Data Privacy & Cybersecurity Alert – July 26, 2022

July.26.2022

  1. Il Garante Italiano vieta Google Analytics
  2. Garante Privacy: il legittimo interesse non è la base giuridica adeguata per la pubblicità personalizzata
  3. Il nuovo privacy shield arriverà a marzo 2023
  4. UE e USA collaborano contro gli attacchi ransomware
  5. La CISA e l’FBI segnalano attacchi sponsorizzati dalla Cina
  6. La CISA, l’FBI e la FinCEN pubblicano un alert su Medusa Locker

1. Il Garante Italiano vieta Google Analytics

L’Autorità Garante per la Protezione dei Dati Personali ha ammonito un gestore di un sito web che utilizzava Google Analytics e trasferiva dati negli Stati Uniti d’America violando in questo modo gli articoli 44 e 46 del GDPR. Il Garante, che tramite il provvedimento in questione, uniformandosi alle posizioni della CNIL e del DSB, ha rilevato come Google Analytics non trasferisca dati anonimi ma unicamente dati pseudonimizzati e utilizzi le Standard Contractual Clauses del 2010.

Secondo l’interpretazione prevalente delle Autorità Garanti europee, Google non ha implementato sufficienti misure di sicurezza, non prevede la possibilità di non trasferire i dati personali negli Stati Uniti d’America e può re-indentificare l’utente grazie alle informazioni ulteriori in suo possesso.

Alla luce di quanto sopra, il Garante ha dichiarato l’illeceità del trattamento dei dati personali, e ha ordinato alla società di cessare il trasferimento dei dati.

L’Autorità Garante, tuttavia, ha qualificato la suddetta violazione come minore e, dunque, ha ritenuto di non dover procedere con una sanzione vera e propria.

2. Garante Privacy: il legittimo interesse non è la base giuridica adeguata per la pubblicità personalizzata

Il Garante, tramite un provvedimento d’urgenza adottato lo scorso 7 luglio ha avvertito una delle principali piattaforme di social network che “è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata in assenza di un esplicito consenso.”

Nelle scorse settimane il social network aveva informato i propri utenti che, a partire dal 13 luglio, le persone maggiori di 18 anni sarebbero state raggiunte da pubblicità personalizzata, basata cioè sulla profilazione dei comportamenti tenuti nel corso della navigazione. Secondo il Garante, tale base giuridica risulta incompatibile con la direttiva europea 2002/58, la cosiddetta direttiva “ePrivacy”, e con l’art. 122 del Codice in materia di protezione dei dati personali (che ne dà attuazione), norme che prevedono espressamente come base giuridica “per l’archiviazione di informazioni, o l'accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” esclusivamente il consenso degli interessati.

Il Garante si è, pertanto, riservato l’adozione di eventuali provvedimenti anche di urgenza qualora il social network non recedesse dal proprio proposito.

3. Il nuovo privacy shield arriverà a marzo 2023

Il Commissario EU per la Giustizia Reynders ha annunciato che il nuovo accordo per il trasferimento dei dati USA-UE dovrebbe essere pronto per la fine di marzo 2023, in ritardo sulla tabella di marcia prevista inizialmente dalla stessa Commissione che aveva indicato come fine del 2022. Il nuovo accordo, che sostituirà il cd. privacy shield, invalidato dalla Corte di Giustizia dell’Unione europea nel 2021, disciplinerà il trasferimento di dati verso gli Stati Uniti d’America.

4. UE e USA collaborano contro gli attacchi ransomware

I maggiori esperti legali e di cybersecurity, americani ed europei, hanno partecipato al workshop durato due giorni all’Aia, organizzato dal Department of Justice e da Eurojust. L’evento ha permesso agli esperti di condividere le best practice e migliorare la collaborazione in caso di attacchi ransomware. Gli esperti, coadiuvati dalle forze dell’ordine, hanno condiviso le loro esperienze al fine di capire come indagare su tali attacchi, richiedendo anche la collaborazione delle societàtech, società private e le più recenti tecniche investigative. Si è, inoltre, tenuto un breve confronto avente ad oggetto le modifiche necessarie da apportare alle leggi locali per migliorare le possibilità di successo. Tra queste è emerso una maggiore rilevanza delle cd. prove elettroniche e delle operazioni transfrontaliere.

5. La CISA e l’FBI segnalano attacchi sponsorizzati dalla Cina

La CISA, la National Security Agency e il Federal Bureau of Investigation hanno rilasciato un comunicato congiunto in cui forniscono informazioni sulle modalità con le quali gli hacker, sponsorizzati dalla Repubblica Popolare Cinese, sfruttano le vulnerabilità pubbliche e non ancora risolte al fine di creare un’ampia rete di infrastrutture compromesse e compromettibili. Il comunicato specifica, inoltre, che le società vittime degli attacchi operano principalmente nel mondo delle telecomunicazioni e dei servizi internet. In aggiunta, viene fornita una lista delle vulnerabilità principali associate ai dispositivi sfruttate abitualmente dagli hacker.

6. La CISA, l’FBI e la FinCEN pubblicano un alert su Medusa Locker

Il Federal Bureau of Investigation, la Cybersecurity and Infrastructure Security Agency, il Department of the Treasury e il Financial Crimes Enforcement Network hanno pubblicato un alert riguardo il nuovo ransomware Medusa Locker.

Il ransomware sfrutta le vulnerabilità del remote desktop protocol per accedere alle reti delle vittime, criptare i dati e successivamente fornire le istruzioni per il pagamento e la ricezione della chiave per decriptare i dati. Dall’analisi si può desumere come Medusa locker utilizzi il modello Ransomware-as-a-Service (“RaaS”), in quanto lo sviluppatore del ransomware riceve una percentuale del riscatto del 40-45% mentre l’affiliato che lo distribuisce riceve la quota restante.