ARRIVA LA NIS2, PER L’ITALIA PUBBLICATO DECRETO ATTUATIVO
La Direttiva NIS2 n. 2022/2555 del 14 dicembre 2022 riguarda la sicurezza delle infrastrutture, quindi la cybersecurity di aziende medio-grandi, vale a dire sotto i 250 dipendenti e con un fatturato sotto i 50 milioni di euro oppure imprese che forniscono servizi essenziali all’amministrazione pubblica anche con dipendenti e fatturati inferiori. Le imprese con meno di 50 dipendenti e fatturati sotto i 10 milioni di euro sono esonerate dall’applicazione della Direttiva. A differenza dei Regolamenti che entrano in vigore dappertutto, la Direttiva NIS2 deve essere viene recepita dagli Stati membri entro il 17 ottobre 2024, e infatti l’Italia ha pubblicato il decreto attuativo il primo ottobre (Decreto legislativo 4 settembre 2024, n. 138). Già il Consiglio dei Ministri ad agosto aveva deciso che l’Autorità incaricata è ACN, l’Autorità nazionale per la cybersicurezza. Dal primo gennaio al 28 febbraio le società interessate dovranno iscriversi alla piattaforma ed indicare un elenco delle proprie attività e dei servizi in modo che si possa costruire una categorizzazione. La Direttiva ha infatti stabilito una suddivisione delle aziende in base ai criteri settoriale, dimensionale e territoriale. Ad esempio in base al criterio settoriale, rientrano nella NIS2 le aziende legate ai trasporti, l’energia e la produzione alimentare o la vendita all’ingrosso di alimentari, quelle che producono computer e prodotti di elettronica, strumenti ottici, fotografici e orologeria, apparecchiature elettriche, macchine e apparecchiature e mezzi di trasporto. Quanto al requisito dimensionale parliamo di aziende con oltre 50 occupati e che superano i 10 milioni annui di fatturato/bilancio totale. Il requisito territoriale riguarda lo svolgere le proprie attività nella UE. La NIS2 distingue tra settori ad alta criticità come energia, trasporti, mercati bancari e finanziari, settore sanitario, acqua potabile e acque reflue, infrastrutture digitali, gestione di servizi ICT, amministrazioni pubbliche e settore spaziale e un secondo settore definito altri settori critici che riguarda servizi postali, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, produzione, trasformazione e distribuzione di alimenti (in quanto distribuzione all’ingrosso, produzione e trasformazione industriale), manifatturiero, fornitori di servizi digitali che includono quindi i fornitori di marketplace online, motori di ricerca online e piattaforme di social network e la ricerca. Secondo il calendario fissato dal decreto attuativo, ACN procederà entro il 31 marzo 2025 a confermare le categorie di rilevanza e il processo per la finalizzazione della registrazione delle attività e dei servizi che dovranno essere riportati in piattaforma. Chi avesse perso il treno, potrà usufruire della possibilità di entrare negli elenchi tra gennaio e febbraio 2025. Dal punto di vista pratico le aziende coinvolte nella NIS2 sono obbligate a controllare la catena dei fornitori/Responsabili del trattamento, avere un team che intervenga rapidamente in caso di data breach, tutelarsi contro le aggressioni informatiche e si saranno dotate di meccanismi di controllo e Policy adeguate. E’ evidente che il convolgimento del DPO è necessario. Sono previsti controlli e audit da parte di ACN, sospensione dei servizi, nonché sanzioni pecuniarie fino a 7 milioni di euro e pari a 1,4 per cento del fatturato annuo mondiale per i soggetti definiti “importanti” e fino a 10 milioni e 2 per cento del fatturato annuo mondiale per i soggetti definiti “essenziali”.
TROPPI SITI NON COMPLIANT PERCHE’ USANO DARK PATTERNS
Il GPEN, Global Privacy Enforcement Network, nato dall’Organizzazione mondiale per la cooperazione e lo sviluppo economico (OECD), ha lanciato un piano nel 2024 per analizzare i Dark Patterns, le interfacce ingannevoli, sulle quali due anni fa il Board europeo privacy aveva emanato delle Linee guida. Per una settimana 26 autorità di protezione dei dati hanno analizzato 899 siti web e 111 app: nel 97 per cento dei casi hanno individuato la presenza di almeno una tipologia di design ingannevole. Ad esempio siti e app usano un linguaggio poco chiaro e confuso, inseriscono passaggi per impedire all’utente di arrivare alle informazioni che cerca o introducono elementi di distrazione o commozione per deviare le ricerche, ad esempio quelle relative al ritiro del consenso. Il Garante privacy italiano ha concentrato la ricerca su 50 siti web di cosiddetti “comparatori di servizi e prodotti” ed ha osservato la gestione dei cookie banner e le modalità di cancellazione degli account utente. Anche qui sono emerse varie fragilità: in oltre il 60 per cento dei casi i banner mostravano con maggiore enfasi l’opzione meno favorevole per la privacy degli utenti e per il 40 per cento dei casi per rifiutare tale opzione l’utente doveva fare diversi passaggi. Nel 30 per cento dei casi a proposito dei cookie era visualizzato solo “accetta tutti i cookie”. Insomma sull’argomento c’è ancora molto da fare e ricordiamo che i Dark Patterns sono oggetto di sanzione. Consigliamo quindi alle aziende che hanno siti internet di consultarsi col proprio DPO. https://www.privacyenforcement.net/content/2024-gpen-sweep-deceptive-design-patterns-reports-english-and-french
GARANTE MULTA AZIENDA GAS E LUCE PER CONTRATTI IRREGOLARI
L’Authority privacy italiana ha sanzionato il fornitore di gas e luce Hera Comm Spa per aver stipulato dei contratti con persone ignare, usando firme false. E non si è trattato solo di contratti gas e luce ma anche di polizze assicurative. L’azienda si serviva di agenti, legati a due altre ditte, che erano state regolarmente nominate Responsabili del trattamento. La multa è stata di 5 milioni di euro visto che sono stati coivolti 2.300 clienti.
MILIONI DI DATI PARTICOLARI ESFILTRATI DA META IN ACQUISTO FARMACI
Il Garante svedese ha multato due aziende di vendita online di farmaci, Apotek AB e Apohem AB, per un totale di quasi 4 milioni di euro. In sostanza le due società condividevano, senza esserne consapevoli, tutti i dati dei pazienti/acquirenti con Meta. Sul sito usavano infatti nel 2022 Pixel di Meta come strumento di analisi dei flussi commerciali per potenziare le attività di marketing. Il tool nasce per misurare le campagne pubblicatarie e renderle più mirate. L’operazione di trasferimento dei dati a Meta avveniva in quanto il cliente era costretto a dare il consenso ai cookie senza rendersi conto che i suoi dati venivano passati all’azienda di Zuckernberg. Le aziende di vendita dei farmaci si sono rese conto solo dopo diversi mesi dell’esfiltrazione di dati in quanto gli utenti insospettiti hanno contattato l’Authority. A quel punto le due aziende hanno interrotto l’’utilizzo di Pixel. Per fortuna è risultato che non passavano alla piattaforma esterna anche le ricette mediche, ma tutti i dati degli acquirenti: nome, cognome, mail e carta sanitaria. L’Autorità ha quindi sanzionato Apoteket AB con 37 milioni di corone svedesi e l’altra azienda con 8 milioni di corone svedesi, in euro il totale delle multe è 3,96 milioni di euro.
IL NOSTRO LIBRO SUI DATI SANITARI DIVENTA STRENNA FEDERPRIVACY
Per il secondo anno consecutivo un nostro libro è stato scelto da Federprivacy, la Federazione italiana che raccoglie i professionisti della tutela dei dati personali, come strenna per chi si iscrive a Federprivacy nel mese di Ottobre. L’anno scorso era toccato al nostro volume La Privacy dei dati digitali. Quest’anno è il nostro ultimo libro, edito quest’anno, La Privacy del Dato sanitario, scritto da Amarù, Fava, Fossi e Mainardi. Federprivacy si distingue per l’organizzazione di convegni, pubblicazioni scientifiche e divulgazione del tema privacy, federprivacy.org.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). E’ nelle librerie e online il nostro ultimo volume “La Privacy del dato sanitario” per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi.