All posts by OdisseoPrivacy

Basta la sigla ‘104’ per violare la privacy del lavoratore fruitore di permessi per persone disabili

SpecialiMartedì, 25 Ottobre 2022 07:57 Attenzione a numeri e sigle. Se solo richiamano aspetti sanitari, sono di per se stessi dati sanitari. Anche se non abbinati a una determinata persona. Lo ha imparato a proprie spese un liceo scientifico, colpevole di avere pubblicato sul sito internet un elenco del personale fruitore di permessi previsti dalla legge 104/1992 (legge-quadro per l’assistenza delle persone handicappate). Mera indicazione della cifra «104», errore umano della diffusione e natura riservata della pagina del sito non sono valse a evitare l’ingiunzione del Garante della privacy di pagamento di 4 mila euro (provvedimento n. 290 del 1° settembre 2022). Il fatto ha riguardato la pubblicazione sul portale […]

Basta un solo ‘NO’ alle chiamate indesiderate per revocare il consenso a tutti gli operatori telefonici

Privacy & SocietàSabato, 29 Ottobre 2022 09:15 Con un solo “no” fuori da tutti gli elenchi telefonici e possibilmente dai motori di ricerca su internet. È quanto prevede il Gdpr (regolamento Ue sulla privacy n. 2016/679), come interpretato dalla Corte di Giustizia Ue nella sentenza del 27/10/2022, resa nella causa C-129/21. Se una persona revoca il consenso alla pubblicazione e scambio delle numerazioni dato a una società di telefonia che compila elenchi telefonici, dunque, quest’ultima deve informare altri operatori omologhi, con cui, sulla base di quel consenso, condivide le numerazioni telefoniche. Inoltre, chi riceve la revoca del consenso deve anche informare i motori di ricerca in Internet della predetta richiesta di […]

Pubblicato in Gazzetta Ufficiale il Digital Services Act, sei mesi di tempo per adeguarsi

Flash NewsSabato, 29 Ottobre 2022 11:55 Dopo l’accordo raggiunto la scorsa primavera tra le istituzioni europee, il Regolamento UE 2022/206 (Digital Services Act) è stato pubblicato sulla Gazzetta ufficiale dell’UE del 27 ottobre 2022, con sei mesi di tempo per adeguarsi e sanzioni fino al 10% del fatturato per le organizzazioni rientranti negli obblighi che non rispetteranno le regole. In base al Digital Services Act, che insieme al Digital Market Act (DMA) già pubblicato di recente costituisce il Digital Services Act Package presentato dalla Commissione fin dal 15 dicembre 2020 con lo scopo di costruire nuove regole per l’economia digitale, le piattaforme online come i social media e i siti di e-commerce, dovranno adeguarsi […]

Serietà del danno e gravità della lesione nell’illecito trattamento dei dati personali

SpecialiMartedì, 18 Ottobre 2022 08:39 In data 6 ottobre 2022 l’Avvocato Generale presso la Corte di Giustizia europea ha presentato le proprie conclusioni nella causa C-300/21, avente ad oggetto la risarcibilità dei danni non patrimoniali in conseguenza ad una violazione del diritto alla protezione dei dati personali. La vicenda ha origine in Austria, dove una società editrice aveva raccolto dati personali sulle preferenze politiche di una parte di cittadini. In particolare, tramite un algoritmo, essa individuava gli indirizzi di gruppi di destinatari della pubblicità elettorale dei partiti stessi. Uno degli interessati destinatari delle comunicazioni ricorreva in Tribunale dolendosi di non aver prestato il consenso al trattamento dei propri dati, chiedendo un […]

La ripetibilità della valutazione del rischio nell’ambito della protezione dei dati personali

SpecialiMartedì, 18 Ottobre 2022 10:04 Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. Affinché una valutazione del rischio, nel suo complesso, possa essere considerata di buona qualità, deve possedere diverse caratteristiche; tra queste la “ripetibilità”, ovvero garantire che la valutazione, effettuate da soggetti diversi e/o in tempi diversi, (purché in relazione al medesimo contesto), dia risultati simili e confrontabili. Questo concetto è chiaramente esplicitato dalla ISO/IEC 27001:2013 (ma è mantenuto anche nella ISO/IEC 27001:2022 di prossima pubblicazione); al requisito 6.1.2 “Valutazione del rischio relativo alla sicurezza delle informazioni”, infatti, recita: “…assicuri che ripetute valutazioni […]

La dismissione dei supporti contenenti dati personali: indicazioni dalla Linea Guida ISO/IEC 27002:2022

Primo PianoMercoledì, 13 Luglio 2022 12:22 La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell’informazione – Requisiti”, tratta anche del tema dello smaltimento dei supporti che contengono dati, nello specifico il controllo A.8.3.2 – dismissione dei supporti (nella ISO/IEC 27002:2022 controllo 7.10), ove si specifica che la dismissione deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali.  (Nella foto: Monica Perego, docente del Corso di alta formazione sui Sistemi di Gestione della Privacy) Ovviamente, la dismissione dei supporti si riferisce non solo a quelli elettronici, ma anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. L’articolo si concentra sulla dismissione dei supporti elettronici e cartacei dove di […]

Milioni di numeri WhatsApp di utenti italiani in vendita nel Dark Web: attenzione a chi si spaccia per un ‘vecchio amico’ o una ex che ha cambiato numero

Flash NewsGiovedì, 14 Luglio 2022 08:04 Gli esperti del forum di cybersecurity Red Hot Cyber hanno trovato diversi milioni di numeri di telefono e account WhatsApp di utenti italiani in vendita nel Dark Web sul noto forum underground BreachForums. Partendo da un post in cui i cyber criminali proponevano una lista di un milione di numeri di utenti delle Filippine, i ricercatori hanno contattato uno dei venditori chiedendo se fosse in possesso anche di dati riguardanti numeri italiani, e la risposta è stata che era disponibile un database di 50 milioni di numeri, praticamente quasi tutti gli utenti di WhatsApp nel nostro paese. Di questi, ben 20 milioni di numeri telefonici sarebbero […]

Garante Privacy: +56% i provvedimenti e oltre 13 milioni di euro di sanzioni riscosse lo scorso anno. Boom di notifiche di data breach

Flash NewsGiovedì, 07 Luglio 2022 11:44 Sono stati 448 i provvedimenti collegiali adottati nel 2021 dal Garante per la protezione dei dati personali, con un aumento di oltre 56% rispetto all’anno precedente. I provvedimenti correttivi e sanzionatori sono stati 388, mentre le sanzioni riscosse sono state di circa 13 milioni 500 mila euro. Questi alcuni dei numeri emersi dalla Relazione Annuale dell’Autorità presieduta da Pasquale Stanzione. (Nella foto: Pasquale Stanzione, presidente del Garante per la protezione dei dati personali) Di fronte all’alto numero di attacchi informatici registrati negli ultimi tempi anche nel nostro Paese, il Garante ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha […]

Metaverso: gli impatti per la privacy, tra interrogativi e possibili scenari

Il punto di vistaVenerdì, 08 Luglio 2022 08:12 Siamo agli inizi dell’epoca dominata dal metaverso (nota Odisseo: dall’Accademia della Crusca: “Insieme di ambienti virtuali tridimensionali in cui le persone possono interagire tra loro attraverso avatar personalizzati”), una realtà ibrida tra quella digitale e quella aumentata dove, entro i prossimi dieci o quindici anni secondo le previsioni, i nostri avatar si muoveranno e interagiranno. Il tema della privacy, in particolare, assume un’importanza centrale considerando l’enorme mole di dati personali che circoleranno ed il valore di cui godranno per le imprese che faranno business grazie alla loro raccolta e trattamento. Quali saranno quindi gli impatti che il metaverso apre dal punto di vista […]

Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, […]