Nominato in ritardo il Responsabile della protezione dati e diffusi i curricula di 5000 manager
Il Garante per la privacy ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.
Per la prima volta l’Autorità ha sanzionato una Pa per non avere designato il Rdp entro il termine stabilito ed avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo. Ciò nonostante il Garante avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento.
La mancata nomina, è emersa nel corso di una istruttoria, aperta dall’Ufficio anche a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria. All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale.
Dal sito era inoltre possibile scaricare anche il decreto direttoriale con il quale l’elenco era stato approvato, contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.
L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato, non in linea con i principi del Gdpr. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.). Si sarebbero potute prevedere, ad esempio, forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione (es. username o password), oppure ancora tramite gli strumenti previsti dal CAD, che permettessero la consultazione solo alle Pmi interessate.
Il 2020 è stato l’anno dei data breach. Oltre mezzo miliardo di record personali sono stati considerati persi / violati a causa di attacchi informatici.
Le minacce di phishing, ransomware e malware è più grave di quanto un semplice cittadino possa immaginare. Queste minacce oggi influenzano il modo in cui facciamo business, effettuiamo transazioni finanziarie, acquisti online e persino quando comunichiamo con gli altri.
Mentre iniziare a vendere online è diventato relativamente semplice, tenere al sicuro i dati da hacking, phishing e altri attacchi informatici non lo è. È un incubo per la maggior parte degli imprenditori online.
Per i proprietari di piccole imprese, il rischio è ancora maggiore poiché la scelta delle misure di sicurezza è spesso al di là della portata delle risorse che hanno a disposizione.
Ecco 8 modi comprovati in cui una piccola impresa che fa commercio online può garantire la sicurezza a sé stessa e ai propri clienti.
1. Raccogli solo i dati che utilizzerai
Non raccogliere dati solo perché puoi. Potrebbe benissimo diventare un problema aggiuntivo in caso di data breach. l principio di minimizzazione dei dati fa parte dei principi in base ai quali si effettua il trattamento dei dati. Esso parte dall’idea che, salvo poche eccezioni, un titolare deve trattare solo i dati di cui ha realmente bisogno per raggiungere le finalità del trattamento.
Quasi tutte le landing page e i form di registrazione online sono ottimizzate per raccogliere tante informazioni. È facile raccogliere l’e-mail del cliente, il numero di telefono o anche i numeri della carta di credito. Ma prima di raccogliere e accumulare queste informazioni importanti, sarebbe opportuno domandarsi se sono davvero necessari.
Per un e-commerce, non è necessario raccogliere tutte le informazioni possibili da un cliente. Se tali informazioni sono sensibili e che, se violate, possono causare gravi perdite, problemi ai clienti e danni di immagine all’azienda, è meglio non raccoglierle.
2. Non memorizzare le informazioni sulla carta di credito del cliente
Come per il punto precedente ma con un leggero Add-On. I numeri di carta di credito e i nomi dei clienti sono essenziali per facilitare un rapido checkout. Tuttavia, non è necessario archiviarli nei server online. Archiviare informazioni così sensibili online è come raddoppiare la scommessa sulla sicurezza informatica. In effetti, è una violazione importante degli standard PCI.
Se queste informazioni sensibili vengono perse, ti ritroverai con una reputazione danneggiata e anche sanzioni legali per le perdite causate ai clienti. Come regola generale, non memorizzare online informazioni sensibili come il numero di carta di credito del cliente. Se proprio necessario e sei autorizzato, conservali in un archivio offline dove sono lontani dalla portata degli hacker. Nel caso degli e-commerce il meglio è utilizzare dei sistemi di pagamento PayPal, Stripe, ecc. per gestire l’intera transazione relativa alla carta di credito in maniera sicura e protetta.
3. HTTP + TLS= HTTPS
I certificati TLS (Transport Layer Security) standard successore del più famoso SSL (Secure Socket Layer), sono soluzioni chiavi in mano che crittografano i dati scambiati durante la navigazione delle pagine web. La crittografia TLS è la migliore forma di sicurezza online che puoi fornire ai tuoi clienti. Un certificato TLS può aiutare a impedire agli hacker di intercettare le informazioni scambiate tra un browser web e un server.
Oltre a fornire un livello di sicurezza aggiuntivo al firewall, TLS aiuta anche ad amplificare l’affidabilità del sito Web, in particolare un negozio di e-commerce. Dopo la configurazione del certificato SSL, la barra degli indirizzi del negozio evidenzierà l’URL in verde accanto al simbolo di un lucchetto verde.
La configurazione del tuo sito web con certificato TLS lo renderà anche conforme agli standard PCI DSS. Fornisce il doppio del vantaggio al costo di uno. Triste a dirsi (sembra incredibile) nel 2021 ci sono ancora siti web, anche e-commerce, in http.
4. Essere conforme allo standard PCI DSS
La conformità PCI DSS è un must per qualsiasi sito web che effettua transazioni di denaro online. Lo standard di protezione dei dati PCI è adottato da tutte le società di carte di credito del mondo. È un parametro universalmente accettato per la sicurezza dell’e-commerce che identifica un sito Web come sicuro per effettuare transazioni di denaro. I livelli di conformità PCI DSS sono i seguenti. Confronta le metriche del tuo negozio e implementa le misure di sicurezza di conseguenza:
5. Aggiorna sempre il tuo sito web
Le applicazioni e il software che non sono aggiornati alle ultime versioni sono soggetti a hacking. Possono essere facilmente penetrati da criminali informatici che sfruttano a proprio vantaggio le vulnerabilità delle versioni precedenti. Gli hacker dispongono di software in grado di eseguire la scansione dei siti Web e di rintracciare sistemi o siti Web non adeguatamente protetti. Per evitare una tale possibile perdita, il modo migliore per procedere è aggiornare le release sw man mano che vengono rilasciate dai fornitori/produttori.
6. Attenzione alle app e ai siti web falsi
Gli hacker ora stanno scrivendo app che sembrano identiche alle app originali. I clienti sono maggiormente esposti al rischio di inserire informazioni personali in APP o SITI fake/truffa.
Il modo migliore per contrastare app e siti Web falsi è fornire l’autenticazione a due fattori. L’autenticazione a due fattori garantisce che il cliente acceda e invii informazioni solo a siti Web credibili e legittimi.
7. Verifica chi ha accesso e a cosa
Secondo alcune statistiche, oltre il 62% delle fughe di dati aziendali è originata da addetti ai lavori. Gli attacchi interni sono in costante aumento dal 2014 e hanno raggiunto livelli allarmanti nel 2020.
Rivedere periodicamente chi ha accesso e a che tipo di dati, chi può apportare modifiche e controllare tali diritti di accesso, è parte integrante della sicurezza del sito web e dell’azienda nella sua interessa. Nel settore dell’e-commerce, ciò si traduce nella configurazione di controlli di accesso per amministratori, dipendenti, fornitori e clienti.
8. Richiedi password complesse ai clienti
La sicurezza del tuo e-commerce inizia dai clienti. Sono i principali custodi delle proprie informazioni riservate. La loro sicurezza inizia con password complesse che non possono essere violate facilmente.
Un negozio di e-commerce customer-oriented richiederà ai propri clienti di utilizzare password complesse che contengano un insieme di lettere, numeri e simboli.
Migliora la sicurezza del tuo sito web
Ogni anno che passa, il numero di violazioni e minacce alla sicurezza aumenta in maniera esponenziale. La necessità di attuare serie misure di sicurezza come certificati TLS, controllo dell’accesso, autenticazione a due fattori, ecc. È diventata indispensabile.
Sebbene abbiamo esposto 8 dei principali modi in cui le aziende possono migliorare la sicurezza del proprio sito Web/e-commerce, ci sono ancora altre azioni che possono essere esplorate e implementate. Tali ulteriori misure di sicurezza possono essere implementate come un nuovo inizio verso il raggiungimento della sicurezza completa dell’e-commerce.
E Tu, cosa hai fatto per rassicurare i clienti che il tuo e-commerce è sicuro?
L’European Data Protection Supervisor ha pubblicato oggi (10.02.2021) pareri sulle proposte della Commissione europea per una legge sui servizi digitali e una legge sui mercati digitali. Entrambi i pareri mirano ad aiutare i legislatori dell’UE a plasmare un futuro digitale radicato nei valori dell’UE, compresa la protezione dei diritti fondamentali delle persone, come il diritto alla protezione dei dati.
Il EDPS accoglie con favore la proposta di una legge sui servizi digitali che mira a promuovere un ambiente in linea trasparente e sicuro. Nel suo parere, l’Autorità raccomanda misure aggiuntive per proteggere meglio le persone quando si tratta di moderazione dei contenuti, pubblicità mirata online e sistemi di raccomandazione utilizzati dalle piattaforme online, come i social media e i mercati.
Wojciech Wiewiórowski del EDPS, ha dichiarato: “Prendiamo atto che la proposta non impone un obbligo generale di monitoraggio, conferma ragionevoli esenzioni di responsabilità e le integra con un sistema paneuropeo di norme di avviso e di azione, finora mancanti“.
L’EDPS sottolinea che qualsiasi forma di moderazione dei contenuti dovrebbe avvenire nel rispetto dello Stato di diritto. La profilazione ai fini della moderazione dei contenuti dovrebbe essere vietata a meno che il fornitore di servizi online non possa dimostrare che tali misure sono strettamente necessarie per affrontare i rischi sistemici esplicitamente identificati nella legge sui servizi digitali. Inoltre, i legislatori europei dovrebbero prendere in considerazione il divieto della pubblicità mirata online basata su un monitoraggio pervasivo e limitare le categorie di dati che possono essere elaborate per tali metodi pubblicitari. Nel suo parere sulla legge sui mercati digitali, l’EDPS accoglie con favore la proposta della Commissione europea che cerca di promuovere mercati digitali equi e aperti e il trattamento equo dei dati personali regolamentando le grandi piattaforme online che fungono da guardiani.
Wojciech Wiewiórowski, EDPS, ha affermato: “La concorrenza, la protezione dei consumatori e la legislazione sulla protezione dei dati sono tre settori politici inestricabilmente collegati nel contesto dell’economia delle piattaforme online. Pertanto, la relazione tra queste tre aree dovrebbe essere una relazione di complementarità, non di attrito“.
L’EDPS sottolinea l’importanza di promuovere mercati digitali competitivi in modo che le persone abbiano una scelta più ampia di piattaforme e servizi online che possono utilizzare. Dare agli utenti un controllo migliore sui propri dati personali può rafforzare la contendibilità nei mercati digitali. Una maggiore interoperabilità può aiutare ad affrontare il blocco degli utenti e, in ultima analisi, creare opportunità per i servizi per offrire una migliore protezione dei dati.
Per garantire la corretta attuazione del pacchetto della legge sui servizi digitali della Commissione europea, l’EDPS chiede una base giuridica e una struttura chiare per una più stretta cooperazione tra le autorità di controllo competenti, comprese le autorità per la protezione dei dati, le autorità per la protezione dei consumatori e le autorità garanti della concorrenza.
Il periodo di transizione per il recesso del Regno Unito dall’Unione europea terminerà il 31.12.2020. Ciò significa che a partire dal 1° gennaio 2021, il Regno Unito non applicherà più il #GDPR e sarà in vigore differente quadro giuridico, in UK, per ciò che concerne la protezione dei dati personali.
A partire dal 1.1.2021 quindi, tutti i trasferimenti di dati personali tra le parti interessate e soggette a GDPR e le entità del Regno Unito costituiranno un trasferimento di dati personali a un paese terzo e pertanto sarà soggetto a quanto previsto dal Capo V GDPR.
In assenza di una decisione di adeguatezza applicabile al Regno Unito ai sensi dell’articolo 45 GDPR, tali trasferimenti necessiteranno di adeguate garanzie (es. SSC, BCR, codici di condotta …), nonché diritti applicabili ai sensi dell’articolo 46 GDPR.
Fatte salve condizioni specifiche, potrebbe essere ancora possibile trasferire i dati personali nel Regno Unito in base a deroga di cui all’articolo 49 GDPR. Tuttavia, l’articolo 49 del GDPR ha natura eccezionale e le deroghe in esso contenute devono essere interpretate in modo restrittivo e riguardano principalmente le attività di trattamento che sono occasionali e non ripetitive.
Inoltre, se i dati personali vengono trasferiti nel Regno Unito sulla base delle garanzie dell’articolo 46 GDPR, potrebbero essere necessarie misure supplementari per portare il livello di protezione dei dati trasferiti fino allo standard UE di equivalenza essenziale, in conformità con le Raccomandazioni 01/2020 in data misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione UE di dati personali.
Titolari e / o responsabili del trattamento dovranno inoltre adempiere ad altri obblighi derivanti dal GDPR, in particolare sulla necessità di aggiornare i registri dei trattamenti e le informative sulla privacy per menzionare i trasferimenti nel Regno Unito.
L’EDPB richiama le indicazioni fornite in materia dalle autorità di vigilanza e dalla Commissione europea (CE). Le organizzazioni SEE possono rivolgersi, se necessario, alle autorità di controllo nazionali competenti per sovrintendere alle relative attività di trattamento.
Per i trasferimenti di dati dal Regno Unito al SEE, l’EDPB suggerisce di consultare regolarmente il sito web del governo britannico e il sito web dell’ICO per una guida aggiornata.
I firewall sono sistemi hardware e/o software che proteggono gli utenti finali dal traffico dannoso su Internet. Quando i dati vengono inviati su Internet, vengono fornite anche una serie di informazioni circa la provenienza e la destinazione, nonché un’indicazione su quali applicazioni riguardano i dati. I firewall analizzano i dati, quindi li eliminano se sono sospetti oppure li fanno passare se sono innocui. Ad esempio, se il firewall dovesse rilevare un flusso di dati in cui un computer “qualsiasi”, stia tentando via Internet di connettersi a uno dei computer della tua rete, eliminerà tali dati e, se opportunamente configurato, potrebbe anche avvisarti del tentativo di connessione bloccato. Tuttavia, se rileva che stai tentando di avviare una connessione a un sito Web, inoltrerà i dati al router dove alla fine raggiungerà il sito Web desiderato.
Schema installazione firewall HW
Perché ne hai bisogno?
I firewall, generalmente, non consentono connessioni all’interno della rete ma che sono state avviate dall’esterno della rete stessa, ciò a meno che non si dia una preventiva autorizzazione attraverso idonea configurazione. Questo è il motivo per cui i firewall sono così importanti per una navigazione web sicura. Senza firewall, qualsiasi applicazione in esecuzione sul computer che accetta connessioni di rete potrebbe essere connessa a chiunque su Internet. Se un utente malintenzionato è in grado di stabilire connessioni a una qualsiasi delle tue applicazioni, potrebbe potenzialmente compromettere il tuo computer se esiste una vulnerabilità di sicurezza nell’applicazione. I firewall sono una linea di difesa assolutamente essenziale per i computer utilizzati su rete Internet e assumono un ruolo fondamentale nelle organizzazioni che hanno attivato processi di smart working.
In sintesi, i firewall vengono utilizzati per proteggere il computer mentre si è connessi a Internet. Sono essenziali per prevenire intrusioni nella tua rete privata e nei PC ad essa collegati. Se si è connessi a Internet, si consiglia vivamente di posizionare il computer dietro un firewall per evitare che venga compromesso da un utente malintenzionato.
Va da sé che è necessario ricordare che un firewall senza un endpoint security è, pressoché, inutile.
La tua organizzazione è pronta dal punto di vista della sicurezza informatica? È proattiva o reattiva?
paypal fake
Phishing è un crimine informatico in cui uno o più “obiettivi” vengono contattati tramite e-mail, telefono o messaggio di testo da qualcuno che si spaccia per un’istituzione legittima per indurre le persone a fornire dati sensibili come informazioni di identificazione personale, dettagli bancari, della carta di credito e password di accesso a specifiche utenze. Le informazioni raccolte dai malintenzionati vengono quindi utilizzate per accedere ad account personali o aziendali e possono provocare furti di identità e perdite finanziarie.
Caratteristiche comuni delle e-mail di phishing
“Troppo bello per essere vero” Le offerte lucrative, dichiarazioni accattivanti o che attirano l’attenzione sono progettate per attirare immediatamente l’attenzione delle persone che le leggono. Ad esempio, molti messaggi sostengono che chi legge abbia vinto un iPhone, una lotteria o qualche altro premio in denaro. Basta non fare clic sui link e le e-mail sospette. Occorre tenere a mente che “se sembra troppo bello per essere vero, probabilmente non lo è!”
