Sommario
Questa circolare affronta i rischi per la privacy e la sicurezza associati all’uso di programmi di conversione PDF in Word, fornisce raccomandazioni per proteggere i dati sensibili e illustra le potenziali conseguenze di violazioni della sicurezza.
Desideriamo informarvi riguardo a importanti questioni di privacy e sicurezza relative all’utilizzo di programmi di conversione di file PDF in Word.
Recenti studi e analisi hanno evidenziato che l’uso di tali servizi può comportare significativi rischi per la protezione dei dati personali contenuti nei documenti PDF.
Pericoli Principali
1. Esposizione dei Dati Sensibili
I documenti in formato PDF sono suscettibili di contenere dati personali e metadati non immediatamente visibili, quali, a titolo esemplificativo ma non esaustivo, le generalità dell’autore e informazioni relative all’infrastruttura informatica impiegata per la generazione del documento stesso.
Tali informazioni, in assenza di adeguate misure di sicurezza, sono potenzialmente soggette a intercettazione, estrazione e successivo utilizzo illecito, configurando così una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR) e delle normative nazionali in materia di protezione dei dati personali.
In particolare, la trasmissione di suddetti file in assenza di protocolli di cifratura conformi agli standard di sicurezza vigenti può esporre i dati a rischi di accesso non autorizzato e conseguente trattamento illecito, ivi inclusa la possibilità di perpetrare attacchi informatici mirati.
Si precisa che, ai sensi dell’art. 32 del GDPR, il titolare del trattamento e il responsabile del trattamento sono tenuti a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
2. Conservazione e Condivisione dei File
I servizi di conversione online, in quanto titolari autonomi del trattamento ai sensi dell’art. 4, paragrafo 7, del Regolamento (UE) 2016/679 (GDPR), possono, in violazione dei principi di limitazione della finalità e della conservazione ex art. 5, paragrafo 1, lettere b) e e) del GDPR, procedere alla conservazione non autorizzata dei file caricati o alla cessione a terzi dei dati in essi contenuti, esponendo così le informazioni sensibili degli interessati a ulteriori e non preventivati trattamenti.
Si rileva, inoltre, che l’utilizzo di strumenti online implica necessariamente il trasferimento dei file su server remoti, i quali potrebbero non soddisfare gli standard di sicurezza richiesti dall’art. 32 del GDPR o, in alternativa, essere ubicati in giurisdizioni extra-UE con un livello di protezione dei dati personali non ritenuto adeguato ai sensi dell’art. 45 del GDPR.
Tale circostanza potrebbe configurare un trasferimento illecito di dati verso paesi terzi o organizzazioni internazionali, in violazione del Capo V del GDPR, esponendo gli interessati a rischi significativi per i loro diritti e libertà fondamentali, nonché il titolare del trattamento a potenziali sanzioni amministrative pecuniarie ai sensi dell’art. 83, paragrafo 5, lettera c) del GDPR.
Si rammenta che, in ossequio al principio di responsabilizzazione (accountability) sancito dall’art. 5, paragrafo 2, del GDPR, il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento, ivi inclusa la scelta di fornitori di servizi che offrano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato.
3. Efficienza delle Tecniche di Pulizia
Si rileva che numerose entità giuridiche, in qualità di titolari del trattamento, omettono di implementare adeguate misure tecniche di minimizzazione e pseudonimizzazione dei dati personali contenuti nei file PDF, come prescritto dall’art. 25 del Regolamento (UE) 2016/679 (GDPR) in materia di protezione dei dati fin dalla progettazione e per impostazione predefinita.
Tale omissione configura una violazione del principio di integrità e riservatezza sancito dall’art. 5, paragrafo 1, lettera f) del GDPR, nonché un inadempimento dell’obbligo di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, come stabilito dall’art. 32 del medesimo regolamento.
In particolare, l’assenza di procedure di sanitizzazione efficaci dei documenti PDF comporta la persistenza di dati personali, inclusi potenzialmente dati appartenenti alle categorie particolari ex art. 9 del GDPR, in forma non adeguatamente protetta. Ciò rende tecnicamente fattibile il recupero di informazioni significative anche da file erroneamente ritenuti “bonificati”, esponendo gli interessati a rischi di trattamenti ulteriori non autorizzati e potenzialmente lesivi dei loro diritti e libertà fondamentali.
Si rammenta che, ai sensi dell’art. 83, paragrafo 4, lettera a) del GDPR, la mancata adozione di misure tecniche e organizzative adeguate può comportare l’irrogazione di sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Pertanto, si sottolinea l’importanza di implementare rigorose procedure di data cleansing, comprensive di tecniche avanzate di rimozione dei metadati e di eventuali contenuti nascosti, al fine di garantire l’effettiva anonimizzazione o, quantomeno, una robusta pseudonimizzazione dei dati personali contenuti nei documenti PDF destinati alla condivisione o alla pubblicazione.
Tale approccio, oltre a costituire adempimento degli obblighi normativi, rappresenta una best practice indispensabile per mitigare i rischi di data breach e le conseguenti responsabilità giuridiche in capo al titolare del trattamento.
4. Rischi di Compromissione dell’Integrità dei Sistemi e Violazione dei Dati mediante Software Malevolo
Si richiama l’attenzione sulla potenziale presenza di codice malevolo (malware) o software di spionaggio (spyware) all’interno di applicativi di conversione da formato PDF a Word reperibili attraverso canali di distribuzione non ufficiali o di dubbia affidabilità. L’installazione di tali software comporta un rischio significativo di violazione dell’integrità e della riservatezza dei sistemi informatici aziendali, configurando potenziali infrazioni agli artt. 5 e 32 del Regolamento (UE) 2016/679 (GDPR).
In particolare:
a) L’utilizzo di software non certificati può determinare una violazione dei dati personali ai sensi dell’art. 4, punto 12, del GDPR, esponendo il titolare del trattamento alle sanzioni previste dall’art. 83, paragrafo 4, lettera a) del medesimo regolamento.
b) L’eventuale compromissione dei sistemi informatici mediante malware potrebbe configurare un’infrazione dell’art. 615-ter del Codice Penale (Accesso abusivo ad un sistema informatico o telematico), nonché una violazione delle misure minime di sicurezza previste dall’art. 32 del GDPR.
c) La presenza di spyware sui dispositivi aziendali potrebbe comportare una violazione continuata e sistematica dei dati personali, in contrasto con i principi di liceità, correttezza e trasparenza del trattamento ex art. 5, paragrafo 1, lettera a) del GDPR.
Si rammenta che, ai sensi dell’art. 24 del GDPR, il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento. Ciò include l’adozione di politiche di sicurezza informatica che prevedano:
1) L’utilizzo esclusivo di software provenienti da fonti attendibili e certificate;
2) L’implementazione di sistemi di prevenzione e rilevamento delle intrusioni (IPS/IDS);
3) L’aggiornamento regolare dei sistemi antivirus e anti-malware;
4) La formazione del personale sui rischi associati al download e all’installazione di software non autorizzati.
Si sottolinea, infine, che l’adozione di tali misure non solo costituisce un obbligo normativo, ma rappresenta anche una tutela essenziale per l’integrità del patrimonio informativo aziendale e per la salvaguardia dei diritti e delle libertà fondamentali degli interessati i cui dati personali sono oggetto di trattamento.
Esempio di Violazione dei Dati
Nel marzo 2024, un’importante azienda del settore sanitario ha subito una violazione dei dati dopo che un dipendente ha utilizzato un servizio di conversione PDF online non sicuro per elaborare documenti contenenti informazioni mediche dei pazienti. Questo incidente ha portato all’esposizione di dati sensibili di oltre 100.000 pazienti.
Raccomandazioni per Proteggere i Dati Personali
1. Utilizzare Software Affidabili
- Si consiglia di utilizzare software installati localmente sui propri dispositivi, che offrono maggiori garanzie di sicurezza rispetto ai servizi online. Ad esempio, Adobe Acrobat, Microsoft Word e Doxillion Document Converter sono soluzioni affidabili per la conversione di PDF in Word.
2. Verificare le Politiche di Privacy
- Prima di utilizzare un servizio di conversione online, è fondamentale esaminare l’informativa sulla privacy e assicurarsi che il servizio non conservi i file caricati e che rispetti le normative sulla protezione dei dati, come il GDPR nell’Unione Europea.
3. Preferire Servizi con Crittografia End-to-End
- Optare per piattaforme che offrono crittografia HTTPS/SSL per la trasmissione sicura dei dati e crittografia end-to-end per proteggere i files durante l’intero processo di conversione.
4. Applicare Procedure di Bonifica
- Prima di pubblicare o condividere documenti PDF, assicurarsi che siano stati sottoposti a procedure di bonifica per rimuovere metadati e informazioni sensibili. Utilizzare strumenti di pulizia avanzati per garantire che i dati riservati non possano essere recuperati.
Conseguenze Legali e Finanziarie
Conseguenze Giuridiche ed Economiche delle Violazioni dei Dati
Le violazioni dei dati personali, come definite all’art. 4, punto 12, del Regolamento (UE) 2016/679 (GDPR), possono comportare gravi ripercussioni giuridiche ed economiche per il titolare del trattamento e gli interessati coinvolti, nello specifico:
1. Sanzioni Amministrative Pecuniarie
Ai sensi dell’art. 83, paragrafo 5, del GDPR, le violazioni degli obblighi del titolare del trattamento possono comportare l’irrogazione di sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Tali sanzioni devono essere effettive, proporzionate e dissuasive, come stabilito dall’art. 83, paragrafo 1, del GDPR.
2. Pregiudizio Reputazionale e Fiduciario
La violazione dei dati può determinare un grave nocumento all’immagine e alla reputazione dell’azienda, con conseguente perdita di fiducia da parte della clientela. Tale danno, di natura non patrimoniale, può tradursi in una significativa riduzione del valore dell’avviamento aziendale e in una contrazione del fatturato.
3. Danni Economici da Interruzione Operativa
L’obbligo di notifica della violazione all’autorità di controllo entro 72 ore (art. 33 GDPR) e la necessità di condurre indagini approfondite per individuare l’origine della violazione, identificare le vulnerabilità e valutare l’entità del danno, possono comportare una sostanziale interruzione o rallentamento dell’attività aziendale, con conseguenti perdite economiche dirette e indirette.
4. Azioni Legali degli Interessati
Ai sensi dell’art. 82 del GDPR, chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento. Ciò espone l’azienda al rischio di molteplici azioni legali, sia individuali che collettive (class action), con potenziali esborsi significativi a titolo di risarcimento.
5. Costi di Gestione e Mitigazione
L’art. 34 del GDPR impone, in determinati casi, l’obbligo di comunicare la violazione all’interessato. Inoltre, il titolare del trattamento è tenuto ad adottare misure per mitigare i possibili effetti negativi della violazione. Tali attività comportano costi diretti significativi, tra cui:
– Spese per servizi legali e di consulenza specialistica
– Costi per l’implementazione di misure di sicurezza aggiuntive
– Spese per la comunicazione agli interessati e la gestione delle relazioni pubbliche
– Potenziali costi per l’offerta di servizi di monitoraggio del credito agli interessati colpiti
Si rammenta che, ai sensi dell’art. 24 del GDPR, il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.
L’adozione di tali misure preventive, unitamente a una politica di gestione del rischio efficace, risulta essenziale per mitigare le potenziali conseguenze avverse derivanti da violazioni dei dati personali.
Politiche Interne e Segnalazione di Incidenti
Politiche Interne di Gestione dei Documenti Contenenti Dati Personali e Procedure di Segnalazione
In ottemperanza agli obblighi previsti dagli artt. 24 e 32 del Regolamento (UE) 2016/679 (GDPR), nonché in osservanza del principio di accountability sancito dall’art. 5, paragrafo 2, del medesimo regolamento, l’azienda adotta le seguenti misure tecniche e organizzative per la gestione dei documenti contenenti dati personali:
1. Utilizzo Esclusivo di Software Autorizzati
Ai sensi dell’art. 29 del GDPR, si dispone che tutto il personale autorizzato al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile sia tenuto ad utilizzare esclusivamente software preventivamente approvati e validati dal Responsabile della Protezione dei Dati (DPO) per la conversione dei documenti contenenti dati personali. L’elenco dei software autorizzati sarà periodicamente aggiornato e reso disponibile sulla intranet aziendale.
2. Divieto di Utilizzo di Servizi di Conversione Online Non Autorizzati
È fatto espresso divieto a tutti i dipendenti e collaboratori di utilizzare servizi di conversione online non previamente autorizzati per il trattamento di documenti contenenti dati personali. Tale divieto è finalizzato a prevenire trasferimenti non autorizzati di dati verso paesi terzi o organizzazioni internazionali, in conformità con quanto previsto dal Capo V del GDPR.
3. Obbligo di Crittografia per Documenti Contenenti Dati Sensibili
In applicazione dell’art. 32, paragrafo 1, lettera a) del GDPR, si dispone che tutti i documenti contenenti dati personali appartenenti alle categorie particolari di cui all’art. 9 del GDPR o dati relativi a condanne penali e reati di cui all’art. 10 del GDPR, siano sottoposti a crittografia prima di qualsiasi operazione di trasmissione o archiviazione. I protocolli di crittografia adottati dovranno essere conformi agli standard di sicurezza più recenti e saranno oggetto di revisione periodica da parte del Responsabile della Sicurezza IT.
Procedura di Segnalazione di Violazioni della Sicurezza
In ottemperanza all’art. 33 del GDPR e al fine di garantire una tempestiva gestione delle potenziali violazioni dei dati personali, si istituisce la seguente procedura di segnalazione:
1. Obbligo di Segnalazione Immediata
Qualsiasi dipendente o collaboratore che sospetti o venga a conoscenza di una potenziale violazione della sicurezza dei dati o di problematiche inerenti alla privacy è tenuto a segnalare immediatamente l’accaduto al Team di Sicurezza IT.
2. Modalità di Contatto del Team di Sicurezza
Le segnalazioni dovranno essere effettuate attraverso i seguenti canali dedicati:
– Email: security.team@azienda.com
– Numero telefonico di emergenza: +39 XXX XXXXXXX
– Piattaforma interna di ticketing: [URL della piattaforma]
3. Contenuto della Segnalazione
La segnalazione dovrà contenere, ove possibile:
– Una descrizione dettagliata dell’incidente o del sospetto
– La data e l’ora in cui si è verificato o è stato rilevato l’incidente
– Le categorie e il volume approssimativo dei dati personali potenzialmente coinvolti
– Le possibili conseguenze della violazione
4. Obbligo di Riservatezza
Tutte le segnalazioni saranno trattate con la massima riservatezza, nel rispetto della normativa vigente e delle procedure interne di whistleblowing.
5. Formazione del Personale
L’azienda si impegna a fornire regolare formazione a tutto il personale sulle procedure di segnalazione e sull’importanza di una tempestiva comunicazione delle potenziali violazioni.
Il mancato rispetto delle suddette politiche e procedure potrà comportare l’adozione di misure disciplinari, fatte salve ulteriori responsabilità civili e penali.
Conclusione
La protezione dei dati personali è una priorità assoluta per la nostra azienda, e ci impegniamo a garantire che i vostri documenti siano trattati con la massima sicurezza. Pertanto, vi invitiamo a seguire queste raccomandazioni per minimizzare i rischi legati alla privacy nell’utilizzo di programmi di conversione PDF in Word.
Per ulteriori informazioni o assistenza, non esitate a contattare il nostro team di supporto.
Cordiali saluti,