Supporto volontario e collaborativo per Joomla!® in italiano

Consapevolezza del GDPR - dai rischi per la privacy alla necessità di contromisure

Valutazione attuale: 4 / 5

Stella attivaStella attivaStella attivaStella attivaStella inattiva
 

Questo articolo è la traduzione di un contenuto pubblicato da Achilleas Papageorgiou su joomla.org, che si affianca al precedente articolo sul nuovo regolamento GDPR. L’articolo che segue si concentra sulle cause e sugli effetti di una violazione della privacy, ipotizzando diversi scenari ed esempi, sottolineando la necessità della creazione ed applicazione del regolamento e gli sforzi che dovrebbero sostenere gli sviluppatori per proteggere i dati personali degli utenti e non incorrere in sanzioni.


Consapevolezza del GDPR: dai rischi per la privacy alla necessità di contromisure

"La rivelazione di informazioni identificative, come la tua email, può sbloccare altre informazioni private, danneggiando potenzialmente la tua vita socio-economica"

Nel 2016, l'UE ha adottato il regolamento generale sulla protezione dei dati (GDPR), introducendo requisiti più aggiornati e più rigorosi in materia di tutela della privacy. Il GDPR, in realtà, sostituisce la direttiva sulla protezione dei dati del 1995 e sarà applicabile il 25 maggio 2018. Il regolamento ha introdotto numerosi nuovi requisiti da far rispettare ai fornitori di servizi online per garantire la privacy degli utenti. Lo scopo di questo articolo è quello di fornire un contenuto introduttivo e informativo sul GDPR, che potrebbe essere di facile lettura da parte di ogni individuo o azienda. Il GDPR rappresenta un cambio delle regole del gioco nella protezione della privacy. Esso definisce chi sono i titolari ed i responsabili del trattamento dei dati personali. Più specificamente, in base all'articolo 4, i diversi ruoli sono:

  1. titolare del trattamento (controller): la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
  2. responsabile del trattamento (processor): la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il GDPR apporta maggiori responsabilità ai titolari e ai responsabili e modifica il campo del trattamento dei dati personali. È quasi impossibile riassumere in un paragrafo le numerose esigenze funzionali e non funzionali del GDPR. Tuttavia, faremo brevemente riferimento ad alcuni di essi. I dati personali come nome, e-mail o ID del dispositivo di un utente devono essere protetti e il loro trattamento deve avvenire adottando diverse misure di sicurezza, come la crittografia e le tecniche di pseudonimizzazione. Inoltre, il GDPR si concentra sulla necessità della raccolta dei dati personali di un soggetto dei dati (data subject) e sulla liceità e sulle intenzioni relative al loro trattamento. Potremmo dire che il regolamento guida verso l'era digitale del consenso, in cui nessun dato personale può essere utilizzato senza il consenso degli interessati, che può essere revocato, qualsiasi sia lo scopo per cui tali dati devono essere raccolti. Ovviamente, non bisogna dimenticarsi il diritto che hanno gli utenti di richiedere la cancellazione di tutti i loro dati personali, ai sensi dell'articolo 17 e del diritto di cancellazione ("diritto all'oblio"): esso potrà essere applicato dal 25 maggio 2018.

Inoltre, vi è una crescente preoccupazione riguardo alla governance dei dati personali condivisi/presentati. In molti casi, gli utenti non hanno idea di chi sia il soggetto dietro un servizio online, con chi esso condivide i dati dei suoi utenti e in quali paesi essi vengono elaborati. Probabilmente, molti utenti non hanno il controllo completo sui dati che stanno condividendo con terze parti. Allo stesso tempo, a causa dell'utilizzo di diverse soluzioni software di terze parti (ad esempio CDN o software di marketing), possiamo affermare che in molte occasioni il titolare del trattamento (controller) non è in grado di sapere, in un dato momento, dove sono ospitati i dati degli utenti. Di conseguenza, la complessità di alcuni dei numerosi requisiti dell'imminente applicazione del GDPR è piuttosto alta e tutte le parti coinvolte devono iniziare a lavorare su queste attività con molta attenzione. Un primo buon passo per i titolari del trattamento è di scegliere e implementare solo servizi di terze parti conformi al regolamento che presto entrerà in vigore.

Rischi per la privacy delle applicazioni web e requisiti del GDPR

In questa sezione ci concentriamo innanzitutto sul lato applicazioni web e sui relativi rischi per la privacy. Quando ci troviamo di fronte a così tanti rischi correlati alla rete, dobbiamo esaminare quali sono quelli potenziali per la privacy a cui sono esposte le applicazioni web e seguire le misure organizzative e tecniche per ridurli al minimo, come ad esempio la divulgazione non autorizzata (o senza il consenso) di dati personali a terze parti.

L'elenco dell'Open Web Application Security Project (OWASP) è stato pubblicato per la prima volta nel 2014 ed è ancora un ottimo riferimento. Secondo OWASP, i primi 10 rischi per la privacy nelle applicazioni web sono i seguenti:

  1. vulnerabilità delle applicazioni web;
  2. perdita di dati lato operatore;
  3. tempestività insufficiente in seguito alla violazione di dati;
  4. cancellazione non efficiente di dati personali;
  5. politiche, termini e condizioni non trasparenti;
  6. raccolta di dati non richiesta per lo scopo principale;
  7. condivisione di dati con terze parti;
  8. dati personali obsoleti;
  9. scadenza della sessione (session timeout) mancante o insufficiente;
  10. trasferimento dati non sicuro.

Senza avere uno background di conoscenze legali, proviamo a mappare i principali rischi per la privacy pubblicati da OWASP e solo alcuni esempi dei prossimi requisiti GDPR.

I primi 10 rischi per la privacy

Alcuni esempi dei prossimi requisiti GDPR

Vulnerabilità delle applicazioni web

Ad esempio, nell'articolo 32 il regolamento descrive la sicurezza del trattamento per ridurre al minimo il rischio di una potenziale violazione dei dati.

Perdita di dati lato operatore

Nello stesso articolo 32 il regolamento descrive la sicurezza del trattamento per ridurre al minimo il rischio di una potenziale violazione dei dati.

Tempestività insufficiente in seguito alla violazione di dati

Gli articoli 33 e 34 specificano la procedura di notifica della violazione dei dati ed il limite di 72 ore.

Cancellazione non efficiente di dati personali

L'articolo 17 analizza il diritto alla cancellazione (diritto all'oblio). Anche l’articolo 65 parla di questo aspetto.

Politiche, termini e condizioni non trasparenti

L'articolo 13 e la definizione di consenso citata nell’ articolo 4, paragrafo 11, forniscono molti dei nuovi requisiti.

Raccolta di dati non richiesta per lo scopo principale

L’articolo 32, l'articolo 5, paragrafo 1, e l’articolo 13 costituiscono un buon punto di partenza per comprendere questo rischio.

Condivisione di dati con terze parti

Gli articoli 21 e 22 analizzano molti dei prossimi requisiti, mentre gli articoli 6 e 7 forniscono anche contenuti complementari.

Dati personali obsoleti

L’articolo 63 e l'articolo 15 contengono alcuni dei nuovi requisiti.

Scadenza della sessione (session timeout) mancante o insufficiente

Questo elemento si riferisce alla potenziale raccolta di dati personali senza il consenso e la consapevolezza dell'utente. Quindi, l'articolo 7 è un buon punto di partenza per comprendere questo rischio.

Trasferimento dati non sicuro

L'articolo 32 contiene molti dei prossimi requisiti.


Ora, se qualcuno leggesse le 10 contromisure sulla privacy e integrasse la suddivisione sperimentale dei rischi sulla privacy documentati da OWASP con il contenuto del GDPR, capirebbe la necessità della maggior parte dei prossimi requisiti. Questa è una visione comune della maggior parte dei soggetti che stanno cercando di rispettare il GDPR ma non è sicuramente un compito così semplice da realizzare. Al contrario, nella maggior parte dei casi, il GDPR richiede anche cambiamenti organizzativi e/o culturali ed implementazioni di tecniche che portino verso una conformità soddisfacente dei requisiti.

Il (potenziale) impatto di una violazione della privacy

Quindi, qual è il rischio di una condivisione inutile e non sicura dei dati personali? Dopo il 25 maggio 2018 una violazione della privacy potrà portare ad enormi sanzioni economiche. Tuttavia, tale violazione può comportare anche diversi rischi per la vita degli utenti privati. Alcuni esempi dell'impatto che una violazione potrebbe avere per gli utenti possono essere riassunti come segue.

