15 agosto 202113 minuti di lettura

Innovazione e diritto: le novità della settimana

Podcast

David Bevilacqua, ex CEO di Cisco Italy, sul futuro dell’innovazione e della cultura digitale

David Bevilacqua, ex CEO di Cisco Italy illustra come la sua vita sia cambiata “a causa di un trolley” analizzando il futuro dell’innovazione e le opportunità che il recovery plan potrebbe creare tramite il PNRR approvato dal Governo. Il podcast è disponibile qui

Privacy

Cosa rischia la Regione Lazio dopo l’attacco ransomware ai sensi del GDPR?

Sembra che la Regione Lazio sia stata in grado di recuperare tutti i dati criptati dopo l’attacco ransomware ai suoi sistemi informatici inflitto da alcuni cybercriminali; ma potrebbe non essere finita qui, a causa delle possibili conseguenze in termini di sanzioni ai sensi del GDPR.

Il ransomware è un tipo di malware che limita l’accesso ad un sistema informatico che infetta o ai dati che memorizza tramite tecniche di crittografia a cui fa seguito la richiesta di pagamento di un riscatto (il c.d. ransom). L’impatto del ransomware sul funzionamento di un’azienda può essere enorme, poiché può criptare in pochi minuti tutti i file nei sistemi informatici, impedendo l’accesso e bloccandone la maggior parte delle funzionalità.

E questo è successo alla Regione Lazio dove i dati disponibili nei suoi sistemi informatici sono stati criptati, rendendo l’accesso agli stessi impossibile e chiedendo il pagamento del ransom entro 72 ore, allo scadere dei quali normalmente i dati vengono pubblicati sul dark web (una sorta di marketplace dei cybercriminali).

Questa tipologia di attacchi è diventata sempre più frequente negli ultimi anni. Infatti, la pandemia da Covid-19 e l’aumento del cosiddetto smart working hanno aumentato l’esposizione al cyber rischio perché – come sembra il caso dell’attacco alla Regione Lazio – l’errore umano è la fonte principale dei cyberattacchi e la distanza dal luogo di lavoro rende un possibile errore più probabile.

Fino a pochi anni fa, i cyberattacchi ransomware semplicemente criptavano i dati nei sistemi informatici della vittima, senza che ci fosse un accesso e/o una copia dei dati criptati, una c.d. esfiltrazione. Di recente, gli hacker sono diventati però più sofisticati e hanno capito che con un’esfiltrazione di dati personali, hanno più probabilità di ricevere il pagamento di un riscatto. Quindi procedono prima all’esfiltrazione dei dati e poi alla loro criptazione.

La rilevanza del fenomeno dei ransomware sui dati personali è tale che l’European Data Protection Board (EDPB) nelle sue linee guida su esempi di violazione dei dati ha affrontato specificatamente alcuni frequenti scenari relativi a data breach derivanti da attacchi ransomware.

Nel caso della Regione Lazio non si conoscono tutti i dettagli della questione. Tuttavia, aldilà del fatto che l’esfiltrazione sia effettivamente avvenuta, l’indisponibilità prolungata dei dati anche sanitari ha comportato l’esecuzione di una notifica al Garante per la protezione dei dati personali, ed è probabile che comporterà anche una comunicazione agli interessati, soprattutto qualora l’indisponibilità – seppur temporanea – dei dati personali abbia causato per esempio eventuali ritardi nei trattamenti sanitari, ivi comprese le vaccinazioni anti Covid-19.

Questo scenario è decisamente sconfortante e sembra che al danno per la Regione Lazio ora di possa aggiungere la beffa di una sanzione ai sensi del GDPR dovuta alla potenziale inadeguatezza delle misure tecniche ed organizzative della Regione. C’è da chiarire infatti che il verificarsi di un data breach non comporta di per sé una violazione della normativa sul trattamento dei dati personali. Tuttavia, alla luce del principio dell’accountability, la Regione Lazio dovrà affrontare una strada decisamente in salita per dimostrare che – nonostante il verificarsi del data breach – le misure tecniche ed organizzative adottate erano in linea con il GDPR.

Per essere pronti a ridurre gli effetti negativi di un attacco informatico ransomware, le aziende devono adottare misure organizzative e tecniche per prevenire/mitigare gli impatti di questo genere di data breach.