“Senso di urgenza” Una tattica preferita utilizzata dai criminali informatici è chiederti di agire velocemente perché ciò che viene proposto è solo per un periodo di tempo limitato. In alcuni casi affermeranno che chi legge ha solo pochi minuti per rispondere. Altre volte verrà comunicata la sospensione di un account se non si aggiorneranno i dati personali immediatamente. La maggior parte delle organizzazioni che apportano modifiche di questo tipo concede sufficiente tempo prima di chiudere un account e non chiede mai agli utenti di aggiornare i dati personali su Internet. In ogni caso, per accertarsi, sarà sufficiente andare direttamente sul sito interessato anziché fare clic su un collegamento in un’email.
“Collegamenti ipertestuali” Un collegamento potrebbe non essere ciò che sembra. Quando portiamo il puntatore del mouse su un collegamento, viene mostrato l’effettivo URL a cui si verrà indirizzati facendo clic su di esso. Potrebbe essere completamente diverso o potrebbe essere un sito Web popolare con un errore di ortografia, ad esempio www.unicrebit.com: la “d” è in realtà una “b”, quindi occorre fare attenzione.
“Allegati” Se in un’email viene visualizzato un allegato non atteso o che non ha senso …. non aprirlo! Spesso contengono payload come ransomware o altri virus. L’unico tipo di file su cui è sempre sicuro fare clic è un file .txt.
“Mittente insolito” Sia che sembri provenire da qualcuno che si non conosce o da qualcuno che non si conosce, se qualcosa sembra fuori dall’ordinario, inaspettato, insolito o semplicemente “sospetto”, non fare clic su di esso!
Punti da attenzionare
Contromisure attuabili
Una volta mi è stato chiesto se era possibile automatizzare il processo di phishing protection. Ho risposto con una domanda: vuoi automatizzare il processo di gestione delle email di phishing o sei interessato a un modo per bloccarle e impedire che arrivino sul server di posta?
Purtroppo, in un’organizzazione, gli utenti sono l’anello più debole nella catena della sicurezza informatica. Non importa quanto vengano istruiti o continuamente aggiornati, ci sarà sempre qualcuno che è convinto di “guadagnare un milione di euro” cliccando su un link, oppure è “preoccupato dalla transazione PayPal non andata a buon fine” o semplicemente curioso di aprire quel “documento word inviato dall’agenzia delle entrate”.
Ora, come e dove è possibile usare un automatismo per risolvere questo problema così attuale e frequente? Al punto di ingresso, dove si ricevono le email? Lasciare che l’utente prenda la decisione di valutare e segnalare le email sospette? Acquistare uno strumento di monitoraggio che utilizza AI e ML per convalidare le email prima che giungano nella posta in arrivo dell’utente?
Che ci crediate o no, il concetto di “Email Security” è qualcosa che ancora oggi è dato per scontato. Esistono diversi strumenti sul mercato che utilizzano Intelligenza Artificiale (AI) e Machine Learning (ML) per rilevare, rispondere e proteggere le e-mail non solo ricevute ma anche inviate.
Quanto sei sicuro di controllare il flusso in entrata/uscita delle e-mail? Il modo migliore per automatizzare l’elaborazione di e-mail di phishing/dannose è interrompere e controllare questo flusso al punto di ingresso senza lasciare decidere l’utente su cosa fare o non fare.
Cosa, perché e dove proteggere le e-mail in entrata e in uscita?
