GDPR: le aziende italiane sono le più sanzionate. Raddoppiano le ispezioni rispetto all’inizio del 2021 di GDPRlab.it

Lo studio legale internazionale DLA Piper ha elaborato un sondaggio per “scattare una fotografia” della situazione delle aziende italiane rispetto all’applicazione del GDPR a 3 anni dall’entrata in vigore del Regolamento stesso. Il campione di aziende intervistate afferisce a vari settori:

  • 24% tecnologia, media e telecomunicazioni;
  • 23% aziende alimentari e vendita al dettaglio;
  • 16% servizi finanziari e mercato bancario;
  • 9% assicurazioni;
  • 11% wellness e life sciences.

Dal sondaggio emerge chiaramente come le aziende italiane risultino le più sanzionale in Europa per violazioni delle previsioni del GDPR. Il numero di sanzioni è correlato ad un vero e proprio balzo in avanti del numero di ispezioni compiute dall’authority, che risultano raddoppiate rispetto allo stesso semestre dello scorso anno: un dato che ribadisce la necessità e urgenza, per le aziende, di adottare procedure interne per gestire al meglio eventuali ispezioni da parte del Garante.

Dal sondaggio emerge che oltre il 43% degli intervistati si è già organizzata in questo senso, il 19% ha adottato invece una procedura interna, senza però analizzarla e specificarla nei dettagli. C’è anche un 7% di aziende che non ha adottato alcuna procedura di gestione delle ispezioni e ritiene di non averne bisogno, mentre il 5% degli intervistati ha dichiarato di aver già subito ispezioni e quindi ritiene di non aver bisogno di procedure ad hoc.

A fronte di un aumento dell’attività ispettiva, non corrisponde però una conseguente attenzione alla notifica dei data breach subiti: il Data breach report 2021, pubblicato sempre da Dla Piper mostra come il numero di breach notificati al Garante in questi 3 anni sia di 3460, dato che stride con le 77.747 notifiche registrate in Germania. Il dato stride perchè non indica che le aziende italiane sono più sicure e ubiscono meno breach ma che, anzi, le aziende italiane sono estremamente restie a denunciare i data breach subiti nonostante sia un obbligo di legge.

Sul tema è interessante registrare come solo il 26% delle aziende esegua analisi specifiche caso per caso o richieda l’assistenza di un legale esterno, solo il 14% si è dotato di una procedura interna ma anche di strumenti legali per garantire imparzialità e indipendenza nella valutazione dei breach. Eppure il 74% degli intervistati conferma di avere introdotto una procedura interna sul punto: insomma, il rischio è che tali procedure rimangano “pura lettera”, semplicemente formali, senza una solida e dettagliata analisi sia del caso che degli obblighi derivanti.

Interessante il cambio di rotta che emerge sull’uso dei cookie per attività di marketing: il 49% dichiara di non svolgere (o non svolgere più) attività di marketing su siti di terze parti, mentre solo il 19% delle aziende installa i propri cookie su siti di terze parti.

Il grande enigma: quanto conservare i dati?
Pare che uno dei temi che più crea difficoltà agli esperti di privacy sia quello dei termini di conservazione dei dati. I dati indicano inoltre che questo problema è il più sottovalutato dalle aziende nonostante già siano state emesse le prime sanzioni proprio per violazione dei termini di conservazione. In fatto ad esempio, di trattamenti a finalità di marketing, il 19% conserva i dati per più di 24 mesi dalla raccolta dei dati stessi o dall’ultima interazione dell’utente mentre oltre il 21% non dà alcuna limitazione alla conservazione dei dati finchè non è l’interessato stesso ad eseguire l’opt-out.

Rispetto invece alla finalità di profilazione dell’utente, il 18% non cancella mai i dati e continua a trattarli in una modalità che è si aggregata, ma che consente comunque di risalire al dato singolo. Un rassicurante 53% però quantifica le aziende che procedono alla cancellazione dei dati personali.

Il trasferimento dati: aziende nel caos dopo la sentenza Schrems II
La sentenza Schrems II pare aver mandato in confusione alcune aziende sul come gestire il trasferimento dei dati fuori dallo Spazio economico europeo: solo il 37% delle società valuta sistematicamente il trasferimento dei dati personali, il 19% si limita alle analisi a quei dati che sono asset rilevante per l’azienda. Oltre la metà degli intervistati, però, non esegue alcun audio o controllo sui propri fornitori.

I dati illecitamente ottenuti non possono essere utilizzati di Avv. Gianni Dell’Aiuto

Il Garante per la Protezione dei dati personali si è immediatamente attivato di fronte delle notizie di stampa che hanno riferito del data breach di Linkedin, a seguito del quale sono oggi disponibili in rete i dati di circa mezzo miliardo di utenti che sono stati sottratti mediante web Scraping. Si tratta, questa, di una tecnica usata per sottrarre dati mediante programmi software che simulano una normale navigazione mediante i browser più utilizzati quali Mozilla e Firefox.

Il nostro Garante ha preso atto di come, tra i dati così ottenuti dagli hacker, vi possano essere nomi completi e indirizzi email di utenti che possono essere collegati ad altri social nonché le qualifiche professionali degli iscritti ad una piattaforma usata esclusivamente per motivi di lavoro. Non è possibile escludere che siano stati oggetto di sottrazione anche altri dati sensibili.

Se da un lato qualcuno potrebbe pensare che, in teoria, i dati che gli utenti rilasciano su internet siano volutamente esposti in quanto ciò che viene ricercato è una forma di visibilità personale, i rischi di utilizzo illecito sono elevatissimi, in particolare da parte di aziende che, nonostante le ultime, recenti, salate sanzioni dello stesso Garante, continuano attività di telemarketing.

Il Garante ha quindi chiesto informazioni sul Data breach a Linkedin, ma non si è sottratto dal ricordare come ai sensi dell’art. 2-decies del Codice Privacy, così come modificato, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati ed ogni trattamento sarebbe privo di una valida base giuridica.

Sulla base di queste premesse il Garante ha emesso un avvertimento a chiunque, per qualsiasi ragione, tratti dati personali: l’avvertimento specifica che ogni forma di trattamento dei dati personali oggetto della violazione descritta in premessa si porrebbe in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali.

Un ammonimento che si spera non resti lettera morta nei confronti di chi pensasse di accedere a questa miniera di informazioni per farne uso.

Dopo regolare denuncia del furto di un hard disk con dati personali, l’ARPAC Campania subisce comunque la sanzione del Garante.. di GPDRlab

Oltre il danno, la beffa si potrebbe dire però il GDPR sul tema è chiaro: in caso di esposizione di dati personali aziende ed enti pubblici hanno il dovere di presentare comunicazione al Garante. Garante che però ha, a sua volta, il dovere di avviare un’istruttoria per verificare l’accaduto e sanzionare eventuali mancanze anche da parte del denunciante. E così è successo ad Arpa Campania (ARPAC), l’Agenzia Regionale per la Protezione dell’Ambiente: un dipendente dell’ente, dopo aver subito il furto di un hard disk contenente dati personali, ha sporto denuncia presso i Carabinieri ma anche, coerentemente con le previsioni del GDPR, il Garante per la protezione dei dati personali.

Tutto corretto e degno di lode, si potrebbe dire: non per il Garante però, che ha deciso comunque di sanzionare ARPAC.

Dopo aver effettuato le dovute verifiche infatti, la nostra Authority ha emesso il provvedimento n. 5/2021 con il quale, alla luce del combinato disposto dagli artt.5 e 32 del GDPR, ha sanzionato l’ARPAC per 8.000 euro circa a titolo di sanzione amministrativa con pubblicazione del provvedimento sul sito dell’Autorità visto che

la violazione è emersa in occasione di una condotta presumibilmente criminosa che potrebbe presentare aspetti di carattere penale, stante peraltro la denuncia presentata dall’Agenzia alle autorità competenti, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del regolamento del Garante n. 1/2019.”

La motivazione? Semplicemente l’hard disk smarrito, contenente dati personali sia provenienti dall’ambito lavorativo che privato dei dipendenti ARPAC, non aveva attivo alcuno strumento di protezione dei dati: in dettaglio il Garante rilevava l’assenza sia di qualsiasi meccanismo di criptazione dei dati che di limite all’accesso agli stessi, consentendo quindi al ladro di poter accedere senza alcuna limitazione al contenuto dell’hard disk rubato.

Ecco perchè il Garante ha ritenuto che, nonostante il furto subito, il titolare del trattamento resti responsabile dei dati, quindi anche della mancata implementazione di misure di sicurezza preventiva: da qui il provvedimento sanzionatorio.

Ransomware e istituzioni: dopo i Comuni di Brescia e Rho, giù i server dell’Agenzia Territoriale per la Casa di Torino. Negare i databreach è un errore! di Alessandro Papini – Presidente AIP

Periodo nero per l’Italia, in fatto di ransomware, con una particolarità: certo, le aziende restano bersaglio prediletto dei ransomware come dimostrano gli attacchi che hanno affossato i server di Boggi Milano e Axios, ma la nuova frontiera pare quella di colpire le istituzioni.

I comuni di Brescia e Rho sono stati attaccati durante le vacanze di Pasqua: criptati tutti i dati, server down, servizi alla cittadinanza (come l’anagrafe) sospesi e inaccessibili, estorsioni e ricatti milionari. 1.3 milioni di euro in Bitcoin è stata la richiesta al Comune di Brescia, 400.00 euro divenuti poi 650mila qualche giorno dopo sono stati richiesti al Comune di Rho. “Tra l’altro – dice il sindaco di Rho Pietro Romano – hanno davvero sbagliato bersaglio, visto che un’amministrazione comunale, anche volendo, non avrebbe potuto mai pagare“.

Infine è la volta dell’Agenzia Territoriale per la Casa di Torino: l’attacco si è svolto nella notte tra il 10 e l’11 Aprile ha completamente bloccato il sistema. I tecnici hanno scoperto l’attacco soltanto la mattina, annunciandolo poi poco dopo sui social e comunicando la sospensione di tutte le pratiche agli sportelli. Il sito web non è ancora stato ripristinato: come si legge all’indirizzo https://www.atc.torino.it/, è stata approntata una pagina provvisoria in attesa che il sito ufficiale possa essere ripristinato.

La cifra richiesta in riscatto è di 700.000 dollari, nel frattempo le famiglie che usufruiscono dei servizi di ATC, che gestisce 30.000 appartamenti di edilizia popolare a Torino, stanno incontrando disservizi continui: tema che l’Agenzia stessa ha portato all’attenzione degli attaccanti, forse in cerca di una risoluzione “etica” della questione. Alla fine, ha detto l’Agenzia agli attaccanti, chi sta subendo l’attacco non è l’agenzia stessa ma sono le famiglie.

Dalla comunicazione presente sulla pagina si evince che sono sospese anche le comunicazioni email e che anche il sistema di pagamanto è sospeso e sta determinando ritardi e disservizi. ATC ha fatto sapere di non avere alcuna intenzione di pagare il riscatto, nel frattempo mantiene i servizi possibili tornando a carta, penna e fax.

Ransomware e data breach: rassicurare troppo presto è un errore
ATC, rispetto ad altre vittime italiane recenti, non si è limitata ad allertare la Polizia Postale ma ha anche regolarmente notificato al Garante per la Protezione dei dati personali il data breach subito. Correttamente ATC ha fatto un ragionamento che dovrebbe valere sempre, vista l’evoluzione delle tecniche di attacco dei gruppi ransomware: un attacco ransomware va sempre e comunque considerato un data breach.

Il trend del “doppio riscatto” (addirittura triplo i alcuni casi) è ormai dato per assodato nel mondo dei ransomware: i gruppi di attaccanti richiedono ormai quasi sempre due diversi riscatti, uno per ottenere il tool per riportare in chiaro i file e uno per non far pubblicare i dati rubati o metterli in vendita nel dark web. Un solo attacco, doppio profitto, si potrebbe dire in breve. Questo è il motivo per il quale oramai ogni attacco ransomware è preceduto da una fase in cui gli attaccanti cercano, ottenuto l’accesso iniziale alla rete, di diffondersi a tutte le macchine collegate in rete (e eventualmente ai servizi cloud, dove presenti) per esfiltrare / rubare quanti più dati possibili, molto molto spesso dati sensibili e personali.

ATC da questo punto di vista è stato virtuoso: esponendosi anche al rischio di eventuali future sanzioni del Garante (che ha ovviamente aperto istruttoria e dovrà valutare la conformità del trattamento dei dati in atto presso ATC rispetto al GDRP) ha correttamente denunciato il data breach. Denuncia che invece non è avvenuta negli altri casi noti: anzi, al contrario sia il comune di Brescia che quello di Rho hanno categoricamente negato la compromissione di dati personali e sensibili, forse nel tentativo di ridurre il danno d’immagine.

Un esempio potrebbe essere la terribile figuraccia rimediata dal Comune di Brescia, vittima del ransomware DoppelPaymer, tra i più importanti ransomware specializzati nella tecnica della “doppia estorsione”. Il Comune, che prima aveva negato l’attacco per poi invece confermarlo costretto dai fatti a causa di diverse soffiate e fughe di notizie sui giornali nazionale e locali, ha ripetuto fermamente, convintamente e più volte di non aver subito data breach: insomma, utenti rassicurati, i dati personali dei cittadini bresciani sono al sicuro.

Peccato che pochissimi giorni dopo queste roboanti dichiarazioni, gli attaccanti hanno non solo aumentato il riscatto (ad ora a 3 milioni di euro), data la ferma volontà dell’amministrazione di non pagare, ma hanno anche pubblicato sul proprio sito di leak 4 file scaricabili contenenti una parte dei dati rubati. Stesso trama per il Comune di Rho: negata l’esfiltrazione dei dati, ma pochi giorni dopo sempre il gruppo DopplePaymer ha pubblicato nel proprio sito di leak e messo in vendita i dati rubati. Le foto sotto mostrano alcuni dati pubblicati sui siti di leak degli attaccanti che hanno colpito i comuni di Brescia, Rho e Caselle Torinese.