Articoli

Coronavirus, il malware arriva nelle mail e su siti: l’allarme

Si sta diffondendo velocemente nel mondo una campagna di mail con malware Emotet che sfrutta la paura di massa sul Coronavirus. I primi rapporti (Ibm, Kaspersky, Mimecast, KnowBe) ne segnalano la presenza in Giappone e, da qualche ora, anche nel Regno Unito e negli Stati Uniti.

Al contempo, dice l’informatico forense Paolo dal Checco, “riscontro la nascita di molti siti che dicono di avere informazioni sul Coronavirus ma contengono pericolosi malware”.

Emotet via mail sfrutta il Coronavirus

Le mail si presentano con un mittente istituzionale, di un’organizzazione pubblica sulla salute; dice di contenere informazioni utili sul Coronavirus: la sua mappa di infezione, consigli su come non ammalarsi, ecc. Rinvia a un allegato, testuale o video, per avere tutte le informazioni ma qui si annida il malware Emotet. I formati dell’allegato finora riscontrati sono file pdf, mp4 e docx. Come sempre accade con Emotet, il malware viene lanciato all’apertura e prova a installarsi se l’utente ha attivato le macro sul proprio programma associato.

Non è ancora chiaro se gli attuali antivirus sono in grado di bloccare la minaccia. Al momento non risulterebbero esempi di questa campagna in Italia, “ma credo sia solo questione di tempo perché attacchi anche l’Italia – dice Dal Checco. La minaccia si sta infatti avvicinando, sull’onda della crescente psicosi del Coronavirus, colpendo prima i Paesi più vicini alla Cina e poi via via altri”.

Insomma, laddove arriva il virus biologico – ora anche in Italia, come noto – arriva poi anche quello informatico, perché questo sfrutta la paura delle persone, che le può spingere a cliccare in modo frettoloso su allegati arrivati per mail.

Che danni fa Emotet?

Emotet è un banking trojan modulare e mutevole che si è guadagnato di recente il podio tra i malware più aggressivi e pericolosi degli ultimi anni. Cerca di rubare le credenziali bancarie presenti in memoria sul pc, le password e poi di trasformare il computer vittima in uno strumento per diffondersi ulteriormente, mandando mail simili ad altri destinatari (anche trovati nella rubrica dell’utente).

I consigli contro il malware che sfrutta il Coronavirus

Il consiglio per difendersi, oltre a quello di avere un antivirus aggiornato, è non aprire né cliccare su allegati presenti in email inattese, soprattutto se provenienti da mittenti con cui non avevamo mai avuto un rapporto; non importa se la mail si presenta con un mittente autorevole, di un’azienda nota o di un’istituzione. Anche il testo può essere confezionato, ormai, per essere molto credibile.

Se si ha qualche dubbio sull’autenticità di un allegato e lo si vuole comunque aprire, è possibile farlo in modo sicuro su programmi di visualizzazione documenti online come ViewDocsOnline o farli analizzare ad antivirus online come VirusTotal o Hybrid-Analysis.

Una minaccia multiforme

“Il fine di chi produce malware è incentivare la loro diffusione, per poter fruire dei vantaggi dei PC infettati, in termini economici ma anche tecnici: ogni computer compromesso può infatti essere utilizzato per sferrare attacchi e quindi, indirettamente, portare ulteriori benefici”, commenta dal Checco.

“In questo periodo stanno circolando diverse email che invitano ignare vittime a cliccare su link o aprire allegati, per fortuna gli antivirus spesso riescono a bloccare gli allegati e rendere inoffensivi i link, ma non va sottovalutato un altro fenomeno. Ogni giorno, da quando è scoppiata l’allerta per il Coronavirus, vengono registrati centinaia di domini contenenti la parola coronavirus. Dal monitoraggio che ho in corso proprio su questo fenomeno, posso categorizzare questi domini in siti informativi, siti che vendono mascherine, siti che propongono fantomatiche cure ma anche siti che possono potenzialmente distribuire malware e ai quali è necessario prestare particolare attenzione”.

 

Fonte: CyberSecurity360

Chiavette USB infette: ecco come proteggersi adottando le giuste regole di sicurezza

Le chiavette USB infette rappresentano un problema serio, ma spesso sottovalutato, che le aziende in particolare dovrebbero affrontare e risolvere con attenzione per non mettere a repentaglio il patrimonio informativo aziendale.

Chiavette USB infette: le problematiche

Sicuramente nulla è più comodo di avere con sé i file e i dati che ci necessitano, poterli trasportare con facilità in un oggetto piccolo quanto un portachiavi. Questa caratteristica, però, non sempre rappresenta un vantaggio, ma anzi porta comporta diversi rischi.

La prima problematica a cui penso è dovuta al fatto che, per loro natura, le pendrive USB vengono connesse a differenti computer: ciò le rende un ottimo mezzo di trasporto per la diffusione di malwarespyware e rootkit.

Abbiamo certamente notato che, collegando una chiavetta USB ad un PC, quando questa viene riconosciuta dal sistema operativo, il suo contenuto viene mostrato a schermo; nei sistemi più moderni ci viene quantomeno chiesto di scegliere quale azione intraprendere in merito. In ogni caso è fuor di dubbio che la pendrive viene “letta” dal sistema prima ancora che ci venga mostrato il contenuto.

Di norma i sistemi Microsoft vanno a verificare l’eventuale presenza di un file chiamato Autorun.inf che contiene i comandi atti ad eseguire in automatico i contenuti presenti nella chiavetta USB.

Questa funzionalità può essere utilizzata da malintenzionati per installare ed eseguire sul PC delle loro vittime un qualsivoglia codice malevolo, con conseguenze spesso disastrose.

Volendo evitare questo tipo di rischio è sufficiente, ad esempio su Windows 10, aprire le impostazioni del sistema operativo (dall’icona di Windows in basso a sinistra nella barra delle applicazioni premere sull’icona dell’ingranaggio e poi accedere alla sezione Dispositivi) e da lì disabilitare la funzione di autorun.

Problema risolto? Proprio no.

Software per proteggersi dalle chiavette USB infette

Autorun a parte, copiare file e informazioni da un PC ad un altro comporta, in ogni caso, il rischio di diffondere virus e altro se uno dei computer coinvolti nello scambio dati, o a cui è stata connessa la chiavetta USB, è infetto.

Per questo motivo è d’obbligo avere installato un buon antivirus che, tra le altre cose, al collegamento di una memoria di massa USB, ne esegua la scansione. Molti dei produttori di antivirus, inoltre, propongono gratuitamente un software che “vaccina” le chiavette USB infette, prevenendo l’utilizzo dell’autorun a scopo malevolo.

Un programma che utilizzo a protezione delle chiavette USB infette è USB Security, che consente di criptare con molta semplicità una pendrive utilizzando un pratico wizard. Si riesce così ad ottenere una pendrive con uno spazio di archiviazione in chiaro e uno protetto, quest’ultimo attivabile cliccando sul file eseguibile contenuto all’interno della stessa chiavetta USB e inserendo la keyword di decrittazione.

Chiavette USB infette e furto di dati, alla luce del GDPR

Prendiamo ora in considerazione altre problematiche correlate alle chiavette USB infette.

Poter trasportare molti dati in un oggettino veramente piccolo, come detto, è fantastico; aumenta però a dismisura la quantità di dati che andremo a diffondere in caso di perdita o furto della pendrive.

Immagazzinare e trasportare dati aziendali, dati dei clienti, personali o particolari (dati sensibili), utilizzando questi dispositivi, ci sottopone ad un rischio tutt’altro che accettabile; non solo per il danno diretto che potremmo avere dal perdere disponibilità di quanto depositato all’interno del drive USB, ma anche dal fatto che quanto contenuto potrebbe finire in mani sbagliate o essere semplicemente diffuso.

Teniamo conto che anche la nuova normativa europea sulla protezione dei dati, il GDPR, valuta l’utilizzo delle chiavette USB, ma anche di tutti i dispositivi facilmente sottraibili, soggetti a rottura accidentale o semplicemente soggetti ad essere “persi” (includendo anche i notebook): un comportamento palesemente in contrasto con una policy corretta di protezione dati, se non si applicano accorgimenti idonei.

La prima azione che si potrebbe compiere, per essere “proattivi” e scongiurare una parte di quanto sopra detto, potrebbe essere il criptare il contenuto delle chiavette USB, come si potrebbe fare sull’hard disk di un notebook.

Per farlo, si può ricorrere direttamente al tool Bitlocker integrato in alcune versioni di Windows 10 oppure ricorrere ad altri software di terze parti come il famoso VeraCrypt.

Soluzioni alternative ai dispositivi USB

Quanto sopra suggerito a parte, potrebbe essere una buona idea (e molte aziende lo fanno) non utilizzare affatto gli usb drive, affidandosi piuttosto a sistemi in cloud per rendere disponibili i dati necessari al di fuori dell’azienda, permettendo così un livello di controllo e protezione centralizzato e superiore.

In realtà, la possibilità di accesso fisico alle porte USB delle macchine in uso comporta di per se un problema non trascurabile di sicurezza: qualora il BIOS non fosse correttamente impostato e magari protetto con password, risulterebbe sempre possibile avviare un PC tramite dispositivo USB e magari accedere ai suoi contenuti (esistono software installabili su pendrive che “scavalcano” le password di Windows).

Il rischio su sistemi non Microsoft è in qualche modo ridotto, anche se ciò non vuol dire che si possa trascurare queste criticità.

Nei sistemi Linux e Mac OS, una gran parte dei virus non riesce ad agire, semplicemente perché strutturati per aggredire il sistema attualmente più diffuso, cioè Windows.

Esistono comunque diversi virus che aggrediscono questi sistemi operativi ed alcuni di essi sono già stati trasmessi tramite memorie USB.

Vorrei menzionare alcuni altri aspetti che andrebbero tenuti in conto nella strutturazione e implementazione di best practice relative all’utilizzo delle periferiche USB.

Un aspetto da non trascurare è quello della cancellazione definitiva dei dati da un supporto USB; non è sempre semplice ed immediato rendere permanente la cancellazione dei dati da una pendrive, salvo adottando tecniche di wiping, che comunque non si adattano bene a questo tipo di supporti, andando probabilmente a diminuire la loro esistenza vitale.

Il consiglio, per un utilizzo in azienda, è di adottare criteri di USB Hygiene a partire dall’evitare di adottare l’uso delle pendrive, se non criptate; utilizzare sistemi cloud al loro posto e non sottovalutare l’importanza delle impostazioni di sicurezza dei PC in uso (impostare una password sul BIOS setup, disabilitare il boot da USB, disabilitare l’autorun e utilizzare un buon antivirus).

Conclusioni

È utile, per concludere, fare un cenno ad un recente Proof of Concept (PoC) eseguito da alcuni ricercatori che sono riusciti ad hackerare il firmware di diverse periferiche USB (si parla di tastiere, auricolari e via dicendo, quindi non di memorie), in cui si è riusciti a far eseguire codice malevolo nei computer bersaglio a partire appunto da normali dispositivi USB, non intesi a contenere dati.

Su questo tipo di attacchi, attualmente non esiste una reale difesa, tranne il selezionare le fonti di approvvigionamento di periferiche USB ed il vietare l’utilizzo e la connessione ai PC aziendali di componenti USB non preventivamente autorizzati.

 

 

Fonte: CyberSecurity360

GDPR e fotografia, ecco tutte le regole per non sbagliare

GDPR e fotografia, un connubio che è bene approfondire. Lo scontro tra i fotografi che cercano di catturare le vite della gente comune per trasformarle in opere d’arte e le persone che, vedendosi protagoniste di quelle foto, sentono violata la loro privacy, è esistito sin dalla nascita della street photography. La questione però assume ulteriore rilevanza alla luce del GDPR. Vediamo le regole per non sbagliare.

GDPR e fotografia, un contesto confuso

L’intento principale della street photography non è quello di fotografare questo o quel soggetto in particolare, ma imprigionare per sempre un comportamento umano e scene di vita quotidiana in immagini mozzafiato, sebbene comunque in passato fosse più semplice per un fotografo trovare il consenso della gente che davanti ad uno scatto notevole si mostrava anche lusingata per il solo fatto di essere stata selezionata tra tanti ed essere diventata protagonista di una bella immagine fotografica che poi veniva magari anche pubblicata su qualche rivista o giornale o diventava un quadro famoso.

Oggi le cose non stanno più così, le persone contente di essere il soggetto di una fotografia senza chiedere nulla in cambio, si contano sulla punta delle dita, soprattutto da quando sempre più gente ha acquisito la consapevolezza del fatto che, per legge, se la propria immagine viene sfruttata in termini di profitto altrui, anche il protagonista della fotografia può guadagnarci.

A complicare ulteriormente le cose, è arrivata la rete internet, i siti web e i social network; con l’avvento dei nuovi canali digitali e la legge sulla privacy che ha inquadrato l’immagine del volto tra i dati personali, infatti il timore della gente comune di veder violata la propria riservatezza quando la propria faccia appare in un’immagine fotografica che potrebbe essere diffusa online, si è moltiplicato, considerando che ad esso si è aggiunto anche quello connesso alla violazione dei dati personali e ai furti di identità.

Questa situazione particolarmente complessa ha generato confusione anche tra i fotografi di strada in merito a ciò che è consentito e non consentito dalla legge e ai casi in cui è doveroso chiedere il consenso per immortalare qualcuno in uno scatto fotografico.

Il consenso a ritrarre persone comuni

Partiamo col dire che in generale fotografare persone in luoghi completamente pubblici, è legale nella maggior parte dei Paesi che tutelano la libertà di espressione e quella giornalistica.

Un individuo che si sta consapevolmente esponendo in pubblico non può vantare quella che viene definita una “ragionevole aspettativa di privacy”, poi ci sono comunque gli interessi dei privati da bilanciare e quindi esistono anche limiti, ma non allo scatto di per sé, bensì al modo in cui le immagini delle persone possono essere sfruttate, così un fotografo, il quale intenda in Italia ritrarre una persona comune in spazi pubblici o aperti al pubblico e utilizzare quell’immagine per pubblicarla, metterla in commercio, esporla in pubblico, deve necessariamente domandare, ai sensi dell’art. 96 della Legge sul diritto d’autore, l’autorizzazione al soggetto protagonista della fotografia, salvo alcuni casi specificamente individuati dalla legge. L’articolo 96 della L. n. 644/1943 recita, infatti: “Il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo 97″.

Questa la regola, alla quale sono poste delle deroghe previste dall’art. 97 della legge sul diritto d’autore, il quale precisa che il consenso della persona ritratta non è necessario quando:

  • la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico coperto,
  • da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali,
  • o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Restando inteso che il ritratto non può tuttavia essere esposto o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata.

La legge sul diritto d’autore richiede dunque in via generale il consenso quando la persona viene ritratta (quando dunque è il soggetto della fotografia) se il fine del ritratto è l’esposizione in pubblico, lo sfruttamento commerciale e/o la riproduzione, a meno che non ricorra una delle ipotesi di cui al secondo comma del medesimo articolo.

La nozione di messa in commercio è abbastanza estesa, ma si può dire che l’uso commerciale possa includere la commercializzazione dell’immagine, la vendita per scopi di promozione di un prodotto, servizio o marchio, la promozione della propria attività.

L’art. 10 del Codice Civile tutela sempre l’immagine di una persona, ma ha una portata più estesa rispetto a quella dell’art. 96 della LDA, esso, infatti, comprende non solo il ritratto di una persona fisica, ma anche quei casi in cui, pur non trattandosi di ritratto, la persona è comunque presente nell’immagine fotografica. Questo può accadere ad esempio quando soggetto della fotografia è l’ambiente o il contesto e la persona che pure è riconoscibile, appare nello sfondo o comunque come elemento secondario.

Ebbene, secondo l’art. 10 del Codice Civile, la persona, i genitori, il coniuge o i figli possono opporsi all’esposizione o alla pubblicazione dell’immagine fotografica in cui sono identificabili, chiedendo all’autorità giudiziaria che cessi l’abuso, quando tale esposizione o la pubblicazione siano compiute fuori dai casi consentiti dalla legge ovvero quando tali azioni rechino pregiudizio, restando salvo il risarcimento dei danni.

Dunque, tralasciando i casi vietati di pregiudizio o violazione dell’onore o decoro, se soggetto della fotografia scattata in ambienti pubblici è la persona e l’immagine deve essere esposta o comunque sfruttata a livello commerciale (ad esempio per fini di pubblicità), è sempre doveroso chiedere il consenso all’uso di quella fotografia (consenso che può essere ritirato in qualsiasi momento, stante la natura inalienabile del diritto che ha ad oggetto) ed è opportuno chiederlo per iscritto sul posto se si prevede di utilizzare la foto commercialmente, visto che reperire la persona in un secondo momento, diverrebbe complicato; se soggetto della fotografia è la persona e il fine (purché non rechi pregiudizio al decoro della persona ritratta), è quello giornalistico, didattico o culturale, in cui potrebbe rientrare anche la libertà di espressione artistica, il fotografo può ritrarre la persona e usare l’immagine senza consenso, sarà poi la stessa ad intervenire se vuole che cessi l’utilizzo, motivando che tale impiego è fuori dai casi concessi dalla legge o che con esso sia stato procurato nocumento al soggetto fotografato.

L’immagine fotografica come dato personale

L’immagine fotografica di una persona è anche un dato personale, pertanto, quando si ritraggono persone in strada o in ambienti pubblici, occorre considerare altresì la normativa in materia di trattamento dati personali, dunque, nel caso del ritratto, oltre a domandare ed ottenere il consenso della persona ritratta (a meno che non ci si trovi in una delle situazioni previste dall’art. 97 della LDA), il fotografo, salvo il caso in cui la finalità d’utilizzo sia di natura privata (ad esempio lo scatto diventi un quadro di casa sua), è tenuto a rendere anche l’informativa privacy ai sensi dell’art. 13 del Regolamento n. 679/2016 e in relazione alla finalità d’uso potrebbe dover chiedere ed ottenere eventualmente il consenso dell’interessato come base giuridica (consenso questo che, si badi, è diverso da quello che richiede la legge sul diritto d’autore).

Ad ogni modo, mentre la legge sul diritto d’autore è più attenta al lato creativo e lascia libero il fotografo di chiedere il consenso (ex art. 96 LDA) anche in un momento successivo allo scatto, poiché l’autorizzazione si riferisce in verità all’uso dell’immagine e non alla fase di scatto di per sè; la legge in materia di trattamento di dati personali obbliga, in generale, a rendere l’informativa prima della raccolta del dato. Si comprende bene come una tale imposizione per il fotografo di strada abituato a rubare l’istante giusto per realizzare uno scatto indimenticabile, diventi un incubo.

Sin qui comunque, parlando di GDPR e fotografia, la situazione appare la seguente: se intendo ritrarre una persona comune in strada perché poi voglio esporre quell’immagine, pubblicarla o riprodurla o commercializzarla, devo chiedere al soggetto ritratto l’autorizzazione all’uso della sua immagine e devo rendere, in teoria prima di scattare la fotografia, l’informativa ex art. 13 del Regolamento n. 679/2016, considerando che l’immagine del volto (o comunque di una parte del corpo che consenta di identificare univocamente una persona fisica) è un dato personale, in base alla definizione riportata all’art. 4 del GDPR perché consente indirettamente di identificare una persona fisica.

Però, se il mio scatto è stato effettuato in occasione di un evento di interesse pubblico, fatti, avvenimenti o cerimonie svoltesi in pubblico, come ad esempio una manifestazione, la celebrazione del patrono di una città, una commemorazione, il consenso richiesto dalla legge sul diritto d’autore (la “release” volendo utilizzare l’usuale termine inglese con cui viene identificato il consenso in fotografia), non è necessario, così come non è necessario se sto fotografando persone comuni in ambienti pubblici per fini di giustizia, culturali, formativi, giornalistici o scientifici.

Questo vale, ad esempio, se ritraggo dei ciclisti in strada perché ho intenzione di inserire quell’immagine a corredo di un articolo sugli sport all’aperto, oppure se fotografo degli ambientalisti intenti a salvare una tartaruga per sensibilizzare i giovani in un corso sulla protezione degli animali o semplicemente quando fotografo una moltitudine di persone e inserisco questo scatto nel mio book professionale.

Tale deroga sembrerebbe non operare tuttavia in relazione all’informativa privacy, che comunque dovrebbe essere resa al momento dell’acquisizione del dato anche eventualmente in forma orale. Ciò significa che, anche in circostanze come eventi pubblici, cerimonie o finalità culturali o formative, l’interessato (ossia il soggetto che potrà essere soggetto della fotografia) deve essere debitamente informato della finalità e modalità di trattamento del dato personale; in tali situazioni, non vi sarebbe necessità di chiedere il consenso al trattamento dei dati personali (che è cosa diversa dal consenso ex art. 96 della LDA), in quanto la base giuridica potrebbe essere individuata nel legittimo interesse del fotografo (art. 6 lett. f GDPR).

Come in diverse occasioni precisato dal garante, l’informativa può essere resa in circostanze particolari anche con cartelli riportanti icone e può trattarsi di un’informativa breve che rimandi ad una più completa. Ad esempio, in prossimità del luogo in cui avverrà l’evento pubblico, è opportuno affiggere dei cartelli con cui si informa il pubblico della presenza di uno o più fotografi, rimandando magari all’informativa completa che potrà essere inserita sul sito web di presentazione dell’evento.

Quando la persona è un elemento secondario della fotografia

Fino a qui abbiamo analizzato l’ipotesi in cui il fotografo intenda ritrarre una persona comune in uno spazio pubblico o aperto al pubblico o comunque nei casi di eventi o cerimonie pubbliche o finalità didattiche, di giustizia, culturali. In tali casi, trattandosi generalmente di eventi organizzati, risulta, di certo, più agevole informare i partecipanti della possibile presenza di un fotografo, ma, poniamo il caso che la fotografia non sia un ritratto e non siamo nell’ambito di un evento pubblico o di una celebrazione, ma in strada e il fotografo abbia inteso ritrarre il contesto e che nel contesto la persona o le persone vi siano rientrate come elemento diciamo secondario, ma siano comunque riconoscibili.

In tali circostanze, cosa dovrà fare il fotografo di strada? Dovrà comunque chiedere l’autorizzazione ex art. 96 LDA? Dovrà rendere l’informativa alla persona fisica fotografata sebbene, in verità, la fotografia scattata non sia di per sè il ritratto della persona? Come bilanciare la fotografia di strada con la privacy? Come bilanciare l’espressione artistica con il diritto alla protezione dei propri dati personali?

Innanzitutto, chiariamo che quando le fotografie vengono eseguite in luoghi aperti al pubblico o pubblici, se la persona fisica è un elemento secondario della fotografia (quindi non si tratta di un ritratto fotografico), circostanza che, come detto precedentemente, occorre accertare caso per caso, analizzando la singola e specifica immagine fotografica e che in molti casi risulta di difficile individuazione, non siamo nell’ambito del ritratto.

L’art. 96 della LDA pertanto non dovrebbe operare e il consenso del soggetto che rientra nella foto come elemento, in un certo senso, secondario (o meglio a corredo di altro) non sarebbe necessario: l’essenza della fotografia è, in tali casi, il contesto in cui essa è stata scattata e non la persona fisica ripresa. Occorre però valutare anche la finalità d’utilizzo dell’immagine fotografica e, dunque, se la fotografia è stata scattata come pura espressione artistica o per finalità giornalistiche o culturali, o se diversamente verrà sfruttata per fini commerciali, pubblicitari o se deve essere riprodotta.

È molto probabile che se un’immagine fotografica nella quale la persona, sebbene non sia il soggetto principale della fotografia, sia comunque identificabile, viene sfruttata commercialmente o diffusa senza aver richiesto il consenso e senza aver reso l’informativa privacy, è sicuro che, se la portata della diffusione dell’immagine è estesa e il fotografato ne prende atto, al fotografo arriverà una lettera con cui gli si chiede di cessare l’utilizzo dell’immagine o di versare un compenso per l’uso.

Sarà poi il giudice a valutare la situazione e decidere sul caso di specie. Per quanto riguarda invece la disciplina in materia di trattamento di dati personali, posto che il GDPR è un regolamento e come tale porta il legislatore e la giurisprudenza nazionale a disapplicare la normativa interna che vi contravviene, occorre precisare che lo stesso regolamento ricorda che la disciplina in materia di trattamento dati personali è al servizio dell’uomo e deve essere bilanciata con la libertà di espressione e di informazione; all’art. 85 consente agli Stati membri di conciliare il diritto alla protezione dei dati personali ai sensi del regolamento con il diritto alla libertà di espressione e di informazione, libertà di espressione in cui va inclusa certamente anche l’”espressione artistica”, di cui fa parte senza ombra di dubbio la fotografia di strada.

Sul punto, recentemente, la Corte costituzionale tedesca ha stabilito che la fotografia di strada è protetta dalla costituzione perché è una forma d’arte.

GDPR e fotografia, la finalità d’uso

In Italia non esiste comunque una legge che riconosca tale specifico tipo di fotografia come forma d’arte. Allora anche per orientarsi nella disciplina in materia di dati personali, occorre focalizzarsi sulla finalità d’uso dello scatto fotografico, tenendo presente che se il fine non è informativo o legato alla sola espressione artistica del fotografo, è sempre opportuno informare l’interessato anche verbalmente della finalità e della modalità di trattamento, rimandandolo eventualmente al proprio sito web per maggiori informazioni.

Si comprende bene come la questione sia particolarmente complessa e come sia difficile fornire delle regole generali, ogni situazione deve essere analizzata specificamente, con essa ogni inquadratura, ogni finalità d’uso dell’immagine, ogni contesto in cui lo shot fotografico viene eseguito va esaminato nel dettaglio per capire come bilanciare interessi contrastanti arrecando il minor pregiudizio ad entrambe le parti interessate.

Ovviamente, accanto al dato legale, vi è poi quello etico, ciascuno sceglierà la propria linea corretta da seguire, così alcuni fotograferanno le cose più imbarazzanti che accadono alle persone, rischiando, nella migliore delle ipotesi, contestazioni e interdizioni o richieste di risarcimento del danno, mentre altri staranno lontani da tali scene.

In ogni caso, chiedere al soggetto che si intende riprendere se gli si può scattare una fotografia, chiarendo come sarà utilizzata e perché, è sempre buona norma, anche magari dopo averla già scattata, se si vuole salvare il momento.

Tenendo presente che è il modo in cui trattiamo le persone che fotografiamo che può aiutare a superare qualsiasi questione etica e dubbio legale, in fondo chi fotografa, lo fa perché è attratto da una persona o da una scena e se il soggetto fotografato viene reso partecipe dell’emozione che ha provocato nel professionista, probabilmente non si opporrà allo scatto e all’uso di quell’immagine e se poi il diniego appare, pazienza, ci sarà sempre uno scenario più interessante da immortalare.

 

Fonte: CyberSecurity360

Rapporto tra titolare e responsabile del trattamento, lo standard contrattuale tipo

L’EDPB ha pubblicato lo standard contrattuale tipo tra titolare e responsabile del trattamento adottato dall’Autorità per la protezione dei dati danese, con l’intento di aiutare le organizzazioni a soddisfare i requisiti richiesti dall’art. 28 del GDPR

L’Autorità per la protezione dei dati danese ha presentato al Comitato europeo per la protezione dei dati (in seguito anche “EDPB”) una bozza di standard contrattuale tipo tra titolare e responsabile del trattamento, ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (in seguito, “GDPR”), richiedendo un parere del Comitato, per un approccio coerente a livello dell’Unione europea nel rapporto tra titolare e responsabile del trattamento.

Rapporto tra titolare e responsabile del trattamento: il parere dell’EDPB

La decisione in merito alla completezza della bozza è stata presa il 9 luglio 2019, con il parere del Comitato europeo per la protezione dei dati.

Si specifica che, nel contesto del rapporto tra un titolare e un responsabile del trattamento, il GDPR stabilisce, nel suo articolo 28, un insieme di disposizioni relative alla redazione di un contratto specifico tra le parti interessate e disposizioni obbligatorie che dovrebbero essere incorporate in esso.

Di fatti, ai sensi dell’articolo 28, paragrafo 3, del GDPR, il trattamento di dati da parte di un responsabile del trattamento dei dati è regolato da un contratto o altro atto giuridico ai sensi del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare, che resta colui che definisce un insieme di aspetti specifici del rapporto contrattuale in essere.

A seguito del parere n.14/2019, l’EDPB ha pubblicato nel registro delle decisioni prese dalle autorità europee, lo standard contrattuale tipo tra titolare e responsabile del trattamento adottato dall’Autorità per la protezione dei dati danese.

Esso mira ad aiutare le organizzazioni a soddisfare i requisiti dell’art. 28 (3) e (4) del Regolamento (UE) 679/2016, dato che un tale contratto non dovrebbe limitarsi a riportare le prescrizioni del GDPR, bensì precisarle ulteriormente, ad esempio per quanto riguarda l’assistenza fornita dal responsabile al titolare.

Proprio a tale scopo, lo standard contrattuale in esame prevede quattro appendici:

1. L’Appendice A contiene dettagli sul trattamento dei dati personali, includendo le finalità e la natura del trattamento, la tipologia di dati, le categorie di soggetti interessati e la durata del trattamento;

2. L’Appendice B contiene le condizioni del titolare del trattamento per il trattamento dei dati da parte del responsabile del trattamento, di sub-responsabili e un elenco di sub-responsabili autorizzati dal titolare del trattamento;

3. L’Appendice C contiene le istruzioni del titolare del trattamento in merito al trattamento dei dati personali, e le misure di sicurezza che il responsabile del trattamento deve adottare;

4. L’Appendice D contiene disposizioni per altre attività che non sono coperte dallo standard contrattuale.

Il perimetro d’azione del responsabile del trattamento

Da un’attenta analisi dello standard contrattuale emerge come lo stesso ripercorre quelli che sono gli elementi essenziali che il contratto o altro atto giuridico di nomina a responsabile del trattamento deve avere, ai sensi dell’art. 28 del GDPR.

La prima parte dell’atto giuridico deve stabilire il perimetro di azione in cui andrà ad operare il responsabile del trattamento.

A seguire, in particolare, dovranno essere indicati:

1. i diritti e gli obblighi del titolare del trattamento;
2. gli obblighi del responsabile del trattamento;
3. la garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
4. l’obbligo di adottare le misure di sicurezza richieste dall’art. 32 del GDPR;
5. l’uso di sub- responsabili;
6. eventuale trasferimento dei dati verso paesi terzi o organizzazioni internazionali;
7. l’obbligo di assistere il titolare del trattamento nell’adempimento delle richieste, presentate dall’interessato, per l’esercizio dei diritti previsti dal Capo III del Regolamento;
8. l’obbligo di informare il titolare del trattamento, senza ingiustificato ritardo, di una violazione di dati personali dopo esserne venuto a conoscenza;
9. la possibilità di svolgere audit o ispezioni da parte del titolare per verificare se il responsabile del trattamento sia compliance al GDPR.

Attualmente, il testo dello standard contrattuale è disponibile e scaricabile gratuitamente, in lingua inglese, sul sito web dell’EDPB.

 

Fonte: CyberSecurity360

Titolare autonomo e responsabile del trattamento dati: ruoli e differenze alla luce del GDPR

Le figure di titolare “autonomo” e responsabile del trattamento dei dati suscitano un dibattito interpretativo attuale, su cui si è espresso anche il Garante della privacy nel tentativo di fare chiarezza. Ecco il contesto normativo e i differenti ruoli nel trattamento dei dati personali

A poco più di un anno dall’applicazione del GDPR, nonostante la precisazione diffusa dal Garante in risposta al quesito posto dal Consiglio nazionale dei consulenti del lavoro in ordine all’autonoma titolarità del trattamento dei dati, il dibattito interpretativo sul binomio, ove esistente, tra titolare “autonomo” e responsabile del trattamento dati risulta più che mai attuale.

Molte categorie professionali hanno preso posizione rifiutando o comunque mal digerendo una nomina quale responsabile del trattamento ritenendo di avere autonoma titolarità sui singoli dati trattatati siano essi propri ovvero derivati.

Titolare autonomo e responsabile del trattamento dati: il contesto normativo

Come noto, oramai, il GDPR, in un’ottica generale di maggiore flessibilità, ridisegna i rapporti tra i vari soggetti coinvolti nel trattamento consentendo ai titolari di contribuire fattivamente a far vivere le norme in esso contenute.

L’articolo 4, comma 7, del GDPR definisce “titolare del trattamento” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato ed al comma 8 delinea il “responsabile del trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Dunque, potremmo definire il titolare come colui che decide le sorti del trattamento ed il responsabile come colui che opera per conto del titolare.

Il Regolamento, rispetto alla previgente disciplina, ha sicuramente precisato e delimitato i compiti che possono essere attribuiti dal titolare del trattamento al responsabile, individuando espressamente l’ambito delle rispettive responsabilità, le modalità nonché gli obblighi di cooperazione cui questi è tenuto esclusivamente in funzione delle attività svolte per conto del titolare.

La posizione del Garante

La risposta data dal Garante in data 22/01/2019, i cui principi sono applicabili a svariate categorie, partendo proprio dalla definizione di cui all’art. 4, consente di orientarci verso l’una o l’altra scelta attraverso un’attenta valutazione dei singoli rapporti: ruolo rivestito; tipo di attività e diverse modalità di trattamento.

Occorre, dunque, distinguere la posizione del soggetto che tratta dati in ragione dell’incarico ricevuto, contenente anche le istruzioni sulle modalità, dalla diversa ipotesi nella quale questi non si limiti ad effettuare un’attività meramente esecutiva di un trattamento “per conto” del cliente, bensì eserciti un potere decisionale del tutto autonomo sulle “finalità” e sui “mezzi del trattamento”.

Nel primo caso dovrà essere inquadrato e qualificato come responsabile nel secondo caso quale titolare del trattamento.
Il trattamento dei dati effettuato dai “professionisti” ed il fatto che questi siano già soggetti a norme anche deontologiche, non attribuisce loro una diversa autonomia rispetto a quei dati che provengono dall’esterno ossia non in ragione di un incarico ma di un rapporto derivato.

Peraltro, la scelta di qualificarsi quali titolari autonomi del trattamento o co-titolari comporta una serie di obblighi ancor più stringenti rispetto alla figura del responsabile.

Garanzie e ruoli

Con riferimento alla tutela dell’interessato, infatti, la distinzione titolare autonomo e responsabile del trattamento rimarrebbe sostanzialmente ininfluente sotto il profilo delle garanzie, attesa la responsabilità solidale tra gli stessi, distinzione che diventerebbe invece decisiva con riguardo alle rispettive responsabilità.

Il titolare, come sappiamo, assume responsabilità ben specifiche ed individuate nelle norme del regolamento, mentre il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del regolamento a lui diretti, o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.
È dunque evidente il maggior carico di responsabilità e compiti attributi al titolare rispetto al responsabile.

È pur vero che nella prassi, assai di frequente, si assiste a maldestre o generiche “istruzioni” contenute in succinti e standardizzati contratti o altri “atti di nomina”, spesse volte predisposti dagli stessi responsabili, che certamente mal si prestano a rendere quelle garanzie richieste dalla norma e fungere da corretto paramento di adempimento.

Potrebbe infatti non essere infrequente l’ipotesi che il responsabile riesca a dimostrare di aver rispettato gli obblighi del GDPR e le istruzioni ricevute dal titolare andando così esente da responsabilità per il danno subito dall’interessato in caso di contestazione.

Definiti così i ruoli e l’inquadramento del responsabile quale soggetto che tratta dati personali per conto del titolare del trattamento, in molte ipotesi concrete tale inquadramento sembra vacillare scontrandosi con la realtà e la prassi.

Conclusioni

Dunque, se da un punto di vista esplicativo tale qualifica risulti più corretta, da un punto di vista pratico, talvolta, risulta difficile immaginare il concreto esercizio di quei poteri di controllo per il quale il Regolamento assegna al titolare nei confronti del responsabile del trattamento.

Come accennato, e in generale, la flessibilità ed il principio di armonizzazione posti alla base del nuovo Regolamento EU, unitamente ai fondamentali principi di accountability e dei criteri di privacy by design e privacy by default, dovrebbero orientare gli operatori ad agire guardando il singolo caso concreto, concentrandosi più sulle finalità piuttosto che sui formalismi, preferendo il generale principio della sostanza sulla forma nella primaria ottica di protezione dei dati e prima ancora delle persone.

 

Fonte: CyberSecurity360

False stringhe di consenso GDPR, che c’è da sapere sulla nuova frode nella pubblicità online

Quella delle false stringhe di consenso GDPR è la nuova tendenza delle frodi nella pubblicità online. L’hacking delle stringhe, infatti, può essere un modo relativamente semplice (ma illegale) di pubblicare più annunci personalizzati a dispetto del consenso fornito dagli utenti.

False stringhe di consenso GDPR: è l’ultima tendenza delle frodi nella pubblicità online. Ma come è possibile che esista questo fenomeno criminale viste le pesanti sanzioni in gioco nel caso di violazioni al Regolamento europeo per la protezione dei dati personali (GDPR)? Come con qualsiasi tipo di frode, ci sono soldi da fare e basso rischio di essere scoperti.

False stringhe di consenso GDPR: il fenomeno

Quando si tratta di pubblicità online, ci sono diversi giocatori coinvolti, tuttavia i due termini più comuni che si possono incontrare sono: inserzionisti ed editori.

La differenza tra queste definizioni è piuttosto semplice ed evidente. Un inserzionista è colui che paga per pubblicare il suo annuncio su diversi siti Web. Di solito, è un’azienda che ha un prodotto e si connette con gli editori per promuovere un annuncio attraverso i loro siti Web. Un editore è una persona o un’azienda che si occupa di collegare il prodotto dell’inserzionista con l’utente finale, in quanto fornitore di traffico.

Il GDPR ha implementato due percorsi, per rafforzare la privacy dei dati degli utenti online. Vale a dire: il legittimo interesse e il consenso. Entrambi i percorsi avevano lo scopo di informare gli utenti/visitatori del sito Web su “quando e come verranno utilizzati i loro dati”.

Affinché gli editori possano rimanere conformi al GDPR e quindi rispettare la normativa privacy a tutela dei dati degli utenti online, devono scegliere tra 2 percorsi tecnici:

  • interesse legittimo: per i siti Web che forniscono motivi giuridicamente conformi alla normativa per la raccolta e l’utilizzo dei dati degli utenti;
  • consenso: per i siti Web che devono richiedere l’autorizzazione degli utenti prima di iniziare a utilizzare i propri dati.

Stringa di consenso GDPR: cos’è e a cosa serve

La stringa di consenso GDPR non è altro che l’informazione generata dalla piattaforma di gestione del consenso dell’editore. La stringa viene utilizzata per identificare lo stato di consenso dei fornitori di tecnologia pubblicitaria (ad esempio Apple, Samsung Google ecc.) che lavorano con gli editori.

Una stringa di consenso GDPR memorizza le seguenti informazioni:

  • chi sono i fornitori di tecnologia pubblicitaria;
  • se i fornitori di tecnologia pubblicitaria hanno il consenso dell’utente oppure no;
  • quali sono gli scopi dei fornitori di tecnologia pubblicitaria con i dati dell’utente.

False stringhe di consenso GDPR: tecniche di hacking

A monte di tutta questa infrastruttura c’è lo IAB Europe, l’associazione europea per l’ecosistema del marketing digitale e della pubblicità che mantiene un elenco aggiornato dei fornitori di tecnologia pubblicitaria.

Gli editori che si sono attivamente impegnati con il processo di stringa e accettazione del consenso GDPR hanno però sollevato sempre preoccupazioni circa la manomissione della stringa di consenso GDPR chiamata per l’appunto frode delle false stringhe di consenso GDPR.

In un classico esempio di frode nella stringa di consenso, un fornitore di tecnologia pubblicitaria manometterà consapevolmente le informazioni sul consenso contenute nella stringa di consenso di un editore, al fine di offrire loro la possibilità di pubblicare annunci personalizzati.

In alcuni casi, potrebbe essere facile passare da uno “0” (non utilizzare i dati personali) a un “1” (utilizzare i dati personali).

L’hacking della stringa di consenso può essere un modo relativamente semplice (sebbene illegale) di pubblicare più annunci. Pertanto, anche se un utente ha specificamente indicato che non desidera essere monitorato e non desidera utilizzare i propri dati personali, gli inserzionisti online senza scrupoli possono comunque rifiutare la loro richiesta e pubblicare annunci.

Gli scenari futuri

La grande domanda, ovviamente, è: come contrastare il fenomeno della falsificazione delle stringhe di consenso GDPR?

La frode basata sul consenso è un problema ancora di dimensioni limitate ma con una forte potenzialità e creare problemi economici rilevanti nel mercato della pubblicità.

Gli operatori di mercato interessati da questo problema stanno discutendo due opzioni principali per contenere il fenomeno del faking GDPR consent strings.

Il primo è aumentare i controlli a campione da parte del fornitore di tecnologia pubblicitaria.

Il secondo è crittografare la stringa, qualcosa che al momento non è ben visto per i costi di sviluppo da apportare alle piattaforme pubblicitarie esistenti.

Infine, le Autorità europee di controllo da parte loro hanno al momento 2 opzioni possibili: lasciare che l’associazione IAB risolvi in qualche modo la possibilità di manomettere le stringhe di consenso, oppure intervenire con mano pesante e inizieranno a imporre sanzioni e multe se hanno identificato una falsa conformità.

Il modo in cui verrà affrontato il problema ci potrà dire molto sul futuro dell’ecosistema della pubblicità digitale.

 

Fonte: cybersecurity360.it

ZGDPR: il software per la gestione privacy e del GDPR

Gestisci i dati e la privacy dei tuoi clienti con ZGDPR

Il software per il GDPR sviluppato da Zucchetti è la risposta adeguata all’entrata in vigore del 25 maggio del General Data Protection Regulation (GDPR), cioè la risposta la risposta della Commissione Europea all’esigenza di maggiore protezione dei dati personali in tutti i Paesi membri.

A partire da tale data tutte le aziende operanti all’interno dell’Unione Europea che trattano dati personali dovranno essere in grado di gestire e proteggere in modo consapevole le informazioni fornite volontariamente.

Il GDPR mira a responsabilizzare titolari e responsabili del trattamento nella gestione del dato personale e incoraggia le organizzazioni all’adozione di un comportamento proattivo che tuteli la fiducia per le informazioni fornite dai cittadini.

Nonostante sia riconosciuto un certo grado di autonomia nella definizione delle modalità di gestione del rischio e delle informazioni, il GDPR prevede una serie di misure che favoriscano una corretta e sicura gestione dei dati personali

ZGDPR: Come funziona

ZGDPR è la soluzione Zucchetti che permette di gestire, con un’interfaccia gradevole e semplificata, le diverse attività previste per adempiere a quanto richiesto dal nuovo Regolamento Europeo.

Accessibile via web, ZGDPR consentirà di:

  • Inserire manualmente, o importare da fonti esterne, gli elementi indispensabili per una corretta formulazione del Registro del Trattamento dati, sia dal punto di vista del Titolare del Trattamento che del Responsabile del Trattamento, in base alle necessità dell’utilizzatore.
  • Riportare le informazioni relative all’azienda (Ubicazione, Locali, strumenti, ecc)
  • Creare template di documenti personalizzabili per le specifiche esigenze, grazie a un potente e semplice strumento di editing.
  • Analizzare nel dettaglio il rischio per individuare e definire i punti deboli della filiera del dato, consentendo al Titolare del Trattamento del dato di porre rimedio ad eventuali criticità nella gestione dello stesso.

Un intuitivo e semplice strumento di aiuto guidato permette di identificare in ogni momento l’attività richiesta ed ottenere la soluzione più adatta.

Fonte: zucchetti.it