Articoli

Didattica a distanza ai tempi del Covid-19: l’istruzione non si ferma, ma attenzione ai dati dei minori e agli attacchi malevoli

Avv. Vincenzo Colarocco

L’emergenza causata dal diffondersi del Covid-19, presta il fianco a soggetti malintenzionati che, facendo leva sull’attuale situazione, fanno girare e-mail e pec dubbie che a volte contengono dei veri e propri malware o, addirittura, hackerano i sistemi.

È proprio delle ultime ore la notizia dell’attacco alle piattaforme didattiche e ai registri online gestiti da Axios, che in poche ore sono stati messi letteralmente fuori uso.

Per tali ragioni, se, come vedremo, da un lato l’utilizzo di queste piattaforme è senz’altro utile oltre che consigliato, dall’altro impone l’adozione di ulteriori e più rigide misure di sicurezza, anche atte a limitare errori umani.

Secondo quanto previsto dal Dpcm dell’8 marzo 2020, i dirigenti scolastici attivano, nel più ampio esercizio delle proprie prerogative, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza, con particolare attenzione alle specifiche esigenze degli studenti con disabilità (art. 2 lett. m). Previsione similare è contenuta nello stesso decreto per le Università per le quali le attività didattiche o curriculari possono essere svolte con modalità a distanza dalle stesse individuate (art. 2 lett. n).

Il MIUR, con la nota dell’8 marzo, ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali ma si sostanzia in un insieme di attività che vanno “dalla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza, presso l’istituzione scolastica, presso il domicilio o altre strutture”.

Anche il Garante per la protezione dei dati personali, con il Provvedimento del 26 marzo 2020, n. 64, ha fornito delle prime indicazioni utili per la didattica a distanza dal punto di vista privacy.

 In particolare, l’Autorità ha avuto modo di chiarire che gli istituti scolastici “dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).

Con riferimento al consenso è stato chiarito che le istituzioni scolastiche non devono richiedere il consenso per la gestione dei dati personali degli interessati trattati per il tramite delle piattaforme digitali non tanto perché era già stato rilasciato al momento dell’iscrizione quanto, piuttosto, perché è connesso all’esecuzione di un contratto di cui l’interessato è parte ovvero all’esecuzione di un compito d’interesse pubblico (art. 6 lett. b) ed e) del Regolamento).

Considerazioni diverse, invece, andrebbero fatte qualora si vogliano utilizzare dati particolari, ad esempio dati biometrici, per permettere tanto agli studenti che stanno per concludere il liceo quanto agli studenti universitari di sostenere gli esami da remoto. In questi casi il trattamento del dato biometrico dello studente è legittimato dall’acquisizione del suo consenso, ai sensi e per gli effetti dell’art. 9 lett. a) del Regolamento.

 “Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679”. Così la nota del MIUR sull’informativa. In linea con quanto previsto dalla normativa vigente gli istituti scolastici sono tenuti a informare i propri studenti.

Il Garante Privacy ha avuto modo di precisare che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.

Il Data Breach dell’INPS cosa ci insegna?

Avv. Vincenzo Colarocco

Un grande caso di data breach, in vigenza del GDPR ed in piena emergenza Covid-19, ha colpito l’Istituto nazionale della previdenza sociale (INPS), dal cui sito web è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti.

L’evidente deficit di sicurezza informatica, dimostra come, specie per la pubblica amministrazione, non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione. Il Garante privacy italiano, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

In questo momento di forte distanziamento sociale ma di avvicinamento digitale, pare necessaria una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento nella gestione dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico ed indispensabile, anche in un ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.

È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione. Tuttavia, pare doveroso sottolineare come per il caso di specie non si sia trattato di un attacco perpetrato da terzi malintenzionati.

In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.

Sarà opportuno:

  • facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
  • aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
  • individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
  • predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
  • sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.

Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione. Quanto è accaduto, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.

È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.

La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.

FAQ Coronavirus – Data protection

In ragione del rischio sanitario connesso alla diffusione del Covid-19, la raccolta dei dati personali si rende necessaria per ragioni di accertamento e prevenzione. Occorre tuttavia distinguere le attività di prevenzione poste in essere dai soggetti istituzionali e sanitari da quelle dei soggetti privati e degli enti pubblici. Il Garante per la protezione dei dati personali ha infatti chiarito che tale attività deve essere svolta solo da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.

Ultimo aggiornamento 14 marzo 2020 Continua a leggere

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

Avv. Vincenzo Colarocco

Nelle ultime settimane stiamo assistendo all’adozione di misure straordinarie nel tentativo di limitare il contagio da Covid-19, ma il fenomeno potrebbe essere efficacemente contenuto grazie a big data e intelligenza artificiale. L’utilizzo di dati aggregati, anonimizzati e su larga scala dei soggetti contagiati, permetterebbe infatti di elaborare modelli predittivi sull’evoluzione del contagio e di ricostruire gli spostamenti delle persone infette, evitando il sorgere di nuovi focolai e rispettando la privacy degli individui coinvolti. Per consultare l’articolo completo, clicca qui.

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

A cura di Vincenzo Colarocco per Sanità24 de Il Sole 24 Ore. Continua a leggere

Intelligenza Artificiale: in arrivo il Libro Bianco della Commissione Europea

Avv. Vincenzo Colarocco

La Commissione Europea ha annunciato che il prossimo 19 febbraio sarà pubblicato il c.d. Libro bianco sull’Intelligenza artificiale (scopo di tale “White Paper” è quello di avviare un confronto con il pubblico, le parti interessate, il Parlamento europeo e il Consiglio al fine di raggiungere il consenso politico) che ha il precipuo obiettivo di gettare le fondamenta del dibattito sulle questioni etiche legate all’intelligenza artificiale.

Del testo, il quale rappresenta l’esito della discussione pubblica inerente proposte per affrontare le sfide poste da questa tecnologia, è disponibile una bozza pubblicata dal sito di informazione Euractiv. Le informazioni trapelate da tale bozza hanno avuto un ampia eco, specie quelle riguardanti la moratoria sul riconoscimento facciale: infatti, tra le proposte avanzate dalla Commissione, spicca quella che prevede la possibilità di vietare l’uso di sistemi di riconoscimento facciale nei luoghi pubblici per un periodo che va dai tre ai cinque anni al fine di “salvaguardare i diritti delle persone, in particolare contro ogni possibile abuso della tecnologia”.

Allo stato, si attende la pubblicazione del documento – che, stando a quanto dichiarato alla commissione Affari legali del Parlamento europeo dal Commissario alla Concorrenza, Margrethe Vestager, sarà accompagnato da una relazione sulla sicurezza e le responsabilità nell’intelligenza artificiale – per comprendere la posizione strategica che l’Unione Europea vuole adottare sul tema sempre più importante per la tutela degli interessati.

“Security-Enabled Transformation: la resa dei conti”: di cosa si è discusso del Politecnico di Milano presso l’Aula Magna Carassa e Dadda, campus Bovisa del Politecnico di Milano il 5 febbraio 2020

Avv. Vincenzo Colarocco

Lo scorso 5 febbraio 2020, presso l’Aula Magna Carassa e Dadda, campus Bovisa, si è tenuto il Convegno “Security-enabled transformation: la resa dei conti” in cui sono stati presentati i risultati della Ricerca dell’Osservatorio Security & Privacy della School of Management del Politecnico di Milano (in seguito anche “Osservatorio”).

I Responsabili Scientifici dell’Osservatorio, hanno dato avvio ai lavori proponendo, insieme ai relatori chiamati al confronto, la presentazione dei risultati della Ricerca. Dall’introduzione di questo evento, già si è potuto capire, l’intento di rispondere al bisogno di conoscere, comprendere e affrontare le principali problematiche dell’information security e privacy, monitorando l’utilizzo di nuove tecniche e tecnologie a supporto di tale area da parte delle aziende e user e creando una community permanente di confronto. Come è stato più volte ribadito durante l’evento e riprendendo le parole del Garante per la protezione dei dati personali, è necessario porre l’accento “sull’importanza della protezione dati come presupposto ineludibile della sicurezza individuale e collettiva, tanto più necessario all’epoca dei big data e dell’Internet di “ogni cosa”. Con riferimento all’evoluzione del mercato dell’information security, la dinamica del mercato conferma la maggiore attenzione al tema security e data protection. È seguito, poi, l’intervento di Raoul Brenna (Responsabile della Practice Cybesecurity in CEFRIEL e Direttore del Percorso di Alta Formazione per Cybersecurity Manager) che ha ribadito come dalle nuove tecnologie nascono nuove opportunità ma anche nuove minacce e come determinati fattori quali, la cultura, il livello di persone e di organizzazione, siano elementi imprescindibili in un’ottica di cybersecurity. A seguire vi sono state molteplici tavole rotonde incentrate sui temi della:

  • trasformazione digitale e il ruolo strategico della sicurezza: tra security-by-design e strumenti della difesa real time”;
  • gestione dell’Industrial Security: tecnologie, modelli organizzativi e scenari di rischio”: ci si è soffermati sulla necessità di guardare prima la minaccia e poi la vulnerabilità differenziando i casi di “minaccia economicamente motivata” (più pericolosa) da quelle minacce poste in essere da aggressori “non economicamente motivati”. Inoltre, è stato precisato come sia sempre più opportuno porre in essere delle simulazioni di attacco per la verifica delle procedure aziendali in linea con le aspettative di business. E ancora, ci si è soffermati sulla security by design: prevedendo dei piani di miglioramento della sicurezza a lungo termine (minimizzazione dei contenuti e introduzione di una security by design nei processi con proposizione di standard per l’integrazione dei sistemi di sicurezza (nuovi impianti e linee produttive).
  • “GDPR e data protection: procedure e strumenti per garantire la compliance alle normative”. Durante il confronto, sono state raccontate le esperienze di adeguamento di varie realtà aziendali.

A seguire, nel pomeriggio, si è dato avvio a due sessioni parallele, l’una incentrata sui temi più tecnologici con riferimento all’ “Evoluzione dell’Information security tra nuove minacce e specializzazione delle difese” moderata da L. Bechelli, e l’altra sugli “Strumenti per garantire la compliance normativa e una efficace gestione dei rischi”, moderata da G. Troiano. Durante quest’ultima fase e nel corso della prima sessione sono state evidenziate alcune feature importanti per un sistema di gestione integrato, tra cui:

  • la definizione di un modello organizzativo per la data privacy fondato sul principio di accountability o responsabilizzazione;
  • la centralità del ruolo del Data Protection Officer;
  • la necessità di adeguare il corpo normativo interno con aggiornamento dei controlli tecnologici e delle clausole contrattuali per la gestione delle terze parti;
  • la definizione di un’infrastruttura tecnologica;
  • la definizione di una struttura organizzativa;
  • la definizione esaustiva di minacce, misure di sicurezza, nonché di gestione del rischio orientato al miglioramento continuo, anche per una migliore gestione dei data breach.

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso

Avv. Vincenzo Colarocco

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso. È quanto disposto dal Tribunale di Bari accogliendo il ricorso di un uomo che chiedeva venissero rimosse le foto sue e dei suoi figli dal profilo Facebook della propria ex compagna.

La pubblicazione di una foto è subordinata alla manifestazione, esplicita o implicita, del consenso da parte della persona ritratta. E tale condizione “è prevista sia dalle disposizioni normative a tutela del diritto all’immagine (art. 10 c.c. et art. 96 legge 633/1941) sia da quelle a tutela del diritto alla riservatezza (art. 6 Regolamento UE 2016/679) poiché l’altrui pubblicazione di una propria immagine fotografica costituisce in ogni caso (e a prescindere dall’applicabilità o meno della normativa di tutela di riferimento) una forma di trattamento di un dato personale”.

Irrilevante la differenza tra negazione e cessazione del consenso. Nel caso di specie, il consenso del ricorrente risulta espressamente negato, o, comunque, ne risulta comunicata la cessazione.

Il giudice ha disposto anche una misura di coercizione indiretta dell’adempimento dell’obbligo a norma dell’articolo 614-bis del c.p.c., condannando la donna a corrispondere una somma per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione.

Come calcolare il rischio data protection? Arriva il tool dell’ENISA

Avv. Vincenzo Colarocco

Sin dal 2018, l’Agenzia europea per la sicurezza delle reti e dell’informazione, anche nota come ENISA, in linea con il principio di accountability sancito dal legislatore comunitario, ha promosso un approccio basato sul rischio per l’adozione di misure di sicurezza per la protezione dei dati personali. Nell’esercizio della propria funzione, tutta incentrata sull’analisi di soluzioni tecniche ottimali per l’implementazione degli adempimenti prescritti dal GDPR, in un’ottica di mitigazione del rischio, l’Agenzia ha lanciato una piattaforma online che consente di ottenere il profilo di rischio del trattamento posto in essere. La piattaforma è da intendersi come strumento collettivo per la gestione del rischio lato data protection: infatti, le raccomandazioni si riferiscono non soltanto alle PMI, ma anche agli organismi competenti dell’UE ed alle autorità di controllo, fino alla Commissione europea.

La piattaforma è stata resa disponibile in occasione della giornata della protezione dei dati personali 2020, il 28 gennaio.

Allarme ransomware: azienda licenzia 300 dipendenti

Avv. Vincenzo Colarocco

“The Heritage Company”, società americana con sede in Arkansas e 61 anni d’esperienza, potrebbe chiudere definitivamente. Poco prima del Natale, infatti, circa 300 lavoratori hanno ricevuto una lettera dalla compagnia in cui si invitava gli stessi a “cercare un altro lavoro”.

All’origine dell’infausto evento ci sarebbe un attacco ransomware.

Nello specifico, la società di telemarketing era stata colpita lo scorso ottobre da un virus il quale, colpendo i server aziendali, aveva ottenuto i dati in questi circolanti, paralizzando l’attività di tutti gli impiegati. Nella lettera, ottenuta dai media locali, si leggono le parole dell’amministratore delegato, Sandra Franecke, la quale spiega che all’attacco ha fatto seguito una richiesta di riscatto alla quale, la società, ha deciso di adempiere: tutto, pur di riprendere l’attività.

Purtroppo, però, le operazioni di restore hanno richiesto più tempo del dovuto, causando all’azienda perdite per centinaia di migliaia di dollari, perdite che hanno inciso sulla scelta di adottare il drastico comunicato.

Non è la prima volta che, nell’ultimo anno, attacchi ransomware hanno portato alla perdita di posti di lavoro da parte di dipendenti aziendali e persino alla chiusura d’intere aziende.

A settembre, ad esempio, il “Wood Ranch Medical”, con sede in California, ha annunciato che avrebbe chiuso a dicembre, in quanto il provider non era stato in grado di recuperare le cartelle cliniche dei pazienti perse sulla scia di un attacco ransomware di agosto.

Il “Brookside ENT and Hearing Center” del Michigan, invece, annunciò chiusura in aprile, dopo aver rifiutato di pagare il riscatto agli hackers, con il risultato che questi ultimi hanno cancellato tutti i dati dei loro pazienti.