Blog: le notizie dal mondo della Privacy

IO “bloccata” dal Garante privacy.

App IO “bloccata” dal Garante privacy causa tracker, “Ecco perché l’abbiamo fatto”Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali(Agenda Digitale, 10 giugno 2021) Com’è noto, con un provvedimento l’Autorità Garante Privacy ha chiesto PagoPA, società pubblica che gestisce l’app IO, di bloccare provvisoriamente alcuni trattamenti di dati effettuati con quest’app che prevedono -tramite un tracker – l’interazione con i servizi di Google e Mixpanel*. Qual è il problema privacy dell’app IO Finché non si risolve questa criticità, abbiamo semplicemente rinviato ogni valutazione circa la possibilità di rendere disponibile il greenpass anche attraverso IO. Se, come ci auguriamo, queste criticità – che sono importanti lato privacy […]

Privacy dipendenti, violazione con sanzione duplice: penale ed amministrativa.

 Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e […]

La app “IO” della Pubblica Amministrazione spedisce i tuoi dati personali all’estero

Il punto di vista – Sabato, 12 Giugno 2021 12:43 Era stata definita come la “applicazione mobile gratuita italiana, realizzata dal Dipartimento per la trasformazione digitale, in collaborazione con PagoPA S.p.A. e diversi volontari che hanno collaborato allo sviluppo, con l’obiettivo di rendere i servizi delle pubbliche amministrazioni accessibili ai cittadini su un’unica piattaforma”. Oggi si scopre che la app “IO” spedisce i dati degli utenti a diverse piattaforme straniere (Google, Mixpanel e Instabug) alla faccia della privacy e soprattutto approfittando del naturale rapporto di fiducia che lega il buon cittadino alle iniziative che portano il cappello dello Stato. Non lo dice un irriducibile brontolone come chi scrive questa manciata […]

Il ruolo del datore di lavoro e del medico competente nell’ambito del Covid-19 Speciali Mercoledì, 26 Maggio 2021 18:12

Mercoledì, 26 Maggio 2021 18:12 Dall’inizio della pandemia da Covid-19 il Garante per la protezione dei dati personali (“Garante Privacy”), pur riconoscendo l’interesse preminente alla tutela della salute, è intervenuto a garanzia della protezione dei dati personali. In un contesto del tutto emergenziale, il Garante Privacy ha introdotto un regime eccezionale e derogatorio volto ad attribuire al datore di lavoro un certo margine di elasticità per il trattamento dei dati – anche particolari – dei lavoratori (es. dati contenuti all’interno di autodichiarazioni circa contatti stretti con positivi o soggiorni in Paesi vietati dall’OMS nei ultimi 14 giorni, dati sulla temperatura corporea pur senza annotazione del dato relativo alla salute). Tuttavia, […]

Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo

Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che […]

Quando ‘pettegolare’ online costituisce illecito o reato

Domenica, 23 Maggio 2021 23:20 – Federprivacy A tutti capita sovente di inoltrare qualche messaggio di testo, audio o video ricevuto tramite WhatsApp o altri social. C’è forse da preoccuparsi temendo di compiere un illecito o, addirittura, un reato? Sino a pochi anni fa, si temeva che una cosa riferita da una persona venisse poi divulgata ad altri da parte del pettegolo o della pettegola di turno. Oggi forse non è più così, perché quello che temiamo maggiormente è che un giudizio, una battuta, un messaggio audio o video o chissà cos’altro che abbiamo postato online venga poi “inoltrata” ad altri, magari divenendo di dominio pubblico. È bene chiedersi, dunque, […]

Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare […]

La corretta qualificazione dei soggetti esterni ‘destinatari’ dei dati personali quale espressione di accountability

Martedì, 18 Maggio 2021 10:53 La qualificazione dei soggetti esterni destinatari di dati personali e la corretta individuazione del ruolo soggettivo loro attribuito è un processo complesso, che implica verifiche mirate e che continua a presentare non poche criticità.  Nello svolgimento delle attività di trattamento che gli sono proprie, infatti, il titolare del trattamento si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, o a doverli condividere con gli stessi: la corretta valutazione del ruolo assunto o comunque ricoperto dai soggetti esterni che a vario titolo hanno rapporti contrattuali/convenzionali con il titolare intervenendo nelle attività di trattamento e la loro corretta qualificazione sono elementi fondanti […]

Cosa è il “data breach”?

odisseoprivacy.com 17/05/2021 Il “data breach” è una violazione nella salvaguardia e nell’incolumità dei dati personali trattati in azienda o presso uno studio professionale dal Titolare o da dipendenti, collaboratori incaricati, soggetti designati, responsabili interni o esterni (Commercialista, Consulente del lavoro, medico competente, Consulente della privacy, ecc.). Si può verificare accidentalmente o fraudolentemente e consiste nella distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali trattati.  In caso di “data breach” sono compromessi la riservatezza, l’integrità e la disponibilità dei dati personali.  Vediamo quali sono i casi più comuni: l’accesso o l’acquisizione dei dati da parte di estranei non autorizzati;il furto o la perdita o la distruzione di dispositivi […]

Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione

Lunedì, 10 Maggio 2021 09:36 Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più. Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione – cioè […]

Privacy in azienda e nella PA: tagliando al GDPR

di Redazione PMI.It scritto il 13 Maggio 2021 Imprese pubbliche e private bocciate al primo tagliando del GDPR: sanzioni per violazioni involontarie mostrano le carenze normative, ancora da emanarsi. Secondo il report pubblicato da DLA Piper, che riporta il quadro degli interventi dei Garanti Privacy europei ai sensi del GDPR 679/2016, a quasi quattro anni dalla sua entrata in vigore sono state emesse sanzioni per 272,5 milioni di euro, di cui 158,5 mln negli ultimi 12 mesi. Il Garante italiano è in cima a questa classifica con più di 69,3 mln di euro, seguito dalle autorità tedesche e francesi. In Italia, a differenza degli altri paesi, le sanzioni più elevate non vengono comminate per eventi come i data breach conseguenti […]

La cybersecurity e l’autonomia europea

A cura di:  Francesco Maldera – Pubblicato il  10 Maggio 2021 Tratto da ictsecuritymagazine.com L’autonomia dell’Europa nel mondo digitale “Solo un’Europa unita può affrontare le sfide della digitalizzazione. È per il nostro mercato unico – il più grande nel mondo – che noi dobbiamo definire standard per i big data, l’intelligenza artificiale, e l’automazione. E che, con questo, possiamo sostenere i valori, i diritti e l’identità degli Europei. Ma possiamo farlo solo se rimaniamo uniti.” Questa è una delle frasi chiave pronunciate da Jean‑Claude Junker nel discorso sullo stato dell’Unione (Europea) per il 2018 denominato “L’ora della sovranità europea”[i]. Sembrano passati secoli. Il mondo è cambiato, anche a causa della pandemia. Forse, nel […]

Commissione Europea, proposta di regolamento sull’Intelligenza Artificiale

Privacy & SocietàSabato, 24 Aprile 2021 22:18 Mercoledì 21 aprile 2021 la Commissione europea ha consegnato una proposta di regolamento sull’Intelligenza Artificiale. L’iniziativa si inserisce in un contesto di grande fermento a livello non soltanto dell’Unione ma anche del Consiglio d’Europa (ove è stato costituito un comitato ad hoc sull’Intelligenza Artificiale, il CAHAI) in cui da tempo la tematica forma oggetto di ampio dibattito tra attori istituzionali e stakeholders.  Si tratta di un programma ambizioso, che mira a rendere l’Ue un vero e proprio hub strategico grazie alla combinazione tra il primo atto giuridico diretto a regolare i sistemi di Intelligenza Artificiale (che ambisce a restituire certezza giuridica) e un piano […]

Anche la mia attività deve adeguarsi ?

Anche la mia attività deve adeguarsi ?

Dal 25 maggio 2018 è in vigore il GDPR sulla privacy, le prescrizioni riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano ad aziende con meno di 250 dipendenti, se non in alcuni casi che sono ben specificati nel Regolamento. Anche un piccolo studio professionale è chiamato a rispettare il regolamento qualora tratti dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività.  Anche una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) è tenuta a verificare la […]

Violazioni del Gdpr, sono oltre 600 le sanzioni inflitte nell’Ue da inizio anno

Federprivacy – Lunedì, 31 Maggio 2021 09: Superano i 292 milioni di euro le sanzioni per violazioni della privacy applicate in Europa. Sono state, secondo Privacy Affairs, 661 in tutta l’Unione, di cui 73 in Italia, che è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222). Leggermente diverse sono le cifre fornite da Enforcement Tracker, che fino a maggio 2021 conta un totale di 283 milioni di euro spalmati in 638 sanzioni. Per questa seconda fonte viene confermata la graduatoria per nazioni per numero di sanzioni e si mette in evidenza però che l’Italia è prima per importi delle sanzioni irrogate (oltre 76 milioni). Sempre secondo www.enforcementtracker.com le […]

PRIVACY: Informazioni commerciali: il Codice di condotta approvato dal Garante Privacy

Altalex – Pubblicato il 21/05/2021 Il Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale è stato elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (Ancic). Il Garante della Privacy lo aveva approvato nel giugno del 2019 ma, la sua efficacia, era stata subordinata al completamento della fase di accreditamento dell’Organismo di monitoraggio (OdM). Infatti, a quest’ultimo spetta il compito di verificare il rispetto del Codice da parte degli aderenti e di gestire gli eventuali reclami. Il nuovo testo del Codice, aggiornato e integrato, è stato approvato dal Garante ed entrerà in vigore il giorno successivo alla sua pubblicazione […]

PRIVACY: Caso M5S-Rousseau: di chi sono i dati personali degli iscritti?

Altalex – Pubblicato il 18/05/2021 Titolare dei dati non è il legale rappresentante del Movimento 5 Stelle, ma il Movimento stesso Nelle ultime settimane tiene banco la lite tra l’Associazione Movimento 5 stelle e la piattaforma Rousseau, attraverso la quale il Movimento, sin dalle sue origini, ha gestito i dati degli iscritti e svolto tutti i servizi essenziali per mantenere in piedi l’infrastruttura tecnologica, organizzativa, amministrativa, burocratica, formativa e comunicativa necessaria per la partecipazione di iscritti, portavoce e cittadini alla vita politica, nonché per la tutela legale del Garante e di tutti gli organi politici del Movimento. Quella tra il Movimento e Rousseau è più che una collaborazione: è un rapporto […]