giovedì 25 luglio 2019

Garante e prescrizioni per i trattamenti dei dati "particolari"

Il Garante ha pubblicato il "Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510]":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9124510.

Riassumendo: si tratta degli obblighi per il trattamento di particolari categorie di dati personali (ex "dati personali sensibili") nei rapporti di lavoro e per scopi di ricerca scientifica e nel caso degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose.

Sostituisce le precedenti autorizzazioni generali, oggi non più previste dal GDPR. Alcune di queste sono state riprese dall'attuale provvedimento, altre no.

Infine l'autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici non è "rinnovata" (anche se, a mio parere, qualche chiarimento sarebbe stato necessario, visto gli orrori che vedo in giro).

venerdì 19 luglio 2019

Sanzioni GDPR (Google, Facebook, Marriott e BA) e riflessioni

In questi tempi si moltiplicano le notizie sulle sanzioni milionarie a seguito di violazioni di dati personali.

Google è stata multata per mancanza di trasparenza:
- https://www.bbc.com/news/technology-46944696;
- https://www.agendadigitale.eu/sicurezza/google-e-facebook-con-la-privacy-non-si-scherza-piu-le-prime-avvisaglie-in-europa-e-usa.

E infine Facebook per diverse violazioni:
https://arstechnica.com/tech-policy/2019/07/facebooks-ftc-fine-will-be-5-billion-or-one-months-worth-of-revenue/.

Non ne ho parlato perché in definitiva non aggiungono niente di nuovo sulle "cose da fare".

Mi hanno invece incuriosito molto le vicende della Marriott e della British Airways, ambedue sottoposte a multe miliardarie dall'ICO, ossia il Garante UK.

Un articolo sulla multa alla catena di hotel Marriott:
- http://www.ictbusiness.it/cont/news/nuova-vittima-del-gdpr-maxi-multa-anche-per-marriott-international/43277/1.html.

L'annuncio dell'EDPB sulla multa alla Marriott:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-marriott-international-inc-more-ps99-million_en.

Su questa c'è anche un articolo più tecnico sull'attacco alla Marriott:
- https://www.zdnet.com/article/marriott-ceo-shares-post-mortem-on-last-years-hack/.

Mi pare che quelli della Marriott abbiano dimostrato molta attenzione sulla vicenda e che siano stati loro stessi a renderla pubblica. In altre parole, non mi pare che la multa sia giustificata.

Anzi: quelli della Marriott usavano una tecnologia (IBM Guardium) dedicata a lanciare allarmi relativi a "strane" query sui database. IBM sarà contenta della pubblicità gratuita, ma mi pare interessante sapere che esistono queste tecnologie (temo però che al momento siano molto costose e difficili da mantenere).

Dall'altra parte, l'ICO non si è preoccupata di rilevare gli investimenti fatti da Marriott e il livello di prevenzione adottato, ma, più o meno, ha detto: "poiché avete avuto un incidente, vuol dire che avete sbagliato e quindi dovete pagare". Non mi pare sia questo lo spirito del GDPR. Mi pare piuttosto sia di verificare se l'azienda ha fatto quanto possibile per evitare gli incidenti.

Caso simile è quello della British Airways. Qui il comunicato dell'EDPB sulla multa comminata dall'ICO:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-british-airways-ps18339m-under-gdpr-data-breach_en.

Qui invece un articolo più tecnico che, in sostanza, dice che sarebbe stato molto ma molto difficile identificare l'attacco (sfortunatamente non spiega come prevenirlo in futuro):
- https://www.riskiq.com/blog/labs/magecart-british-airways-breach/.

giovedì 18 luglio 2019

Sistemi operativi per smartphone

Una cosa che mi preoccupa è la massa di dati che sto dando a Google. Sono già migrato a Qwant come motore di ricerca e ora sto cominciando ad usare il loro sistema di mappe (e non abbandono il mio vecchio TomTom).

Per quanto riguarda il cellulare potrei passare ad Apple, ma non sopporto la chiusura dell'iOS. Per Android sono incuriosito dai progetti di sistemi alternativi.

Uno l'ho visto segnalato da Luca Bonesini (mio collega di tanti anni fa). Si tratta del progetto /e/:
- https://e.foundation/.

Un altro progetto l'ho visto più di recente ed è il PostmarketOS:
- https://postmarketos.org/blog/2019/06/23/two-years/.

Dovrei studiare meglio la questione e, soprattutto, aspettare che gli smartphone di casa siano abbastanza obsoleti per fare qualche test. Per intanto mi appunto la questione.

Minacce e attacchi: errore in un'applicazione di 7-Eleven

E' noto che non mi interesso molto delle notizie sugli attacchi, in quanto solitamente non riportano informazioni utili, ma solo generiche.

Questo articolo non è tanto migliore, ma ci ricorda che bisogna prestare molta attenzione anche alle applicazioni per dispositivi mobili:
- https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/.

In poche parole: il 7-Eleven giapponese ha commissionato un'applicazione che permetteva i pagamenti veloci. Questa permetteva anche di richiedere l'azzeramento della password, e la sua conseguente modifica, senza verificare che il richiedente fosse l'utente titolare dell'account. Il risultato è che degli attaccanti hanno azzerato la password di alcuni clienti e hanno fatto acquisti con i loro soldi.

venerdì 12 luglio 2019

Mia intervista su ISO/IEC 27552

Elia Barbujani mi ha intervistato per Web radio ius law sulla ISO/IEC 27552:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-iso-iec-27552-cosa-cambia-per-le-certificazioni-privacy/.

Notizia dell'ultima ora: forse la numerazione cambierà in ISO/IEC 27701. Giusto per rendere più semplici le cose...