Tale misure includono un controllo dettagliato dei dati con una mappatura degli stessi, la segmentazione dei database per evitare la diffusione del virus, l’adozione di un modello organizzativo di compliance privacy che crei dei presidi di controllo all’interno dell’azienda e una cultura della compliance privacy, anche tramite la simulazione di attacchi informatici, perchè nella maggior parte dei casi gli attacchi informatici hanno successo a causa di un errore umano, l’esistenza di misure di alert e tracciamento delle operazioni svolte sui sistemi, l’esecuzione regolare di test di vulnerabilità e penetration e la creazione di un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan, assicurandosi che questi siano testati a fondo.

Neanche l’adozione di tutte queste misure può però garantire che un cyber attacco e in particolare un attacco ransomware non possa avere successo. Riprendendo una famosa citazione di John Chambers, ex CEO di Cisco,

There are only two types of organisations: those that have been hacked and those that don’t know it yet!”.

L’adozione delle misure sopra indicate può ridurre il rischio di successo di una cyberattacco e, anche qualora abbia successo, può mitigarne le conseguenze e il rischio di una eventuale sanzione ai sensi del GDPR. Questo richiede una forte integrazione tra gli esperti di compliance privacy e i tecnici dell’azienda perchè, come sopra indicato, l’errore umano la fonte principale del cyber rischio e soluzioni di carattere tecnico non possono annullare il rischio derivante dall’errore umano.

Auspichiamo che gli investimenti del Governo in cybersicurezza vadano in questa direzione. Come di recente sottolineato dal Ministro Colao sulla cybersecurity “Il Governo si è mosso in maniera molto decisa e il problema non è di soldi ma di skills”. Lo stesso messaggio è stato convogliato dal Ministro Giogetti, ma gli skills non possono solo essere tecnici. La creazione di una cultura sulla tutela della privacy e della cybersicurezza, accompagnata da presidi di controllo, è assolutamente un elemento che deve completare il rafforzamento delle misure tecniche.

Su un argomento simile può essere interessante l’articolo “Un data breach da cyberattacco ransomware in Italia: come gestirlo ai sensi del GDPR?”.

Seconda sanzione del Garante privacy contro una società di food delivery

Il Garante per la protezione ha emesso una sanzione di € 2,5 milioni contro una società di food delivery per le violazioni della normativa privacy derivanti dal trattamento dei dati dei propri rider.

Il Garante privacy ha contestato alla società di food delivery, tra gli altri, le seguenti violazioni

  1. carenze relative all’informativa privacy fornita ai rider con riferimento all’indicazione delle concrete modalità di trattamento dei dati relativi alla posizione geografica dei rider;
  2. carenze circa l’indicazione dei termini di conservazione e in particolare, rispetto alla determinazione del termine, ha contestato l’assenza di una valutazione di congruità del termine di conservazione;
  3. carenze nella illustrazione delle logiche con cui funziona l’algoritmo tramite il quale opera l’App di gestione dei rider e nell’adozione di misure volte a garantire l’accuratezza dei risultati algoritmici. In tale contesto è stata anche contestata la conformità con l’articolo 4 dello Statuto dei Lavoratori richiamato dal Codice Privacy circa l’assenza di garanzie a tutela dei lavoratori, la mancata esecuzione di una DPIA, l’accesso eccessivo ai dati dei rider da parte degli operatori; e
  4. carenza di informazioni nel registro dei trattamenti e di data di adozione, di data dell’ultimo aggiornamento e di sottoscrizione.

Si tratta della seconda sanzione di importo elevato emessa dal Garante privacy nei confronti di una società di food delivery. Le contestazioni sopra indicate presentano delle aree grigie in relazione al livello di compliance richiesto dal Garante.

A ciò si aggiunga che l’ispezione presso la società è avvenuta nel 2019, ma il procedimento è durato fino ad oggi. Questo termine è ben oltre la durata massima dei procedimenti amministrativi e sarà decisamente un argomento che la società farà valere in un eventuale ricorso.

Infine, mancano delle indicazioni chiare sui criteri di calcolo delle sanzioni. Se il procedimento davanti al Garante può durare 3 anni e le aziende non hanno criteri chiari di calcolo della sanzione, non è chiaro come le aziende possano determinare una eventuale riserva di bilancio, le informazioni da dare agli investitori e la propria strategia e rischio aziendale.

Su di un simile argomento, è possibile leggere l’articolo “Prima sanzione GDPR per dati conservati in cloud dopo la sentenza Schrems II”.

Technology, Media and Telecommunications

L’AGCom introduce misure per la sicurezza degli utenti nei casi di SIM swap

Con delibera n. 86/21/CIR, la Commissione Infrastrutture e Reti dell’AGCom ha introdotto meccanismi di prevenzione e di contrasto a eventuali tentativi di truffa a danno degli utenti di telefonia mobile, apportando modifiche alla delibera n. 147/11/CIR recante il regolamento in materia di portabilità del numero mobile.

In ragione dell’aumento delle segnalazioni di casi di sostituzione SIM (c.d. SIM Swap), per passaggio ad altro operatore o per presunto furto o deterioramento, all’insaputa dell’utente titolare della SIM, l’Autorità ha ritenuto opportuno integrare il quadro regolamentare di riferimento per gli operatori di telefonia mobile con misure volte a garantire una maggiore sicurezza delle operazioni di portabilità del numero mobile e maggiori possibilità di controllo da parte dell’utente in caso di sostituzione della SIM.

In particolare, l’Autorità ha stabilito che la richiesta di cambio della SIM, inclusi i casi di richiesta di Mobile Number Portability (MNP), di furto o smarrimento, o altre fattispecie di modifica virtuale (eSIM), possa essere effettuata esclusivamente dal titolare della SIM.

L’Autorità ha altresì introdotto un articolato sistema di validazione della richiesta di sostituzione della SIM da parte degli operatori di telefonia mobile. Nello specifico, l’operatore dovrà inviare un messaggio SMS all’utente titolare della SIM per dare conto della richiesta di sostituzione della stessa e chiedere conferma al cliente per proseguire con gli ulteriori adempimenti necessari per dare seguito alla richiesta. In assenza della predetta conferma, l’AGCom ha stabilito che il processo di sostituzione possa proseguire esclusivamente nel caso di sostituzione per SIM smarrita, rubata o guasta.

Con riferimento alle modifiche apportate alla delibera 147/11/CIR in tema di portabilità del numero mobile, l’Autorità ha reso obbligatorio (e non più facoltativo) il processo di validazione della richiesta anche in caso di MNP verso altro operatore. Sul punto l’Autorità ha stabilito che sia l’operatore di destinazione (recipient) ad occuparsi di verificare i dati necessari per processare la richiesta.

L’AGCom ha altresì introdotto nuovi obblighi informativi nei confronti degli utenti durante il processo di MNP. Nello specifico, l’operatore di telefonia mobile dovrà informare il cliente “in modo puntuale e completo” non appena i) viene registrata nei sistemi del recipient la richiesta di portabilità; ii) viene ricevuta dal recipient la risposta positiva o negativa alla richiesta di portabilità; iii) avviene il passaggio del numero; iv) viene accreditato il credito residuo sulla nuova SIM.

Le modifiche introdotte con la delibera n. 86/21/CIR dovranno essere attuate entro 12 mesi dalla pubblicazione della delibera sul sito web dell’Autorità.

Su un simile argomento può essere interessante l’articolo “Proposte in tema di sviluppo delle reti di telecomunicazione”.

Intellectual Property

Marchio UE: rischio di confusione eliminato dalla notorietà

In occasione della recente sentenza T 368/20, il Tribunale dell’Unione europea (il Tribunale) ha deciso sulla domanda di registrazione di un marchio dell’Unione europea denominativo costituito dal nome completo di una famosa popstar statunitense, annullando la precedente decisione dell’Ufficio dell’Unione europea per la proprietà intellettuale (EUIPO).

Nello specifico, tale domanda di registrazione veniva depositata nel 2014 dalla compagnia della popstar, che procedeva rivendicando le classi 9, 16, 28 e 41. Tuttavia, poco dopo avverso la stessa proponeva opposizione una società titolare di un marchio anteriore, costituito da un logo corrispondente al cognome della cantante e registrato nelle classi 9 e 20. A fondamento dell’opposizione si poneva l’impedimento relativo alla registrazione di cui all’art. 8, paragrafo 1, lett. b), reg. (UE) 2017/1001, ovverosia il rischio di confusione.Le ragioni della società opponente venivano riconosciute dapprima dalla Divisione di opposizione – che accoglieva parzialmente l’opposizione - e poi dalla Prima commissione di ricorso (la Commissione) dell’EUIPO. In particolare, a fondamento della conclusione della Commissione si ponevano la somiglianza fonetica e visiva dei segni, un livello di attenzione variabile nel pubblico di riferimento, la somiglianza dei prodotti in questione e da ultimo un confronto concettuale neutro.

Tale conclusione è stata poi ribaltata dal Tribunale, che ha ritenuto ammissibile la domanda di registrazione del marchio in questione e annullato la precedente decisione. Secondo il Tribunale, l’EUIPO aveva erroneamente presunto che i consumatori avessero più probabilità di ricordare il solo cognome della cantante – visivamente e foneticamente identico al marchio della controparte - invece che il nome della stessa, senza giustamente ponderare il fatto che si trattasse di un personaggio pubblico di fama internazionale il cui nome completo è soggetto ad una costante esposizione mediatica nei confronti del pubblico di riferimento. Tale circostanza veniva così considerata sufficiente e idonea ad escludere il rischio di confusione posto alla base del procedimento.

La presente decisione – coerente con una tendenza iniziata nel 2018 - conferma che la notorietà di un personaggio pubblico può assurgere talvolta ad elemento in grado di rendere distintivo un segno, eliminando il rischio di confusione con un eventuale marchio anteriore e riconoscendo allo stesso una diversa portata concettuale. Sulla base di tale conclusione quindi, persino somiglianze visive e fonetiche tra i segni potrebbero essere ritenute irrilevanti ai fini della registrazione di un marchio UE.

Su un simile argomento può essere interessante l’articolo “Somiglianza fonetica tra marchi e rischio di confusione per i consumatori”.

Recepite le direttive europee in tema di media audiovisivi e diritto d'autore

Il Consiglio dei Ministri ha recentemente approvato, a seguito di esame preliminare, alcuni decreti legislativi in attuazione alle norme europee in tema di fornitura di servizi di media audiovisivi e diritto d’autore (e relativi diritti connessi) nel mercato unico digitale.

In particolare, si è discusso dell’attuazione della direttiva (UE) 2019/790 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sul diritto d’autore e sui diritti connessi, che modifica le direttive 96/9/CE e 2001/29/CE. Tale direttiva nasce con lo scopo di aggiornare il quadro giuridico dell’Unione Europea rispetto al diritto d’autore, specie in riferimento alle necessità di adattamento all’odierno contesto digitale.

Il decreto legislativo di recepimento della direttiva 2019/790 si concentra soprattutto sulla gestione della circolazione delle opere d’ingegno online. A riguardo, esso si pone l’obiettivo di facilitare la diffusione di copie non originali di opere d’arte divenute di pubblico dominio, prevedendo la possibilità di riprodurre l’opera la cui tutela sia esaurita, a condizione che non si tratti di un’attività creativa propria dell’autore.

Inoltre, il decreto presta attenzione anche agli editori, riconoscendo norme volte a garantire i diritti connessi all’utilizzo delle loro pubblicazioni da parte di altre società fornitrici di servizi legati all’informazione. Nello specifico, si prevede che gli editori possano negoziare con detti prestatori di servizi accordi per la concessione e l’utilizzo delle loro pubblicazioni a fronte di un’equa remunerazione.

Rilevante sono anche le disposizioni in tema di licenze per l’utilizzo di opere audiovisive sulle piattaforme video on demand. Infatti, il decreto legislativo attribuisce all’Autorità Garante della Concorrenza e del Mercato (AGCM) la funzione di aiutare le parti contraenti a stabilire l’entità del corrispettivo in caso di difficoltà nella negoziazione dell’accordo. Infine, il decreto rafforza gli obblighi di trasparenza nei rapporti tra autore e licenziatario, richiedendo scambi di informazioni sullo sfruttamento delle opere con cadenza trimestrale.

Sul fronte media e telecomunicazioni, il decreto legislativo recepisce la direttiva (UE) 2018/1808 – relativa al coordinamento delle norme sulla la fornitura di servizi di media audiovisivi – e la direttiva (UE) 2018/1972, che istituisce il Codice europeo delle comunicazioni elettroniche (rifusione) (Ministro dello sviluppo economico).

Su un simile argomento può essere interessante l’articolo “Linee guida UE sulla disciplina per i fornitori di servizi Internet ai sensi della Direttiva Copyright”.

Stampa