Ho volutamente non incluso il “come” perché ogni strumento di controllo avrà controlli e limitazioni specifiche. Quindi, ecco qui le principali precauzioni da prendere per proteggersi dal Phishing:
– Dominio e furto d’identità dell’utente: Non vuoi che qualcuno finga di essere il tuo supporto IT o il tuo CEO, giusto? Abilita SPF[1] e DKIM[2]
– E-mail di phishing e spam: a chi non piacerebbe diventare milionari facendo click su un collegamento? Configura i filtri anti-spam e phishing e utilizza anche Advance Threat Protect (ATP)[3] ;
– Allegati e link malevoli: un PDF o un xls potrebbero sembrare file realmente inviati da colleghi o fornitori. Cosa fare? ATP per allegati e collegamenti;
– Crittografia: assicurati che i destinatari ricevano il tuo messaggio. Crittografa le email in uscita per garantire la riservatezza;
– Classificazione dei dati: assicurati che tu e il tuo destinatario conosciate la criticità dei dati che condividete. Quando sei “mittente”, fai in modo di farglielo sapere classificando i dati che invii per garantire riservatezza e integrità; – Disabilita l’inoltro automatico a indirizzi e-mail esterni: la prima cosa che fa un criminale informatica che riesce a controllare una casella di posta è l’impostazione/regola dell’inoltro automatico. Disabilita questa funzionalità;
– Account amministratore dedicato: In base ai ruoli, assegnare le autorizzazioni di amministratore. Questo garantirà che anche all’interno del tuo IT Team nessuno aggiri le regole;
– MFA: Le probabilità di avere un accesso fraudolento a uno smartphone sono basse. Imposta l’autenticazione a più fattori per tutti gli utenti critici e in particolare per gli account “amministratore”;
– Ultimo ma non meno importante: newsletter e mail marketing. I filtri anti-phishing e anti-spam possono estrarre anche queste e-mail se configurati correttamente.
Finché non avverrà di strano o sospetto, con queste impostazioni, tutte le email in entrata e in uscita, scorreranno come l’acqua del fiume. Si, questa è automazione! Con tutte queste impostazioni, puoi essere certo che i tuoi utenti e la tua organizzazione abbiano una protezione dagli attacchi e-mail di livello medio alto. E poi, perchè non testate la risposta della Tua organizzazione simulando una campagna di phishing? Potreste avere delle sorprese … non sempre gradite!
L’e-mail phishing si evolve, ogni giorno, quindi il monitoraggio e i miglioramenti costanti sono tanto cruciali quanto lo è configurarli correttamente. Non fatevi trovare impreparati, agite, adesso!
Circa l’autore: Mario Arcellasi occupa da anni Compliance e Project Management. Socio di diverse start-up e con la passione per la Sicurezza delle Informazioni ha co-fondato FinData, una “Solution Company” che basa il valore di ciò che propone sui vantaggi che il cliente ottiene al termine dei progetti. Citazione preferita: “Tutte le cose sono difficili prima di diventare facili.”
[1] il Sender Policy Framework (SPF) non fa altro che confrontare gli indirizzi ip legati al domino e quello da cui proviene la email. Questo significa che al momento in cui viene recapitata una email a un provider di posta quest’ultimo interroga il domino da cui essa proviene chiedendo se il sistema da cui è stata spedita è autorizzato ad inviare email a suo nome. L’SPF può cooperare con il DKIM, ma non necessariamente devono essere abbinati.
[2] il Domain Keys Identified Mail non è altro che una firma digitale che viene apposta alla email inviate. Questa firma proprio come l’ SPF viene verificata dal domino di posta del ricevente tramite i dns del dominio di posta del mittente. Il DKIM può cooperare con l’ SPF, ma non necessariamente devono essere abbinati.
[3] ATP è una soluzione di sicurezza basata sul cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni.
Il Garante Finlandese ha pubblicato una decisione sui requisiti per il consenso dei cookie, contraddicendo una precedente decisione della sua “cugina”, l’Autorità delle Comunicazioni Finlandese. Il punto focale di entrambe le decisioni era se il consenso per l’uso di cookie non essenziali potesse essere fornito tramite le impostazioni del browser dell’utente di un sito Web.
Cookiebot solution by FInData
La decisione del 14 maggio 2020 dell’Autorità per la protezione dei dati, (DPA) ha stabilito che istruire un utente, che visita un sito Web, su come gestire le impostazioni della privacy del browser e quindi come disattivare/attivare i cookie, non costituisce un consenso sufficientemente attivo ed esplicito ai sensi del Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). L’Autorità ha inoltre sottolineato che rifiutare i Cookie non essenziali deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie stessi. Come detto, questa decisione differisce dai pareri presentati nella decisione del 24 aprile 2020 dell’Agenzia finlandese per le Comunicazioni (Traficom).
L’interpretazione del Garante Privacy Finlandese è in linea con la sentenza della Corte di giustizia dell’Unione europea (CGUE) dell’ottobre 2019 sul consenso ai cookie, (sentenza C ‑ 673/17 (Planet49).
Nella sentenza, la CGUE ha dichiarato che il consenso deve essere fornito mediante una misura attiva e ha ritenuto che una casella di spunta pre-selezionata non indica tale misura attiva da parte di un singolo utente. Mentre nella sentenza “Planet49”, la CGUE non ha affrontato la questione di cosa significhi “consenso dato liberamente” nel contesto dei cookie, Il Garante ha ora chiarito che in Finlandia tale consenso non può essere ottenuto tramite le impostazioni del browser.
Il Garante Privacy finlandese ha intimato una società, in qualità di Titolare del trattamento dei dati, di modificare il modo in cui richiede il consenso dell’utente di un sito Web per l’uso di cookie non essenziali, dopo che un individuo ha presentato un reclamo in cui affermava di non avere l’opportunità di rifiutare l’uso di cookie su il sito web dell’azienda. La società ha utilizzato i cookie sul proprio sito Web per raccogliere dati per sé e per terze parti, ad esempio sull’uso del servizio e sugli indirizzi IP allo scopo di personalizzare i servizi e il marketing mirato.
Un “banner cookie“, come quello della maggioranza dei siti italiani, informava che, continuando la navigazione gli scenari sarebbero stati sostanzialmente 2:
1) l’utente accettava i cookie 2) l’utente poteva rifiutare i cookie configurando opportunamente le impostazioni del proprio browser.
Il DPA Finlandese ha dichiarato che tale consenso non soddisfa i requisiti del GDPR e che l’inattività relativa alle impostazioni del browser, vale a dire il rifiuto dei cookie nelle impostazioni del browser, non costituisce un consenso valido. Tuttavia, il DPA non ha emesso sanzioni monetarie per il Titolare del trattamento dei dati, facendo riferimento allo status giuridico ambiguo della domanda dopo l’inizio dell’applicazione del GDPR.
FinData Cookie Management solution
L’interpretazione del DPA segue le linee guida aggiornate sul consenso dell’European Data Protection Board , che sottolineano l’indicazione attiva della scelta in un consenso valido e menziona che le impostazioni del browser dovrebbero essere sviluppate in linea con le condizioni per un consenso valido nel GDPR, sottolineando che un consenso deve essere granulare per ciascuno degli scopi previsti.
Questo sviluppo segna la fine delle precedenti pratiche di consenso dei cookie finlandesi, secondo le quali un consenso per i cookie potrebbe essere dato attraverso le impostazioni del browser. Attualmente, la direttiva sulla e-privacy del 2002 richiede che una persona tracciata debba “aver dato il proprio consenso” all’uso dei cookie e una disposizione analoga è inclusa nella legge finlandese sui servizi di comunicazione elettronica (917/2014, come modificata ).
Il prossimo regolamento UE sulla e-privacy, che sostituirà l’attuale direttiva sulla e-privacy, dovrebbe specificare ulteriormente i requisiti di consenso per i cookie e unificare le pratiche negli Stati membri dell’UE. Tuttavia, non è stato ancora raggiunto un accordo sul testo finale del regolamento e-privacy, con le discussioni più recenti che si svolgono in seno al gruppo di lavoro del Consiglio dell’UE.
In assenza di ulteriori leggi in materia, la decisione del DPA finlandese rimane la fonte chiave di interpretazione in merito a un consenso valido per l’uso di cookie non essenziali in Finlandia e può essere sintetizzata come segue:
Il consenso dei cookie deve soddisfare i requisiti GDPR, compreso il consenso che deve essereun’indicazione liberamente fornita, specifica, informata e inequivocabile dei desideri dell’interessato attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.
E Tu come sei messo con il tuo Sito web? Sei conforme?
Nella sezione Cookie del nostro sito trovi tutte le informazioni per approfondire l’argomento e utilizzare una soluzione compliant, economica e sempre aggiornata. Evita le sanzioni e dai valore al Tuo brand dimostrando la conformità alle norme che regolano i trattamenti dei dati personali!
