Competenze e requisiti del DPO - Il problema delle certificazioni

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

L’articolo 37 del Regolamento Europeo 679/2016 prevede la nomina del Data Protector Officer, senza però darne né precisa definizione né esaustiva descrizione della figura. I successivi articoli 38 e 39 indicano la posizione che dovrà assumere all’interno della struttura ed i suoi compiti ma, anche qui, non indicano compiutamente quali caratteristiche debba avere e i suoi requisiti, titoli, attestati e quant’altro. Pertanto, ad oggi, quello che è uno dei soggetti principali della nuova normativa europea in materia di trattamento dati personali, non ha una sua tipizzazione normativa, tant’è che non esiste alcun albo o registro dei DPO e neppure sono state emanate (a livello europeo o dei singoli Stati)  norme che contribuiscano a creare la categoria.

L’unica norma del regolamento che indica caratteristiche e competenze del DPO è il comma 5 dell’articolo 37 che testualmente recita:

Bug di Apple: con un link si può bloccare il Mac e riavviare iOS

La falla di sicurezza è in un componente usato da tutti i sistemi Apple: per l'exploit basta creare un sito web con un CSS particolare. Di per sé pare difficile che questa vulnerabilità possa essere sfruttata per attacchi malware, ciò non toglie che possa diventare una scocciatura. Questo per il semplice fatto che questo bug, scoperto dal ricercatore di Wire Sabri Haddouche, richiede pochissime conoscenze tecniche per essere sfruttato e, per quanto magari non produrrà mai gravi danni, può creare fastidi.

Non è la prima volta...

Non sarebbe infatti la prima volta che falle piuttosto deboli, ovvero che non rischiano di compromettere completamente sistema e dati, vengono usate per "tirare brutti scherzi" o per il mero gusto di dare fastidio. 

Il consenso dell'Interessato ai sensi del GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Deve premettersi e mai perdersi di vista il concetto essenziale che il Regolamento Europeo 679/ 2016 pone al suo centro l’interessato, vale a dire il soggetto che fornisce i propri dati personali a chi dovrà trattarli. A differenza della previgente normativa nazionale, il Regolamento non solo riconosce questa figura espressamente, ma la individua quale titolare di diritti ben precisi: proprio al fine di poter compiutamente esercitare gli stessi, il consenso al trattamento dati a favore dell’interessato, sia che derivi da contratto che da obbligo di legge, deve essere non solo chiaro, ma avere ben determinate caratteristiche. 

In generale il consenso è identificato in: 

“qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento". 

Già da questa definizione emerge come il consenso non possa in alcun modo essere condizionato o soggetto a controprestazioni che rimangono nell’alveo del rapporto tra le parti. Laddove ciò accadesse il consenso non avrebbe validità con la conseguenza dell’impossibilità per il Titolare di provvedere al trattamento dei dati e, molto probabilmente, non poter eseguire i propri obblighi contrattuali.

Ondata di attacchi contro Linux e Windows: in diffusione il malware XBASH

I ricercatori di sicurezza del team Unit42 di Palo Alto Network hanno rilevato una pericolosa ondata di attacchi in grado di creare gravi disfunzione sui sistemi colpiti. Il malware in diffusione è noto come Xbash, attributo al gruppo di cyber criminali "Iron Group", e presenta caratteristiche di virulenza e capacità di auto propagazione nei sistemi Linux e Windows. E' programmato in Python ed è stato convertito in un eseguibile ELF (Linux) approntato abusando di PyInstaller per la distribuzione. E' molto pericoloso anche perchè ha un tasso di individuazione bassissimo.

Che cosa fa?

L'analisi del codice ha reso chiaro che Xbash ha non poche capacità offensive, prima di tutte la

In diffusione nuova variante del ransomware Dharma: attacca i Remote Desktop Service

Durante il fine settimana è stata messa in diffusione una nuova variante della famiglia ransomware Dharma, riconoscibile perché modifica l'estensione dei file criptati in .brr. Il primo a darne notizia è stato il ricercatore di sicurezza Jakub Kroustek che ha twittato il link ad un campione del ransomware su VirusTotal.

Attualmente non c'è possibilità di decriptare gratuitamente i file attaccati da Brr Dharma Ransomware. 

Come si diffonde
Come ogni membro della famiglia Dharma, anche la variante Brr viene installata manualmente sulla