  • Impatto finanziario, ad esempio mediante l'uso dei dati necessari per le transazioni finanziarie.
  • Reputazione e/o impatto sociale, ad esempio mediante l'uso di dati che si collegano l'utente ad una attività non ben vista dalla società (contenuti per adulti, casinò, divulgazione della vita sessuale di una persona, ecc.).
  • Attacchi reputazionali, ad esempio rendendo pubblico il fatto che un utente soffre di una malattia specifica: questo potrebbe compromettere un’opportunità di lavoro.
  • Furto di identità, ad esempio da parte di utenti malintenzionati che possono utilizzare i dati personali per fingersi un altro soggetto e divulgare informazioni private per perpetrare diverse azioni dannose.

Rispetto a questi esempi e ai rischi per la privacy sul web, possiamo renderci conto che, a causa dell'enorme quantità di dati personali che vengono trasmessi e raccolti online, le aziende devono mettere al primo posto la protezione dei dati personali degli utenti, per essere conformi al GDPR. Mentre il regolamento imminente può essere considerato come un grande miglioramento verso la protezione dei soggetti interessati, è comunemente accettato che si tratta di un compito complicato per le aziende (responsabili e titolari del trattamento dei dati), in quanto potrebbe richiedere uno sforzo maggiore di quello che verrà effettivamente realizzato

In ogni caso, i fornitori di servizi online devono essere altamente responsabili per quanto riguarda il modo in cui richiedono, trasferiscono, condividono o elaborano i dati personali degli utenti. Ci sono molti rischi che possono derivare da una protezione non adeguata e non sicura dei dati personali. Pertanto, le pratiche di cattiva protezione possono portare a violazioni di dati e comportare un uso non autorizzato e dannoso di essi.


Disclaimer legale: Questo articolo contiene informazioni generali su questioni legali. Le informazioni contenute non sono un consiglio e non dovrebbero essere trattate come tali. Non dovresti fare affidamento sulle informazioni su questo articolo come alternativa alla consulenza legale del tuo avvocato o di altri fornitori di servizi legali professionali. Se avete domande specifiche su qualsiasi questione legale dovreste consultare il vostro avvocato o un altro fornitore di servizi legali professionali. Non si dovrebbe mai ritardare la ricerca di consulenza legale, ignorare la consulenza legale, o iniziare o interrompere qualsiasi azione legale a causa di informazioni su questo sito.

Ho scritto e condiviso questo articolo su Joomla.it, fallo anche tu. Invia ora un nuovo articolo!
Claudio Peri
Nome: Claudio PeriSito: http://www.digitaltec.it
Alcune informazioni su di me:
Appassionato di Joomla, grafiche web e criptovalute.


Ho anche scritto:
         ✔ diventa autore su Joomla.it

Calendario articoli

Aprile 2018
Lun Mar Mer Gio Ven Sab Dom
26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 1 2 3 4 5 6

Ultima versione di Joomla!®

downloadVer. 3.8.5 Stabile (ITA)
Data di rilascio: 06 Febbraio 2018
(leggi la notizia Demo online

Le migliori estensioni gratuite

Un elenco aggiornato con i link a più di 100 estensioni fra componenti, moduli e plugin gratuiti per Joomla! 3

Manuale in italiano

Manuale in italianoPer conoscere meglio Joomla!, le sue caratteristiche ed il metodo di utilizzo leggi il manuale tradotto in italiano.

Molto utili anche le risposte alle domande più frequenti: FAQ

Sicurezza del proprio sito Joomla!Leggi anche: Nozioni sulla sicurezza del proprio sito

Autori di articoli recenti

Invia un articolo!Scrivi un articolo su Joomla.it e ricevi i ricavi dalle pubblicità di Google Adsense!
Segui queste istruzioni, condividi e collabora con la community. L'elenco degli autori attivi sul sito.

Libri consigliati

Torna su

Joomla.it sui Social Network

JoomlaDay Italia

JoomlaDay

Newsletter

Inserisci qui la tua e.mail: