ha sede a Bologna, hanno risposto con sollecitudine, provvedendo al pagamento di 249 mila euro, come prima tranche per un’operazione dal valore complessivo di un milioni di euro. La cattiva notizia è che si trattava di una truffa informatica, quella buona che gli stessi manager si sono accorti subito dell’inganno e con l’aiuto della polizia postale sono riusciti a bloccare l’invio di denaro. Di tentate frodi ai danni delle aziende, comprese quelle più strutturate, se ne registrano ogni giorno, anche in Emilia-Romagna e a Bologna. La polizia postale, nella sua attività di contrasto ai crimini informatici, sotto le due torri ha arrestato un ‘pirata’ del web che era riuscito a rubare ben 800 mila euro: sul tablet di questo bandito 4.0, laureato alla Sorbona, hanno scovato report su 900 società italiane, con i recapiti, gli account e dati di spesa di 6.500 tra presidenti e manager.
Eppure, quello dei reati informatici è “un fenomeno ancora molto sottovalutato dalle imprese”, avverte il presidente di Confindustria Emilia, Alberto Vacchi, che oggi ha sottoscritto a nome dell’associazione un protocollo d’intesa con la polizia postale per la difesa del sistema delle imprese dagli attacchi telematici. La polizia delle telecomunicazioni tra il 2017 e il 2018 a Bologna ha registrato frodi informatiche per 14 milioni di euro ed è riuscita a recuperare circa 8,5 milioni di euro, comprese somme già trasferite su conti esteri. Non solo. Come ha spiegato Geo Ceccaroli, dirigente del compartimento di polizia postale dell’Emilia-Romagna, a fronte delle truffe scoperte sono stati avviati 88 procedimenti, con 25 denunce e un arresto (quello pirata con laurea nel prestigioso ateneo parigino).
Il nuovo contesto tecnologico “mette le Imprese di fronte a problemi che non avevano mai affrontato. Il protocollo è importante per dare supporto alle imprese, ma anche per far toccare con mano il fenomeno, divenuto un problema da affrontare un maniera strutturale”, avverte Vacchi. “Dopo 20 anni continuiamo a perdere. Continuiamo a investire in sicurezza, ma i crimini informatici aumentano. Bisogna cambiare approccio”, suggerisce Michele Colajanni dell’Università di Modena e Reggio.
Innanzittutto, le aziende devono trovare il coraggio di denunciare. “Abbiamo sventato una frode che aveva superato le attività controllo”, conferma Giorgio Polonio, manager di Toyota Italia. “Bisogna avere il coraggio di denunciare”, sprona Roberto Sgalla, direttore centrale della polizia stradale, ferroviaria, delle comunicazioni e per i reparti speciali.
Fonte:
Pochi lo avevano notato, ma l’art. 65, comma 7 del Decreto legislativo 217/2017, che ha apportato le ultime modifiche al Codice dell’amministrazione digitale, ha previsto l’abrogazione dell’art. 48 dello stesso codice a partire dal 1 gennaio 2019. Tale articolo prevede l’utilizzo della posta elettronica certificata come strumento per tutte le comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna. All’approssimarsi di tale data, e in mancanza di altre norme che andassero a colmare una lacuna così grande, il Consiglio dei Ministri del 12 dicembre ha emanato un decreto legge, il n. 135, pubblicato in gazzetta ufficiale il 14 dicembre scorso, che prevede l’emanazione di un DPCM che garantisca la conformità dei servizi di posta elettronica certificata al regolamento eIDAS. Solo dopo l’entrata in vigore di tale decreto l’articolo 48 del CAD verrà abrogato.
https://www.linkedin.com/feed/update/urn:li:activity:6480826027420585984
La formazione ristretta del CNIL ha dichiarato una sanzione di 400.000 € nei confronti della società UBER per non aver sufficientemente protetto i dati degli utenti del suo servizio di VTC.
Nel novembre 2017, la società UBER ha rivelato sulla stampa che un anno fa, due persone avevano rubato i dati personali di 57 milioni di utenti dei suoi servizi. A seguito di questa rivelazione, il G29 (Gruppo di CNIL europei) ha creato un gruppo di lavoro per coordinare le procedure di indagine delle diverse autorità di protezione dei dati. L’indagine ha evidenziato le diverse fasi dell’attacco. Gli autori degli attacchi sono riusciti ad accedere agli identificatori archiviati in chiaro sulla piattaforma di sviluppo collaborativo “Github”. Hanno quindi utilizzato queste credenziali per accedere da remoto a un server su cui sono archiviati i dati. Hanno scaricato informazioni su 57 milioni di utenti, inclusi 1,4 milioni di utenti in Francia.
La formazione limitata del CNIL ha stimato che questo attacco non avrebbe avuto successo se fossero state messe in atto alcune misure di sicurezza di base. In particolare, ha sottolineato che: l’azienda avrebbe dovuto aspettarsi che i suoi ingegneri si connettessero alla piattaforma di sviluppo collaborativo “Github” attraverso una forte misura di autenticazione (ad esempio, un identificatore e una password e un codice segreto inviato ad un telefono); non avrebbe dovuto essere memorizzato in modo non criptato all’interno del codice sorgente degli identificatori “GitHub” della piattaforma per accedere al server; per l’accesso ai server “Amazon Web Services S3” contenenti dati utente, dovrebbe aver impostato un sistema per filtrare gli indirizzi IP.
In queste circostanze, la formazione ristretta ha ritenuto che la società avesse fallito nel suo obbligo di sicurezza dei dati personali. Ha condannato Uber France SAS, uno stabilimento di Uber Technologies Inc. e Uber B.V, a una multa di 400.000 € . Data la data dei fatti, il GDPR non era ancora applicabile. Dato il gran numero di persone interessate e la necessità di sensibilizzare gli operatori, la formazione ristretta ha anche deciso di rendere pubblica questa decisione.
Altre autorità europee hanno imposto sanzioni in relazione a questi fatti. Il 6 novembre 2018, l’autorità olandese per la protezione dei dati ha inflitto una multa ad UBER di 600.000 € per mancata notifica della violazione dei dati. Il 26 novembre, l’autorità britannica ha imposto una sanzione di 385.000 sterline per non aver protetto i dati.
Una multa di 4 mila euro a un’azienda austriaca che usava male il sistema di videosorveglianza; una da 20 mila a un’azienda tedesca per la mancata cifratura delle password degli utenti e una da 400 mila a una struttura ospedaliera portoghese per problemi di accesso al dato. Che insegnano le prime sanzioni GDPR.
In attesa di conoscere quale sarà la sanzione che il Garante europeo comminerà alla catena alberghiera Marriot per il recentissimo caso di data breach che riguarda i dati personali di ben 327 milioni di persone, sono arrivate inesorabili le prime sanzioni in Europa ad alcune aziende, private e pubbliche, che non hanno ottemperato alle disposizioni del GDPR, entrato in vigore ormai da sei mesi.
Partendo dalla “meno costosa”, nel mese di ottobre il Garante austriaco Datenschutzbehörden, ha erogato, a seguito di una ispezione, una sanzione di 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in malo modo, puntandolo in parte sul marciapiede esterno al perimetro aziendale riprendendo in modo eccessivo, senza alcuna giustificata motivazione e senza informare con apposita cartellonistica i passanti.
Anche la prima sanzione ad oggetto data breach è stata erogata a novembre dal Garante tedesco Der Landesbeauftragte für Datenschutz und Informationsfreiheit ad una azienda tedesca che, dopo aver dichiarato l’avvenuto data breach riguardante ben 330 mila credenziali di caselle di posta elettronica di cittadini tedeschi, è stata multata con una sanzione di 20 mila euro. In questo caso l’attaccante, oltre ad aver sottratto le credenziali utente comprensive di password, le ha anche divulgate in chiaro sulla rete Internet mettendole a disposizione di chiunque; proprio per questo motivo l’autorità tedesca ha sanzionato l’azienda non tanto per l’avvenuta violazione dei sistemi informatici, ma per il fatto che le password delle caselle di posta elettronica venivano salvate in chiaro all’interno della base dati senza l’utilizzo di opportuni sistemi di cifratura.
In Portogallo la comissão nacional de proteccao de dados ha erogato a una struttura ospedaliera nazionale la sanzione più alta di cui ad oggi abbiamo notizia, ben 400 mila euro. La multa è stata data a seguito di un controllo ispettivo che ha permesso di accertare che sui sistemi informativi della struttura ospedaliera vi erano seri problemi di politiche di accesso al dato, evidenziato come, psicologi, infermieri e medici di qualsiasi reparto potevano, non soltanto accedere, ma anche modificare con estrema facilità (e in totale assenza del principio di necessità) i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti che sono stati ospiti del complesso ospedaliero; sempre durante l’ispezione gli auditor hanno evidenziato una inadeguata politica di accesso al dato, evidenziando come il problema non è tanto sulla configurazione del sistema informativo ma soprattutto sulla inadeguatezza della policy di accesso al dato scelta e divulgata a tutti gli operatori della struttura ospedaliera.
Quali sono gli spunti di riflessione che le aziende italiane devono trarre da questi episodi? Sicuramente che le tante attese sanzioni sono arrivate e che per adesso sono state inesorabili; basti pensare all’episodio austriaco, una problematica quella della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, probabilmente per mancanza di tempo o per la poca attenzione alla tematica della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo (tutt’oggi) l’esposizione dei cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza in funzione.
La sanzione data all’azienda tedesca ci fa capire come le autorità garanti per la protezione dei dati non erogheranno sanzioni per la sola avvenuta violazione ai sistemi che custodiscono e trattano dati personali, se non nel momento in cui, a fronte di un accertamento, si evidenziassero gravi problematiche di cyber security, come per l’appunto, il madornale errore di conservale la password di un account in chiaro all’interno delle memorie informatiche aziendali, senza alcun ausilio di ormai consolidati sistemi di cifratura. Una riflessione in più va fatta in considerazione alla cattiva abitudine delle aziende italiane che adottano una politica per la gestione del data breach (o dell’incidente informatico) troppo generalista che non tiene in considerazione il fatto che nella maggior parte dei casi l’azienda ha una politica per la gestione dell’incidente informatico ma non ha un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach.
Non per ultimo il caso portoghese ci deve far riflettere su quale possa essere l’attuale stato dei sistemi informativi delle aziende sanitarie, private e pubbliche, del nostro territorio. Nel nostro territorio esistono regioni e strutture virtuose che sono al passo con i tempi e con le norme, ma per esperienza personale dello scrivente, la situazione in molti altri casi è la medesima dell’azienda ospedaliera portoghese, con addirittura alcune realtà che tutt’oggi, da nord a sud, sperano di non ricevere mai alcuna ispezione del Garante nemmeno nel 2019, perché lo stato dell’arte della revisione delle politiche di accesso al dato e dell’attuazione di queste politiche all’interno del sistema informativo aziendale è ancora in una fase embrionale, tra sistemi e software obsoleti non aggiornabili, Data Protection Officer condiviso su più aziende che non riesce a star dietro alle esigenze di una singola azienda ospedaliera, personalizzazioni di software necessarie per l’interoperabilità del dato che generano modalità lasche di accesso al dato stesso, e chi più ne ha più ne metta.
Non ci sono più scuse, e i fatti appena accaduti testimoniano un impegno dei Garanti degli Stati membri nel mantenere la guardia sempre alta, a tutela dei dati dei cittadini. Le aziende italiane sono avvisate, ancora una volta, grazie alle disavventure di altri. Colgano tutti l’occasione per imparare dagli errori e impegnarsi nell’ottemperanza della norma, sia dal punto di vista delle politiche e dei regolamenti aziendali, sia dal punto di vista implementativo e tecnologico.
Fonte:
