EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
27/11/2024 Furto dati e task force interdipartimentale
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

La news pubblicata sul sito del Garante lo scorso 28 ottobre riguarda la:

  • creazione di una task force interdipartimentale per affrontare il fenomeno crescente degli accessi abusivi alle banche dati pubbliche e private.

Il Presidente Pasquale Stanzione ha sottolineato l'impegno continuo del Garante nel rafforzare le misure di sicurezza tecniche e organizzative, evidenziando le azioni ispettive già avviate e l'importanza di proteggere le banche dati da utilizzi illeciti.

Stanzione ha inoltre richiamato l'attenzione sull'aumento delle segnalazioni riguardanti la rivendita di informazioni riservate, spesso ottenute attraverso meccanismi opachi e servizi di investigazione privata.

La task force ha il compito di individuare soluzioni tempestive e garantire una maggiore protezione dei dati personali, tenuto conto del numero e entità dei data breach.

In Italia, i data breach nella Pubblica Amministrazione hanno assunto particolare rilevanza.

Tra i casi più gravi figura quello di Postel Spa, società del gruppo Poste Italiane, colpita nel 2023 da un attacco informatico che ha portato all’esfiltrazione e alla pubblicazione sul dark web di dati personali di circa 25.000 individui. Le informazioni sottratte includevano dati sensibili, come quelli sanitari e giudiziari. A seguito dell'incidente, il Garante della Privacy ha imposto una sanzione di 900.000 euro, evidenziando l’inadeguatezza delle misure di sicurezza adottate.

Il Rapporto Clusit 2024 ha documentato:

  • un incremento del 65% degli attacchi informatici contro la Pubblica Amministrazione rispetto al 2022.

Questi attacchi, spesso attribuibili a cybercrime e hacktivismo, si avvalgono di tecniche avanzate come ransomware e malware, con impatti critici sui sistemi e sui dati.

Le analisi hanno sottolineato una particolare vulnerabilità dei settori strategici, evidenziando l’urgenza di investire in formazione, strumenti di prevenzione e misure di sicurezza avanzate per contrastare queste minacce.

I dati sottratti sono destinati ad una particolare tipologia di mercato: il “mercato dei dati personali", che si alimenta dei dati trafugati a soggetti pubblici e privati. Una volta esfiltrati, questi dati vengono spesso scambiati o venduti nel dark web, un'area nascosta di Internet che consente l'anonimato agli hacker. Le informazioni trafugate, come numeri di carte di credito, dati sanitari e altre informazioni personali, sono sfruttate per attività fraudolente e altre operazioni illecite.

Il dark web, in particolare, ha registrato un aumento significativo nella circolazione di dati sensibili rubati, tra cui indirizzi email, numeri di telefono e dettagli bancari, utilizzati per commettere truffe e altre frodi.

Il Garante ha sottolineato l'importanza di monitorare costantemente l'accesso ai database per prevenire abusi. In particolare, il Garante ha affermato che “Negli ultimi anni, dalle segnalazioni ricevute, risulta un incremento del fenomeno collegato alla rivendita di informazioni riservate presenti nelle banche dati pubbliche da parte di società private -... - che, anche avvalendosi di agenzie di investigazione privata, offrono servizi di ‘informazioni investigate’ a chiunque ne abbia interesse, anche attraverso opachi meccanismi di reperimento dei dati” (News 28 ottobre).

Per difendere i dati personali e l’architettura informatica nel contesto particolarmente vulnerabile in precedenza descritto, occorre implementare la capacity building della pubblica amministrazione in materia di sicurezza tecnica, organizzativa e informatica, specie per quanto concerne le misure di sicurezza che il Garante ha indicato con riferimento alle banche dati pubbliche.

Le misure di sicurezza consigliate dal Garante per la protezione dei dati personali sono state incluse in vari documenti ufficiali, come le Linee guida e i provvedimenti in tema di gestione delle banche dati pubbliche. Tra le raccomandazioni, l'Autorità sottolinea l'importanza di adottare sistemi di monitoraggio costante che rilevino anomalie negli accessi e nelle operazioni, contribuendo a scoprire vulnerabilità potenzialmente sistemiche.

Inoltre, il Garante suggerisce di evitare la duplicazione di banche dati per limitare il perimetro di vulnerabilità, un aspetto cruciale per la protezione dei dati sensibili.

Un altro punto fondamentale riguarda la prevenzione delle violazioni, che deve essere perseguita come obiettivo a lungo termine, considerando il valore critico che la protezione dei dati personali ha per la sicurezza del sistema democratico.

Per rafforzare la protezione dei dati, il Garante raccomanda anche investimenti strutturali in formazione e in misure di sicurezza mirate, enfatizzando la necessità di garantire la sicurezza delle infrastrutture e dei sistemi dove i dati personali sono trattati e conservati.

Questi concetti sono trattati, in particolare, nei provvedimenti del Garante relativi alla gestione delle banche dati pubbliche, come quello del 2 luglio 2015, che stabilisce misure di sicurezza specifiche per la PA, incluse politiche di accesso e tracciamento delle operazioni sui dati​.

Il provvedimento del Garante per la protezione dei dati personali del 2 luglio stabilisce misure di sicurezza mirate per la gestione delle banche dati pubbliche. Tra le principali indicazioni:

  1. Controllo degli accessi: Le amministrazioni pubbliche devono implementare politiche di accesso rigorose, con la designazione di incaricati e responsabili del trattamento, per garantire che solo il personale autorizzato possa accedere ai dati sensibili. L'accesso deve essere monitorato e tracciato, e ogni operazione deve essere associata a un codice identificativo.
  2. Gestione delle informazioni: È fondamentale selezionare con attenzione i dati da condividere e l'accesso deve essere limitato alla finalità istituzionale, evitando che i dati vengano utilizzati per scopi non previsti. Inoltre, si deve adottare una politica di "minimizzazione dei dati" per ridurre il rischio di esposizione.
  3. Prevenzione di duplicazioni: Il provvedimento sottolinea la necessità di evitare la duplicazione delle banche dati, per limitare le aree vulnerabili e ridurre il rischio di violazioni.
  4. Monitoraggio e audit: È essenziale effettuare controlli periodici per assicurarsi che le politiche di accesso siano rispettate e che le finalità per cui i dati sono stati concessi siano ancora valide.

In sintesi, il Garante richiede alle PA di adottare misure di sicurezza più severe, di monitorare costantemente gli accessi e le operazioni, e di garantire una gestione rigorosa dei dati sensibili per proteggere la privacy dei cittadini e prevenire incidenti informatici.

Per ulteriori dettagli, va consultato il documento completo sul sito del Garante (Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche - 2 luglio 2015 [4129029])

LINK: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4129029

Categorie
News
Parole chiave
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits