Archivio mensile:maggio 2017

La protezione dei dati è un diritto di libertà”. Il video del Garante privacy sul nuovo Regolamento europeo

Come proteggere i propri dati con password sicure

 

 

Quando pensiamo alle password ed alla sicurezza, la prima cosa a venirci in mente è sicuramente la complessità: codici composti di numeri e di lettere difficili da decifrare ci sono sempre stati consigliati come i più sicuri. Le linee guida del NIST (National Institute of Standards and Technology) invece hanno stravolto queste convinzioni.
Secondo il NIST, una delle minacce online più probabili è quella di essere derubati delle proprie credenziali: queste azioni criminali sono molto diffuse e possono essere ricondotte soprattutto alla vulnerabilità delle password.

Linee Guida del NIST

  • Cambi frequenti
    A differenza di quanto sottolineato ripetutamente dagli esperti, cambiare la password con frequenza regolare non aumenta la sicurezza dei nostri account e dei nostri dispositivi: questa tecnica invece, secondo il National Institute of Standards and Technology, faciliterebbe gli attacchi di hacker e cyber criminali.
    Nel corso dei test condotti dal NIST si è scoperto infatti che una password modificata di continuo è in realtà più facile da rubare rispetto a una che ha subito meno cambiamenti; si tratta di un vero stravolgimento delle credenze degli utenti e anche un aspetto che le imprese dovranno cominciare a tenere in considerazione.
  • Password complesse
    Dalla ricerca del NIST è emerso inoltre che una password molto difficile da decifrare, non necessariamente assicura una maggiore protezione per dispositivi e account: sarebbe quindi inutile cercare di inventare credenziali composte da numeri e lettere senza un apparente legame logico tra loro.
    I ricercatori hanno anche stabilito che gli utenti, quando venivano costretti a scegliere dei simboli o dei numeri, si affidavano quasi sempre agli stessi: i più usati sono i numeri 1,2 e 3 e il punto esclamativo. Gli hacker, conoscendo questa tendenza, sono spesso riusciti a rubare password, anche complesse.
  • Bloccare le password semplici
    Il NIST ha consigliato a sviluppatori, imprese ma anche a privati, di bloccare di default l’inserimento di una password troppo semplice: “password” o “1234”, per fare degli esempi.
    Ha suggerito peraltro di creare una lista universale delle password più usate e di bloccarle per la creazione e l’accesso ad account e profili social, ritenendo che, così facendo, una buona parte dei furti di credenziali verrebbe eliminata.

Come proteggere i propri dati 

Come possiamo proteggere i nostri dati personali utilizzando le password nel modo corretto?
Il NIST consiglia di associare sempre alla password un secondo fattore di verifica e di usare quindi l’autenticazione a due fattori. I più consigliati sono i messaggi inviati al telefono oppure la notifica a un “dispositivo indossabile” (come gli smartwatch). Ad oggi quasi tutti i servizi della Rete prevedono la possibilità di attivare questa funzione. Con il sistema di verifica a due fattori creare password diverse o complicate non sarà più un problema perché senza il nostro telefono (o in generale senza il secondo fattore) nessun hacker potrà mai accedere ai nostri dati.

Fonte: federprivacy.it

Il falso contrattuale resta punibile

Falso contrattuale punibile per violazione della privacy. L’abrogazione del falso in scrittura privata non esonera da sanzione penale se la falsificazione consiste nell’utilizzo di dati personali di soggetti ignari. Lo ha precisato una sentenza della Corte di Cassazione.

Nel caso specifico, (n. 22196 depositata l’8 maggio 2017), un procacciatore di affari per una società finanziaria è stato condannato per avere falsificato un contratto di finanziamento, facendo apparire che un tale avesse stipulato un contratto di finanziamento di 3 mila euro per l’acquisto di un televisore.

I reati contestati al rappresentante erano due: il falso in scrittura privata (Articolo 485 codice penale) per avere contraffatto il documento e le firme; il trattamento dei dati personali senza consenso (articolo 167 del codice della privacy). La questione è pervenuta alla Cassazione, che con la sentenza in oggetto si è occupata, innanzi tutto, dell’intervenuta abrogazione dell’articolo 485 del codice penale.

In effetti l’articolo 1, comma 1, lettera a), del dlgs 7/2016 ha abrogato l’articolo 485 del codice penale e le falsificazioni delle scritture private non sono più previste dalla legge come reato (salvo alcune eccezioni).

L’abrogazione dell’articolo 485 codice penale non consente all’autore del falso di sottrarsi da qualsiasi conseguenza sanzionatoria.

Certo residua la possibilità per la vittima o, comunque, per il soggetto danneggiato di chiedere il risarcimento dei danni subiti.

Questo vuol dire però che bisogna iniziare un processo civile a parte con i tempi e i costi della giustizia civile. Inoltre in caso di insolvibilità del danneggiante, il sistema di fatto non prevede alcuna possibilità di reazione efficace.

Peraltro rimane una possibilità. Svincolare il falso in scrittura privata dal quadro delle previsioni penali, non significa eliminare sempre una possibilità di condanna.

Rimane, infatti, la questione della violazione della privacy.

Non a caso nel caso specifico la Cassazione ha rinviato alla Corte di appello per la determinazione della pena, essendo rimasta in piedi la sola condanna per la violazione della privacy.

Il reato punito dall’articolo 167 del codice della privacy sottopone alla pena della reclusione da 6 a 18 mesi (ipotesi base), salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione, tra gli altri, dell’articolo 23 dello stesso Codice della privacy (obbligo di consenso), se dal fatto deriva nocumento.

Questo significa che trattare i dati senza il consenso dell’interessato espone a conseguenze penali, purché siano riscontrabili gli altri requisiti elencati nell’articolo: finalità di profitto o di danno e conseguenza lesiva.

Anzi. Si deve aggiungere che, oltre alla conseguenza penale, c’è anche una sanzione amministrativa. Ai sensi dell’articolo 162, comma 2-bis, del codice della privacy, infatti, in caso di trattamento di dati personali effettuato in violazione delle disposizioni indicate nell’articolo 167 deve essere applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 10 mila euro a 120 mila euro.

In sostanza l’abrogazione dell’articolo 485 del codice penale non neutralizza una sanzione penale, purché si faccia un trattamento dati altrui (diverso sarebbe il caso dell’uso di dati di fantasia).

Fonte: Italia Oggi del 15 maggio 2017 Articolo a cura di Antonio Ciccia Messina

Cassazione – NO all’installazione delle telecamere con il solo consenso dei dipendenti

La Corte di Cassazione ha ribadito recentemente (maggio 2017) che costituisce reato penale l’installazione, da parte del datore di lavoro, di telecamere per il controllo dei lavoratori, senza che detta installazione sia preceduta da un accordo con le RSU aziendali o da una autorizzazione da parte dell’Ispettorato del Lavoro.

I giudici hanno evidenziato come non sia sufficiente che i dipendenti abbiano dato il loro consenso scritto all’utilizzo di tale apparecchio.

Queste le motivazioni:

  • Lo statuto dei lavoratori tutela un bene di natura collettiva e non individuale perché i singoli addetti non hanno forza per una trattativa alla pari;
  • Lo stesso Garante della privacy ha più volte ritenuto illecito il trattamento dei dati personali effettuato tramite sistemi di videosorveglianza installati senza il rispetto dei vincoli procedurali previsti dall’art. 4, nonostante l’eventuale consenso dei singoli lavoratori;
  • Tali considerazioni valgono sia per la versione dell’art. 4 antecedente al Jobs act, sia per il testo risultante dalle modifiche apportate con il D.Lgs n. 151/2015, in quanto entrambe le norme continuano a richiedere, fatti salvi casi particolari, l’accordo sindacale o l’autorizzazione amministrativa per l’installazione di strumenti di controllo a distanza.

    Fonte: Armando Iovino
    Scarica la sentenza da Alert Privacy

Nuovo Regolamento Ue sulla privacy. Dal Garante la prima Guida applicativa

 

l Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è duplice: da una parte offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy; dall’altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche: Fondamenti di liceità del trattamento; Informativa; Diritti degli interessati; Titolare, responsabile, incaricato del trattamento; Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

La guida è disponibile sul sito del Garante www.garanteprivacy.it in formato ipertestuale navigabile.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

Roma, 28 aprile 2017