password garante

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”.

Successivamente, con un comunicato del 1° marzo 2024, il Garante ha altresì pubblicato alcune FAQ che rispondono ad alcuni grandi interrogativi inerenti al tema della sicurezza delle password:

  • L’adozione di queste Linee Guida risulta necessaria in presenza di una delle tre seguenti condizioni:
    1. il trattamento riguarda le password di un numero significativo di utenti;
    2. il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni;
    3. il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679.

 

  • I destinatari di queste Linee Guida, pertanto, sono “tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici”, rispetto ai quali il Garante fornisce un elenco a mero titolo esemplificativo:
    • Gestori delle identità digitali SPID e CieID;
    • gestori di posta elettronica certificata;
    • società che svolgono attività di commercio elettronico;
    • partiti e movimenti politici;
    • sindacati, ecc.

 

  • Tali linee Guida si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori nonché alla cronologia delle password: la sicurezza non è mai troppa!

 

  • Le Password degli utenti devono essere tempestivamente cancellate, anche in modo automatico, in queste due casi:
    1. Cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
    2. Disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.

 

Qualora queste Linee Guida vengano adottate scrupolosamente, il rischio di subire violazioni di dati personali diminuisce notevolmente.

Tuttavia, qualora la violazione presentasse rischi per i diritti e le libertà degli interessati, rimane obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).

E voi, alla luce di queste Linee Guida, potete dire di adottare le corrette misure di sicurezza in materia di conservazione delle Password?

avvocato giuseppe croari bologna privacy

Ultimi aggiornamenti

ai act
L’approvazione dell’AI Act da parte dell’Unione Europea rappresenta un passo storico nella regolamentazione dell’intelligenza artificiale (AI). Questo articolo offre un’analisi approfondita del regolamento e delle sue implicazioni per aziende e consumatori. Cos’è e come funziona l’AI Act? L’AI Act è il primo regolamento completo al mondo […]
aliexpress dropshipping
AliExpress, gigante dell’e-commerce mondiale, deve il suo successo non solo alla vastità di prodotti a prezzi competitivi, ma anche al modello di vendita in dropshipping. Questo sistema permette a chiunque di aprire un e-commerce senza costi di gestione, vendendo prodotti disponibili su AliExpress senza possederli fisicamente. […]
smartphone geolocalizzato
Nell’era digitale, gli smartphone rappresentano dispositivi imprescindibili per la vita quotidiana, fungendo da ponte di connessione con il mondo circostante. In questo scenario, la possibilità di rintracciare un telefono smarrito o rubato assume un’importanza cruciale. Tuttavia, l’implementazione di sistemi di geolocalizzazione per smartphone spenti, introdotta da […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.