Skip to main content

Tag: Privacy

COME PROTEGGERE LA PRIVACY DEI PAZIENTI: LE LINEE GUIDA PER I CENTRI MEDICI

Scritto da admin_sicurezza360 il . Pubblicato in Blog. Nessun commento su COME PROTEGGERE LA PRIVACY DEI PAZIENTI: LE LINEE GUIDA PER I CENTRI MEDICI

È di 10 mila euro la sanzione comminata dal Garante per la protezione dei dati a un Centro medico che ha scambiato, per errore, nel proprio gestionale le informazioni e i dati sanitari di due pazienti omonimi.

Uno dei due pazienti interessati lamentava di aver ricevuto, periodicamente, SMS di promemoria di visite mediche mai prenotate e di aver trovato nella dichiarazione dei redditi fatture di circa 4 mila euro, emesse con il proprio codice fiscale, per prestazioni mai effettuate. Dopo aver presentato reclamo, l’Autorità si è immediatamente attivata facendo emergere l’inesatta attribuzione del codice fiscale e dell’indirizzo di residenza tra i soggetti omonimi, anche al momento della consegna di alcune fatture.

Numerose, quindi, le violazioni riscontrate dal Garante da parte del Centro, il quale aveva effettuato un trattamento trasgredendo al principio di esattezza, di integrità e di riservatezza, non avendo registrato correttamente i dati dei pazienti.

Con questo provvedimento, l’Autorità ha voluto ribadire come anche le strutture sanitarie debbano adottare tutte le misure tecniche e organizzative adeguate a garantire che il trattamento dei dati personali dei pazienti rispetti il Regolamento (UE) 679/2016.

12 linee guida per la gestione dei dati personali in un Centro medico

Ecco, allora, alcune delle principali linee guida per la gestione adeguata dei dati personali in un Centro medico:

  1. Consapevolezza e formazione: assicurarsi che tutto il personale del centro medico sia consapevole dell’importanza della protezione dei dati personali e abbia ricevuto una formazione appropriata sulla sicurezza delle informazioni e le leggi sulla privacy.
  2. Designare un responsabile della protezione dei dati (DPO): nel caso in cui sia richiesto dalla legge, designare un responsabile della protezione dei dati per supervisionare e garantire la conformità alle normative sulla privacy.
  3. Limitare l’accesso: assicurarsi che solo il personale autorizzato abbia accesso ai dati personali dei pazienti. Implementare sistemi di autenticazione e autorizzazione appropriati per proteggere l’accesso non autorizzato.
  4. Crittografare i dati: utilizzare la crittografia per proteggere i dati sensibili memorizzati e trasmessi. La crittografia garantisce che, anche se i dati dovessero essere intercettati, non sarebbero leggibili senza la chiave corretta.
  5. Utilizzare sistemi di sicurezza informatica: assicurarsi che i sistemi informatici del centro medico siano protetti da firewall, antivirus e altre misure di sicurezza per proteggere i dati da accessi non autorizzati o malware.
  6. Effettuare backup regolari: mantenere copie di backup dei dati e verificare regolarmente che i backup siano funzionanti e disponibili in caso di necessità, come un malfunzionamento del sistema o un attacco informatico.
  7. Distruggere i dati in modo sicuro: assicurarsi che i dati personali siano correttamente eliminati e distrutti quando non sono più necessari, in conformità con le normative sulla conservazione dei dati.
  8. Monitoraggio delle attività: implementare sistemi di monitoraggio delle attività per rilevare comportamenti anomali o accessi non autorizzati.
  9. Politiche di accesso e privacy: definire chiaramente le politiche di accesso e privacy all’interno del centro medico e comunicarle a tutto il personale.
  10. Conformità alle normative: assicurarsi che il centro medico sia conforme alle leggi e alle regolamentazioni sulla privacy dei dati personali, come il Regolamento Generale sulla Protezione dei Dati (GDPR) nell’Unione Europea o altre leggi locali in vigore.
  11. Proteggere i dati fisici: non trascurare la sicurezza dei dati fisici, come documenti cartacei o dispositivi di archiviazione esterni. Conservare tali elementi in luoghi sicuri e limitare l’accesso fisico ad essi.
  12. Consenso informato: assicurarsi di ottenere il consenso informato dei pazienti per la raccolta e l’uso dei loro dati personali in conformità con le normative vigenti.

Vuoi ulteriori informazioni? Partecipa ad una call in Zoom con il nostro esperto privacy! Completa il form qui sotto ↓

EMAIL PUBBLICITARIE:
QUANDO IL CONSENSO È FONDAMENTALE

Scritto da admin_sicurezza360 il . Pubblicato in Blog. Nessun commento su EMAIL PUBBLICITARIE:
QUANDO IL CONSENSO È FONDAMENTALE

L’invio di email pubblicitarie senza il consenso esplicito dei destinatari può essere considerato spam e potrebbe violare le normative sulla privacy e il trattamento dei dati personali.

Il Garante privacy ci ha tenuto a precisare, comminando una sanzione di 10.000€ ad una società, che un link per rimuovere l’iscrizione dalle email promozionali inviate senza consenso non ne rende lecito l’invio. L’intervento dell’Autorità ha seguito la segnalazione di un utente che lamentava la continua ricezione di email indesiderate, nonostante si fosse opposto a tali invii, e di non aver avuto alcuna risposta da parte della società.

La società ha provato a difendersi dichiarando di aver estratto i nominativi da alcuni elenchi pubblici e che i dati poi sarebbero stati trattati sulla base di un legittimo interesse, ma il Garante ha sottolineato che l’invio di comunicazioni con modalità automatizzate è permesso solo con il consenso dell’utente-contraente.

Ecco le misure efficaci che puoi adottare se hai ricevuto email pubblicitarie non richieste:

  1. Segna l’email come spam: la maggior parte dei provider di posta elettronica offre la possibilità di segnalare un’email come spam o indesiderata. In questo modo, l’algoritmo del provider di posta potrebbe identificare futuri messaggi provenienti dallo stesso mittente come spam e bloccarli automaticamente.
  2. Cancellazione o disiscrizione: alcune email pubblicitarie potrebbero contenere un link per la disiscrizione. Se ti senti sicuro di farlo, puoi cliccare sul link per rimuovere il tuo indirizzo email dalla loro lista di distribuzione.
  3. Blocco del mittente: puoi aggiungere l’indirizzo email del mittente alla lista di blocco o ai filtri antispam del tuo client di posta elettronica per evitare che i messaggi futuri arrivino nella tua casella di posta in arrivo.
  4. Segnalazione alle autorità competenti: se ritieni che le email pubblicitarie siano particolarmente invasive o violino la normativa sulla privacy, puoi segnalare il problema alle autorità competenti, come l’Autorità Garante per la protezione dei dati personali (in Italia) o l’agenzia nazionale di regolamentazione delle comunicazioni.

Vuoi partecipare ad una call in Zoom con il nostro esperto privacy? Completa il form qui sotto ↓

CYBERSECURITY: PHISHING E RANSOMWARE, COSA SONO E COME DIFENDERSI

Scritto da admin_sicurezza360 il . Pubblicato in Blog.

L’attività di cyber crime è, ad oggi, più redditizia del commercio illegale di droga: infatti, secondo le ricerche pubblicate da Cybersecurity Ventures (il principale ricercatore al mondo sulla sicurezza informatica), i costi globali del crimine informatico sono destinati ad aumentare. Le previsioni parlano del 15% all’anno, fino a raggiungere i 10,5 trilioni di dollari, ogni anno, entro il 2025.

I cyber attacchi possono colpire chiunque, dai privati, alle piccole e fino alle grandi imprese e multinazionali e, nella maggior parte dei casi, a fare la differenza è l’elemento umano: infatti, circa il 95% degli attacchi cyber è causato dall’errore umano.

Ciò vuol dire che le persone non sono sufficientemente ed adeguatamente formate per riconoscere e gestire un attacco informatico.

Come nel caso dell’Italia che, per quanto riguarda il capitale umano, si colloca – secondo una ricerca condotta nel 2022 da DESI (Digital Economy and Society Index) – al 25° posto su 27 Paesi dell’UE, con solo il 46% delle persone aventi perlomeno competenze digitali di base.

I principali attacchi cyber vengono realizzati attraverso il phishing e i ransomware.

Il phishing (derivante dall’omofonia con fishing, “pescare”) è un metodo ingannevole che, mettendo in pratica il cosiddetto “social engineering” (ossia la manipolazione della persona attraverso la psicologia), cerca di indurre una vittima, mediante una falsa comunicazione, a collegarsi ad un sito bersaglio simile all’originale (ad esempio, il sito di una banca), al fine di rivelare informazioni personali quali, ad esempio, le credenziali di accesso, i numeri di carta di credito, i dati bancari, o per veicolare all’interno del dispositivo utilizzato un malware (ovvero un software dannoso).

Il principale esempio di questa truffa informatica è dato dalle email di phishing, che rappresentano circa l’80% dei vettori di attacco.

Esistono poi delle varianti. Nello specifico:

  • Smishing, ossia “SMS phishing”, realizzato attraverso l’invio di messaggi su dispositivi mobili;
  • Vishing, ossia “phishing vocale”, la truffa telefonica;
  • QRishing, ossia “QR Codes + phishing”; attacco sotto forma di un codice QR che indirizza a un link web contenente malware, evitando in questo modo i controlli antispam.

Si distinguono dal phishing, poi, lo spear phishing e il watering hole.

Il phishing consiste nella “pesca a strascico”, ossia nell’invio della medesima comunicazione ad un milione di utenti, sapendo che almeno il 10% delle comunicazioni verranno aperte e che almeno l’1% delle persone cliccherà sul link e/o sul file allegato.

Lo spear phishing (ossia, la “pesca con la fiocina”) consiste invece in un attacco mirato ad una specifica Organizzazione.
In questo caso il cyber criminale studia la propria vittima, raccogliendo informazioni dai siti internet e dai social e, successivamente, confeziona una email personalizzata per indurre l’utente in errore.

Infine, il watering hole (ossia “l’abbeveratoio”) è un attacco, ormai sempre meno efficace, attraverso il quale i criminali compromettono ed infettano i siti visitati dalle potenziali vittime; in questo caso, è la vittima ad andare nel sito infetto e non l’attaccante a sollecitarne la visita attraverso una email.

In tutti i casi sopra riportati, è fondamentale che l’utente presti attenzione al link del sito internet su cui clicca.

Molto spesso, infatti, si pensa che il sito internet che utilizza il protocollo HTTPS sia sicuro; tuttavia, il protocollo HTTPS garantisce solo che le informazioni trasmesse sul sito saranno criptate, ma dice poco o nulla sull’autenticità di chi possiede il sito web che l’utente sta visitando.

È fondamentale, inoltre, imparare a riconoscere quelli che vengono definiti “attacchi omografici”, ossia quegli attacchi ingannevoli che sfruttano la somiglianza visiva di caratteri differenti. Questo tipo di attacco (definito typosquatting) viene utilizzato per creare e registrare domini fasulli, con nomi praticamente identici a quelli di domini esistenti, per ingannare gli utenti e indurli a visitarli.

Per ransomware si intende, invece, un malware (ossia un programma informatico malevolo) la cui funzione è quella di infettare un dispositivo digitale, bloccando l’accesso a tutti o a parte dei dati ivi contenuti.

L’utilizzo di questi malware è aumentato esponenzialmente negli ultimi anni e circa il 75% degli stessi sono di origine russa.

Oltre a bloccare i dati tramite criptazione, i più recenti attacchi ransomware si concretizzano anche nella sottrazione degli stessi e nella minaccia della loro diffusione (double extorsion), esponendo così l’Organizzazione alle sanzioni di cui al Regolamento (UE) 2016/679 in materia di trattamento dei dati personali.

A seguito dell’attacco, il cyber criminale chiede all’Organizzazione il pagamento di un riscatto per la restituzione dei dati sottratti e/o criptati. Tale importo ha subito, nel corso degli anni, un significativo aumento, passando da poche centinaia fino ad arrivare a milioni di dollari.

I vettori di infezione utilizzati dai ransomware sono:

  • Email di phishing;
  • Navigazione su siti compromessi;
  • Supporti rimovibili, ad esempio chiavetta USB;
  • Altri software che vengono scaricati (ad esempio, possono essere inseriti all’interno di programmi gratuiti che consentono all’utente di craccare software costosi per utilizzarli senza pagare);
  • Collegamenti remoti, tipo VPN.

I file più utilizzati come allegati malevoli, per inoculare un malware, sono pdf, Excel, Word, inserendo il malware all’interno delle macro dei file stessi.

Come detto in apertura, gli attacchi cyber colpiscono tutti. Ciò che può fare la differenza è la preparazione dell’utente, che può adottare alcune semplici accortezze per difendersi da tali attacchi, come ad esempio:

  • Prestare attenzione alle email, perché possono contenere link e/o allegati pericolosi;
  • Prestare attenzione alle chiavette USB;
  • Disabilitare l’esecuzione di macro da parte dei componenti Office (Word, Excel, Power Point, …);
  • Effettuare un periodico backup dei dati;
  • Non cliccare su banner in siti non sicuri;
  • Installare programmi antivirus.
Scopri il corso >