Data breach: il Garante della Privacy sanziona l’Ordine degli psicologi della Lombardia
0
ing. E. Malizia
Data breach: il Garante della Privacy sanziona l’Ordine degli psicologi della Lombardia

Il Garante privacy ha sanzionato per 30mila euro l’Ordine degli Psicologi della Regione Lombardia per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.

Il Garante è intervenuto a seguito di alcuni reclami e della notifica di data breach effettuata dall’Ordine, che ha dichiarato di essere stato colpito da un sofisticato attacco ransomware messo in atto da un gruppo di cybercriminali. La violazione ha comportato l’accesso abusivo alla rete informatica dell’Ordine, la cifratura e l’esfiltrazione di numerosi documenti contenenti, in particolare, dati personali degli iscritti all’Albo sottoposti a procedimenti disciplinari e di diversi pazienti, tra cui minori, e altre persone a vario titolo coinvolte.

L’attacco ha riguardato anche dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati. Pertanto, gli interessati sono stati esposti a rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del mancato pagamento del riscatto, i cybercriminali hanno pubblicato sul dark web i dati esfiltrati. Non sono state invece compromesse la disponibilità e l’integrità dei dati personali, che sono stati recuperati grazie alle procedure e ai sistemi di backup.

Dall’istruttoria del Garante è emerso che l’Ordine non aveva adottato misure adeguate a rilevare tempestivamente le violazioni dei dati personali e a garantire la sicurezza dei sistemi di trattamento. La sanzione è stata comminata tenuto conto della gravità e della natura particolarmente delicata dei dati coinvolti.

È stata tuttavia riconosciuta la collaborazione dell’Ordine, che ha comunicato di aver adottato ulteriori misure di sicurezza per prevenire futuri attacchi e migliorare la protezione dei dati personali trattati.

FONTE: garante privacy

Ordini professionali e privacy: il Consigliere non può essere nominato DPO
0
ing. E. Malizia
Ordini professionali e privacy: il Consigliere non può essere nominato DPO

Con provvedimento del 22 febbraio u.s. il Garante Privacy, a seguito di istruttoria conseguente ad un reclamo, oltre a sanzionare un ordine delle professioni sanitarie per violazione della normativa di privacy connessa ad un trattamento illecito, ha fornito un’importante e chiara indicazione a proposito dell’obbligo degli ordini e collegi professionali di nominare un proprio RPD/DPO e di pubblicarne i dati di contatto sul proprio sito istituzionale e ha, inoltre, indicato che la figura del RTD/DPO va individuata in maniera tale da prevenire rischi di conflitto di interesse e consentire lo svolgimento del proprio incarico in maniera appropriata.

ALLEGATI:

https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10006478

Data Breach: il Garante lancia un nuovo servizio online
0
ing. E. Malizia
Data Breach: il Garante lancia un nuovo servizio online

E’ operativo da oggi il nuovo servizio del Garante (https://servizi.gpdp.it/databreach/s/) per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Da qui gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato. Informazioni e approfondimenti in tema di data breach sono disponibili anche alla pagina https://www.gpdp.it/regolamentoue/databreach.

Cosa sono i cookie e perché riguardano la privacy?
0
ing. E. Malizia
Cosa sono i cookie e perché riguardano la privacy?

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi usati per la consultazione (computer, smartphone, tablet, smart TV, ecc.) per essere memorizzati e poi ritrasmessi agli stessi siti in occasione della visita successiva.

Lo scorso giugno il Garante ha approvato nuove Linee guida
in materia di Cookie e altri strumenti di tracciamento tenendo conto:
1) del quadro giuridico di riferimento, soprattutto a seguito dell’introduzione del Regolamento 2016/679 (GDPR);
2) della rapida e continua innovazione tecnica e tecnologica delle reti e degli strumenti;
3) dell’evoluzione del comportamento degli utenti, che utilizzano sempre più spesso servizi (web, social media, app, ecc.) e strumenti plurimi (computer, tablet, smartphone, smart TV, ecc.), con il conseguente moltiplicarsi delle possibilità di raccolta e incrocio dei dati ad essi riferiti.

I cookie semplificano e velocizzano gli accessi ai siti web da parte degli utenti, in quanto memorizzano alcune informazioni relative agli stessi che non debbono più essere reperite ed elaborate dai dispositivi dopo il primo accesso. I cookie inoltre semplificano la fruizione di alcuni servizi web: infatti, possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.
DI SEGUITO LINK VIDEO DEL GARANTE:  Cookie e privacy: le novità per gli utenti – YouTube

Privacy e condominio
0
ing. E. Malizia
Privacy e condominio

“L’amministratore di condominio deve garantire la tutela della protezione dei dati personali dei condomini con riferimento ai pagamenti delle spese condominiali, di cui abbia conoscenza in ragione del suo mandato professionale. Se non rispetta tale obbligo, comunicando a soggetti terzi lo stato di morosità altrui, commette il reato di diffamazione. La decisione de qua risulta in linea con la normativa vigente in tema di protezione dei dati personali e con il Vademecum “Il Condominio e la Privacy” pubblicato dal Garante Privacy poco prima dell’entrata in vigore del Regolamento europeo in tema di protezione dei dati personali (GDPR).

La predetta normativa prevede che l’Amministratore di un condominio, non deve esporre avvisi di mora o sollecitazioni al pagamento negli spazi condominiali accessibili a terzi (ad esempio all’ingresso del palazzo), bensì è obbligato (in base alla legge n. 220/2012 che ha modificato il capo del Codice Civile relativo al condominio negli edifici) a comunicare solamente ai creditori non ancora soddisfatti, che ne facciano richiesta, i dati dei condomini morosi.”

Cassazione civile sez. III, 05/09/2019, n.22184

 

 

Provvedimenti del GARANTE
0
ing. E. Malizia
Provvedimenti del GARANTE

Multato un comune, di seguito link provvedimento del GARANTE:

Ordinanza ingiunzione – 15 gennaio 2020

 

Invio di una comunicazione mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari (16), i cui indirizzi sono stati inseriti nel campo copia conoscenza (c/c), ha, di fatto, senza giustificato motivo e in assenza di qualsivoglia presupposto normativo, rivelato reciprocamente, alle famiglie coinvolte, lo stato di inadempimento dei minori rispetto agli obblighi vaccinali;

di seguito link provvedimento del GARANTE:

Provvedimento del 9 gennaio 2020

GDPR E SANITÀ Privacy dei referti online: tutte le misure per la sicurezza
0
ing. E. Malizia
GDPR E SANITÀ Privacy dei referti online: tutte le misure per la sicurezza

L’offerta da parte delle strutture sanitarie all’accesso ai referti relativi ad esami clinici e strumentali via web o tramite posta elettronica necessita di una serie di misure di sicurezza indicate dal Gdpr e dal d.lgs. 101/2018. Vediamo quali sono:

Definizione di “referto online” e disciplina applicabile

Tra le principali e più diffuse iniziative derivanti da tale processo vi è sicuramente quella relativa ai cosiddetti “referti online”, ovvero alla possibilità di accesso semplificato dell’utente ai referti relativi ad esami clinici e strumentali, al fine di rendere più rapidamente conoscibili all’interessato gli esiti degli accertamenti cui si è sottoposto.

Le “Linee guida in tema di referti on-line” del 25 giugno 2009”, definiscono, più precisamente, il “referto online” come la possibilità di “accesso alla relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale, con modalità informatica”.

Tale accesso, da parte del soggetto interessato, può avvenire in due distinte modalità:

  • la consultazione e il download dal sito web della struttura del referto o del reperto (inteso come il risultato dell’esame clinico o strumentale effettuato, come ad es. un’immagine radiografica, un’ecografia o un valore ematico), da parte dell’utente.
  • la ricezione del referto presso la casella di posta dell’interessato;

Le succitate Linee guida prevedono inoltre che:

  • l’adesione al servizio di invio dei referti online, per entrambe le modalità indicate, deve essere facoltativa, ovvero all’interessato deve essere comunque riconosciuta la possibilità di scegliere di ritirare il referto in formato cartaceo;
  • l’interessato può indicare un medico (es. il proprio medico curante) al quale consegnare il referto in modalità digitale;
  • l’interessato, qualora il servizio fosse previsto, può chiedere di essere avvisato della disponibilità del referto tramite sms; in questo caso, il messaggio deve contenere la sola notizia della disponibilità del referto e non anche il dettaglio della tipologia o dell’esito dell’esame clinico o strumentale;
  • non possono essere trasmessi in modalità digitale i referti relativi ad accertamenti riferibili ad indagini genetiche o all’HIV.

Le Linee guida del Garante in tema di referti on-line individuano una serie di misure, in relazione alle specifiche modalità di consegna, atte a garantire la sicurezza dello specifico trattamento:

Consultazione on-line dei referti tramite servizi Web accessibili da Internet

Nel caso in cui il servizio che si intenda offrire consti nella possibilità per l´interessato di collegarsi al sito Internet della struttura sanitaria che ha eseguito l´esame clinico, al fine di effettuare la copia locale (download) o la visualizzazione interattiva del referto, dovrebbero essere adottate delle specifiche cautele quali:

  • protocolli di comunicazione sicuri, basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell’identità dei sistemi che erogano il servizio in rete (protocolli https ssl – Secure Socket Layer);
  • tecniche idonee ad evitare la possibile acquisizione delle informazioni contenute nel file elettronico nel caso di sua memorizzazione intermedia in sistemi di caching, locali o centralizzati, a seguito della sua consultazione on-line;
  • l’utilizzo di idonei sistemi di autenticazione dell’interessato attraverso ordinarie credenziali o, preferibilmente, tramite procedure di strong authentication;
  • disponibilità limitata nel tempo del referto on-line (massimo 30 gg.);
  • possibilità da parte dellutente di sottrarre alla visibilità in modalità on-line o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Spedizione del referto tramite posta elettronica

Qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell´interessato, a seguito di sua richiesta, per il referto prodotto in formato digitale dovranno essere osservate le seguenti cautele:

  • spedizione del referto in forma di allegato a un messaggio e-mail e non come testo compreso nella body part del messaggio;
  • il file contenente il referto dovrà essere protetto con modalità idonee a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati, che potranno consistere in una password per l´apertura del file o in una chiave crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti (Cfr. regola 24 del Disciplinare tecnico allegato B) al Codice). Tale cautela può non essere osservata qualora l´interessato ne faccia espressa e consapevole richiesta, in quanto l’invio del referto alla casella di posta elettronica indicata dall’interessato non configura un trasferimento di dati sanitari tra diversi titolari del trattamento, bensì una comunicazione di dati tra la struttura sanitaria e l’interessato effettuata su specifica richiesta di quest’ultimo;
  • convalida degli indirizzi e-mail tramite apposita procedura di verifica online, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dallutente richiedente il servizio.

In ogni caso, per il trattamento dei dati nell’ambito dell’erogazione del servizio online agli utenti dovrà essere garantita la disponibilità di:

  • idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strong authentication con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l´identità genetica di un individuo;
  • separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili.

Il titolare del trattamento dovrebbe, inoltre, prevedere apposite procedure che rendano immediatamente non disponibili per la consultazione online o interrompano la procedura di spedizione per posta elettronica dei referti relativi a un interessato che abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione all’accesso al sistema di consultazione on-line o altre condizioni di possibile rischio per la riservatezza dei propri dati personali.

In ogni caso dovrebbero essere adottate tutte le misure di sicurezza necessarie per rispettare il divieto di diffusione dei dati sanitari.

E’ fondamentale considerare che le cautele elencate dal Provvedimento, precedente all’entrata in vigore del Regolamento europeo, sono da considerarsi “minime”: il principio di accountability impone, invece, al titolare del trattamento, “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”, di mettere in atto misure tecniche ed organizzative adeguate. E’ pertanto necessario che il titolare individui, in relazione alle specificità del servizio offerto e sulla base di una puntuale valutazione del rischio, le misure di sicurezza più idonee a garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati.

 

 

STUDIOMalizia.it
Powered by  GDPR Cookie Compliance
Panoramica privacy

Informativa privacy