Windows 10 senza privacy: come sistemarne le impostazioni di default

Win10_spyWindows 10 si è affacciato da qualche giorno sulla scena mondiale e, affianco agli unanimi commenti positivi circa le sue caratteristiche generali,  già sta suscitando critiche da più parti per la scelta operata da Microsoft di aver previsto una configurazione di base (di default) del sistema particolarmente invasiva per la privacy degli utenti.Infatti, se non si interviene in fase di installazione o in un momento successivo, la configurazione di default del sistema operativo consente alla software house di Redmond di raccogliere moltissime informazioni disponibili sull’utente, dalla cronologia delle posizioni geografiche ai messaggi di testo, dai contatti personali agli appuntamenti di calendario, ecc. e di trattarle per svariate finalità. Cosa possiamo fare per evitare un’eccessiva esposizione dei nostri dati personali a causa dell’installazione del nuovo sistema?Vediamo quali impostazioni possono essere modificate per riportare la situazione entro margini più accettabili. Continua a leggere

Inusuale modalità di consultazione pubblica del Garante su IoT: un’Autorità in cerca di idee?

IoT_lamiaprivacyIl Garante nei giorni scorsi ha dato notizia dell’avvio di una consultazione pubblica sulla tematica relativa all’Internet of Things (IoT – Internet delle cose).

L’attenzione dell’Autorità è senza dubbio giustificata dall’attualità dell’argomento e dal grande interesse che suscita sia tra gli addetti ai lavori che nei semplici curiosi e lo strumento della consultazione pubblica ben si presta a favorire l’interscambio di idee e punti di vista su tematiche di frontiera come quella rappresentata nel momento attuale dall’IoT.

Continua a leggere

Attività di controllo e sanzionatoria del Garante – Business International – Milano 16 aprile 2015

BI_16.4.3015_Milano

Attività di controllo e sanzionatoria del Garante
Business International – Milano, 16 aprile 2015

Il seminario, dopo uno sguardo introduttivo alle regole che saranno definite dal futuro Regolamento Europeo, analizza le attuali sanzioni amministrative e penali, gli accertamenti definiti prioritari dal Garante per il primo semestre 2015, le modalità di svolgimento delle attività ispettive e sanzionatorie e le forme di partecipazione ai relativi procedimenti.Al di là dell’analisi dei meri adempimenti, l’obiettivo è quello di illustrare i rischi concreti legati al mancato rispetto della normativa privacy nell’ambito delle attività quotidiane di gestione del business e dell’organizzazione aziendale e di fornire orientamenti sulle misure per limitare tali rischi, nella considerazione che ormai ciascuna azione aziendale impatta su trattamenti di dati personali.

Le basi della crittografia per un suo uso consapevole

Crittografia-1La crittografia è ormai uno strumento irrinunciabile in ambito lavorativo e professionale, ma lo è sempre più anche nella vita quotidiana e privata di ognuno di noi. Ma c’è un modo per farne uso senza preoccuparsi degli aspetti più tecnici e complicati?

Negli ultimi tempi il dibattito sulla crittografia è uscito dai ristretti ambiti scientifici in cui era confinato e ha raggiunto un pubblico più ampio, anche grazie al crescente interesse suscitato nell’opinione pubblica da una serie di fatti e notizie – tra i quali spiccano le rivelazioni del il c.d. Datagate – e dalle correlate reazioni e contromisure adottate da alcune delle principali aziende del settore IT. Probabilmente saprete già che le ultime versioni dei sistemi operativi iOS e Android rilasciate rispettivamente da Apple e da Google prevedono, come impostazione predefinita, la cifratura del contenuto del dispositivo; in tutta risposta, il direttore dell’FBI James Comey e il primo ministro britannico David Cameron hanno dichiarato pubblicamente di ritenere che ciascuna tipologia di crittografia dovrebbe essere vietata almeno fino a quando i governi non abbiano a disposizione un modo per aggirarla. Eppure, nonostante il dibattito sulla crescente esigenza di riservatezza e sul ruolo fondamentale svolto in questo ambito dalla crittografia, recenti ricerche dimostrano che meno del 20 per cento degli utenti di Internet la utilizza attivamente. Ma che cosa è, esattamente, la crittografia e come influisce sulla sicurezza delle comunicazioni on-line e dei dati memorizzati sui dispositivi?

Continua a leggere

Cyber-risk management: i 5 principi fondamentali che gli organi sociali non possono ignorare

Cyber-risk_management

Le principali aziende e organizzazioni tendono ad approcciare le questioni relative alla gestione dei rischi in materia di sicurezza informatica nello stesso modo in cui gestiscono gli altri rischi critici, ossia effettuando valutazioni in termini di rischio-rendimento. Tale approccio è particolarmente difficile in ambito informatico e può risultare inefficace per due motivi. In primo luogo, la complessità delle minacce informatiche è cresciuta notevolmente. Le aziende oggi devono affrontare eventi sempre più sofisticati che rendono inadeguate le difese tradizionali. La crescente complessità di questi attacchi comporta un corrispondente aumento dei pericoli che le organizzazioni devono fronteggiare e i potenziali effetti di una violazione dei dati (data breach) possono estendersi ben oltre i limiti della mera compromissione o perdita di informazioni per arrivare ad includere danni significativi in altri settori. In secondo luogo, le pressioni competitive verso l’implementazione di tecnologie di business sempre più convenienti incidono in modo evidente sulle risorse stanziate per gli investimenti nel settore della sicurezza informatica. Queste due pressioni concorrenti con le quali il personale e il management aziendale devono confrontarsi rendono determinante il ruolo di supervisione consapevole e globale affidato ai consigli di amministrazione. La National Association of Corporate Directors ha individuato cinque passi che tutti i consigli di amministrazione dovrebbero tenere presenti per migliorare la loro azione di sorveglianza nel settore dei rischi informatici.

Continua a leggere

Provvedimento e linee guida in materia di biometria – 12.11.2014

biometria

A seguito della pubblicazione in  Gazzetta Ufficiale, il 2 dicembre scorso è entrato in vigore il provvedimento generale del Garante in materia di biometria, unitamente alle relative linee guida e al modulo per la comunicazione all’Autorità di violazioni dei sistemi biometrici.

Il provvedimento di carattere prescrittivo individua alcune tipologie di trattamento che, qualora siano poste in essere nel rispetto delle misure e degli accorgimenti di carattere tecnico, organizzativo e procedurale stabiliti dal Garante, non necessitano più della verifica preliminare da parte dell’Autorità; dovranno comunque essere sempre rispettati i restanti presupposti di legittimità del trattamento previsti dal Codice, tra cui la necessità di fornire sempre un’adeguata informativa agli interessati e di acquisirne il consenso, ove richiesto, nonché di effettuare la notificazione ai sensi degli artt. 37, comma 1, lett. a), e 38, del Codice, se necessaria (al riguardo si vedano il Provvedimento relativo ai casi da sottrarre all’obbligo di notificazione del 31 marzo 2004 [doc. web n. 852561]), il Provvedimento recante “Chiarimenti sui trattamenti da notificare al Garante” del 23 aprile 2004 [doc. web n. 993385] e la Comunicazione recante “Notificazioni in ambito sanitario: precisazioni del Garante” del 26 aprile 2004 [doc. web n. 996680]).

I trattamenti “esentati” dalla verifica preliminare sono quelli in cui i dati biometrici sono utilizzati:

  • nell’ambito di procedure di autenticazione informatica (punto 4.1);
  • per il controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e per l’utilizzo di apparati e macchinari pericolosi (punto 4.2);
  • per scopi “facilitativi”  mediante l’uso dell’impronta digitale o della topografia della mano (punto 4.3);
  • per la sottoscrizione di documenti informatici (punto 4.4).

Inoltre il Garante ha stabilito in quali casi si possono effettuare alcuni dei predetti trattamenti di dati biometrici anche senza il consenso degli interessati, effettuando a tal fine un bilanciamento tra il legittimo interesse del titolare del trattamento ad utilizzare tali dati e quello degli interessati affinché non siano lesi i relativi diritti e libertà fondamentali, la dignità o un legittimo interesse.

Le linee guida, oltre a svolgere una funzione divulgativa, sono strutturate in modo tale da agevolare la comprensione del provvedimento e da contestualizzarne le misure prescrittive, approfondendo anche determinati aspetti che nel provvedimento sono solamente accennati.

Misura di particolare rilevanza è quella relativa all’obbligo generale imposto dal Garante ai titolari di trattamenti di dati biometrici di comunicare all’Autorità, entro 24 ore dal fatto, qualsiasi incidente informatico o violazione di dati che riguardi dati biometrici.

Ultima ma non trascurabile annotazione riguarda la circostanza che il Garante, avendo circoscritto nel provvedimento i casi (e le relative condizioni) nei quali non è richiesta ai titolari del trattamento di dati biometrici l’effettuazione di una verifica preliminare, di converso ha implicitamente stabilito che in tutti gli altri casi in cui un titolare del trattamento intenda effettuare un trattamento di dati biometrici dovrà, prima dell’inizio del trattamento,  richiedere al Garante la verifica preliminare di cui all’art. 17 del Codice.

Resta fermo che non dovranno essere oggetto di ulteriori istanze i trattamenti di dati biometrici che i titolari del trattamento abbiano in passato già sottoposto alla verifica preliminare da parte del Garante e sui quali l’Autorità abbia già espresso le proprie valutazioni con specifici provvedimenti.

Continua a leggere