Tag Archives: sicurezza

25 Mar 2020

Undici semplici raccomandazioni rivolte ai dipendenti pubblici che hanno adottato la modalità di lavoro agile per aiutarli a utilizzare al meglio e in sicurezza i propri dispositivi personali: pc, smartphone, tablet.

L’iniziativa è stata avviata da AgID anche a seguito degli ultimi provvedimenti governativi che incentivano l’adozione dello Smart working nelle PA per favorire il contenimento del Covid-19.

 

Le 11 raccomandazioni di AgID per uno Smart working sicuro

  1. Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione
  2. Utilizza i sistemi operativi per i quali attualmente è garantito il supporto
  3. Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo
  4. Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati
  5. Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione
  6. Non installare software proveniente da fonti/repository non ufficiali
  7. Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro
  8. Non cliccare su link o allegati contenuti in email sospette
  9. Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette
  10. Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione)
  11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

Le misure sono nate per contrastare eventuali attacchi informatici con comportamenti responsabili, anche quando si utilizzano dotazioni personali. Le inicazioni vengono definite “minime” , in quanto elaborate dal Cert-PA di AgID, sulla base delle misure minime di sicurezza informatica per le pubbliche amministrazioni. Pertanto, rappresentano dei parametri che possono essere implemntati non solo nel settore pubblico ma anche nel settore privato.

Fonte: Agid

 

 

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19”
www.patriziameo.it o pagina FB www.facebook.com/patriziameoconsulenteprivacy/

Scrivi all’indirizzo mail: info@patriziameo.it

20 Mar 2017

L’avvocato collaboratore, che si introduce nel server di studio e copia una notevole mole di files, per riutilizzarli nel nuovo studio e condividerli con i colleghi, risponde di accesso abusivo a sistema informatico.

La Corte di Cassazione, quinta sezione penale, stabilisce il delitto di cui all’art. 615 ter c.p. sulla base dei seguenti elementi: a) la qualifica dell’imputato medesimo, mero collaboratore, incaricato di gestire solo un determinato pacchetto di clienti; b) il notevolissimo numero di files copiati e trasferiti su altri supporti magnetici, aventi tra l’altro ad oggetto contratti, rapporti ed atti del tutto estranei alla specifica “competenza per materia” affidata all’imputato; c) la specifica tecnica di copiatura, realizzata attraverso un sofisticato sistema a “matrioska”, in modo che i files copiati venissero occultati in sottocartelle, per nasconderne la provenienza.

Al caso si pongono due questioni: la violazione della privacy (di clienti e avvocati del vecchio studio) e l’accesso abusivo al server.

Per quanto riguarda l’accesso abusivo al server, la Cassazione ha precisato che il fatto che la persona condannata avesse accesso al server non esclude la punibilità, i file prelevati non rientrano tra quelli relativi al settore affidato contrattualmente all’avvocato. Questi aveva sì libero accesso al server, ma solo per i file che interessavano le pratiche a lui affidate e non a tutto il materiale documentale conservato.

Pertanto, l’imputato ha posto in essere le attività di accesso, successiva permanenza e copiatura di files all’interno dell’archivio informatico dello studio – ontologicamente incompatibili con le sue circoscritte mansioni di collaboratore e non di partner – in violazione del dissenso tacito dei titolari di studio che, a tal fine, gli avevano immediatamente vietato l’accesso al server, consentendogli di acquisire i documenti necessari solo per il tramite della segreteria.

A ciò si aggiunge, prosegue la Corte con sentenza n. 11994 del 13 marzo 2017, il trattamento illecito di dati personali di cui all’art. 167 D.Lgs. n. 196/2003, stante i numerosi “dati personali” contenuti nei files copiati, riguardanti i singoli clienti affidatisi allo studio per la cura dei propri interessi (che ovviamente non avevano prestato il loro consenso al suddetto trattamento). Quanto al dolo specifico richiesto da tale fattispecie, lo stesso è rinvenibile dalla stessa condotta del reo, laddove i dati in questione erano evidentemente destinati al riutilizzo in altra sua attività professionale (come si evince dal loro rinvenimento nei supporti informatici del nuovo studio).

Fonte: Italia Oggi del 20 marzo 2017

8 Mar 2017

Cosa guardano i bambini mentre navigano su internet da soli? Informazioni, giochi e video divertenti, purtroppo, non sono gli unici contenuti presenti sul web.

Per caso o per curiosità, i piccoli possono imbattersi in immagini e contenuti inappropriati o anche entrare in contatto con estranei. Quando sei a casa ma non puoi essere al loro fianco, Routerhino controlla questi contenuti. Come un saggio e invisibile guardiano vigila su di loro, bloccando l’accesso ai siti per adulti, social network e chat. Per proteggerli completamente, filtra anche i risultati dei motori di ricerca (Google e Bing) e i video (Youtube), rendendoli sicuri.

ROUTERHINO qualsiasi device utilizzato (computer, tablet o smartphone) protetto.

KickStarter.com, una piattaforma di crowdfunding. Sostieni la campagna ROUTERHINO!

Scopri di più sul sito: https://www.routerhino.com

20 Mar 2016

Durante l’audizione, 8 marzo 2016, presso la Commissione Affari Sociali della Camera dei Deputati, il Garante della Privacy, Antonello Soro, sottolinea l’importanza della digitalizzazione nel campo della sanità e come questa vada incoraggiata, per migliorare l’efficienza della sanità.

Il Garante ha spigato che questo processo deve essere governato con molta attenzione, in quanto coinvolge categorie di dati personali (c.d. ipersensibili) tra le più delicate e, per questo, meritevoli di quella tutela rafforzata. I dati sanitari, se illecitamente trattati sono infatti suscettibili di esporre l’interessato a forme di discriminazione rese possibili soltanto dalla conoscenza di aspetti così intimi, quali quelli “idonei a rivelare lo stato di salute dell’interessato“.

La perdita, la sottrazione, l’alterazione, l’abuso di un dato sanitario rende vulnerabili banche dati essenziali e, insieme, viola quanto di più intimo e privato vi è nella persona: ne tocca la dignità.

Per Soro, nella digitalizzazione della sanità la frammentazione, l’assenza di un piano organico di sicurezza sono più pericolose che in ogni altro settore. La carente sicurezza dei dati può rappresentare, in altri termini, una causa di malasanità.

Invece, la protezione dei dati personali deve rappresentare un fattore determinante di efficienza sanitaria.

(Fonte Garante Privacy)

20 Mar 2016

Il Garante Privacy interviene nuovamente sull’uso indiscriminato dei dati sanitari, ribadendo che solo i professionisti sanitari che hanno in cura il paziente possono accedere ai dati e per il tempo necessario di cura.

L’intervento del Garante si è reso necessario a seguito di una segnalazione nella quale si lamentava una presunta violazione della disciplina in materia di protezione dei dati personali relativamente alle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall’Azienda USL 11 di Empoli. In questo caso, l’Autorità ha riscontrato gravi violazioni nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Ricordiamo che il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare, l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda. Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier. Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

Più precisamente, gli applicativi in uso presso i diversi reparti dell’Azienda sarebbero stati configurati in modo tale da consentire a ogni medico di accedere non solo ai dati personali dei propri pazienti, ma anche a quelli di qualsiasi altra persona che sia stata in cura presso la struttura sanitaria.

A questo si aggiunge che il dossier sanitario aziendale era utilizzato anche per perseguire finalità amministrative correlate alla cura relative alla possibilità di fornire notizie sui ricoveri o sull’ubicazione del paziente nella struttura a terzi nel rispetto della manifestazione di volontà espressa al riguardo dal paziente, alla gestione dei reclami, segnalazioni o esposti dei pazienti, nonché alla trattazione delle pratiche di richiesta della cartella clinica (“profilo URP” – “profilo portineria”).

Nelle Linee guida del 2015 il Garante ha meglio evidenziato rispetto alle Linee guida del 2009 che qualora il titolare del trattamento intenda utilizzare lo strumento del dossier sanitario anche per svolgere delle funzioni amministrative strettamente connesse con il percorso di cura del paziente (ad es., prenotazione di esami clinici; richiesta di copia delle cartelle cliniche; indicazione a terzi legittimati della presenza in reparto di un degente; gestione dei posti letto), deve prevedere delle limitazioni alla “profondità di accesso” al dossier da parte del personale preposto a tali funzioni, consentendo allo stesso di accedere ai soli dati indispensabili per svolgere i compiti ad essi demandati (cfr. punto 6 delle Linee guida del 2015 e punto 4 delle Linee guida del 2009).

Devono essere, pertanto, preferite soluzioni che consentano un’organizzazione modulare del dossier, in modo tale da limitare l’accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili al raggiungimento dello scopo amministrativo per il quale è stata consentita l’accessibilità al dossier.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica). Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli sulla costituzione del dossier, sui documenti sanitari da far inserire o escludere e sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

(Fonte Garante Privacy)