le 6 contestazioni formulate dal garante privacy italiano nei confronti dell’associazione rousseau - m5s

le 6 contestazioni formulate dal garante privacy italiano nei confronti dell’associazione rousseau - m5s

Con il Provvedimento su data breach del 4 aprile 2019 (9101974) il Garante Privacy Italiano ha comminato, all'Associazione Rousseau quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di una sanzione pari ad euro 50.000 per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento Europeo 679 / 2016 (GDPR).

 

In precedenza, con il Provvedimento su data breach del 21 dicembre 2017 (7400401), il Garante Privacy Italiano aveva prescritto  nei confronti dei titolari del trattamento dei siti web riferibili al Movimento 5 Stelle una serie di prescrizioni riassumibili in 6 adeguamenti importanti.

 

Il Provvedimento del Garante dell'ultimo 4 aprile scorso, sopra descritto, riveste per gli addetti ai lavori, una preziosa fonte per individuare alcune tra le misure di sicurezza ritenute più importanti per la protezione dei dati nonché per la riduzione dei rischi per i diritti e le libertà degli interessati.

 

1) Vulnerability Assessment

L’attività di Vulnerability Assessment (VA) permette di avere un quadro completo dello stato di esposizione dei sistemi informativi (es. sito web) a tutte le vulnerabilità note. Per l'esecuzione di una valutazione delle vulnerabilità (Vulnerability Assessment) vengono utilizzati tools automatici che scansionano e testano i servizi informatici in particolare i siti web.

 

Per la conformità ai principi di Privacy by Design le valutazione delle vulnerabilità (Vulnerability Assessment) devono essere eseguite precedentemente alla messa in esercizio del servizio (es. sito web o applicazione online), allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico. Le verifiche sulla tenuta delle misure di sicurezza devono poi  essere periodicamente rinnovate, al fine di garantire un livello costante nel tempo di protezione dei dati personali.

 

2) Gestione della password

La lunghezza della password non dovrebbe essere mai inferiore ad otto caratteri; inoltre non dovrebbe permettere l'inserimento di parole di uso comune, o riferibili alla persona, facilmente individuabili.

Le applicazioni devono possedere strette limitazioni al numero di tentativi di accesso  con password erronea, per impedire attacchi "brute force"; l'applicazione deve bloccare l'autenticazione nel caso in cui l'utente abbia sbagliato più volte le credenziali di accesso.

 

3) Protocolli sicuri

Per l'accesso a tutti i contenuti e siti web e applicazioni online si devono adottare protocolli sicuri https (secure hyper text transport protocol) basato su un certificato digitale emesso da una Certification Authority riconosciuta.

 

4) Conservazione della password

La conservazione della password, all'interno del database di un’applicazione, deve essere eseguita mediante l'adozione di robusti algoritmi crittografici; mediante la crittografia non viene conservata la password in chiaro, visibile in caso di violazione dei dati personali, ma bensì un codice cifrato totalmente diverso dalla password inserita.

 

5) Tracciamento delle operazioni di sistema

Ogni sistema informativo deve adottare misure che consentano l'auditing informatico mediante la tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema, adottando gli accorgimenti di cui al provvedimento generale del Garante del 27 novembre 2008 in tema di amministratori di sistema (doc. web 1577499).

Per spiegare in modo semplice questa prescrizione del Garante è opportuno configurare i sistemi informatici in modo tale che sia possibile tracciare gli accessi degli amministratori di sistema, gli accessi degli amministratori dei database, gli accessi degli utenti che eseguono le applicazioni.

 

6) Gestione corretta delle utente (Identity and Access Management IAM)

La gestione corretta dei soggetti designati al trattamento, così come previsti dal GDPR deve comprende

- formali atti per la nomina di specifici soggetti in possesso di uniche credenziali di accesso;

- revisione periodica delle utenze al fine di eliminare quelle non più utilizzate da lungo tempo e, pertanto, ragionevolmente, abbandonate.

 

Visto il clamore suscitato dal provvedimento del Garante forniremo a breve ulteriori informazioni tecniche di approfondimento.