Blog: le notizie dal mondo della Privacy

Basta la sigla ‘104’ per violare la privacy del lavoratore fruitore di permessi per persone disabili

SpecialiMartedì, 25 Ottobre 2022 07:57 Attenzione a numeri e sigle. Se solo richiamano aspetti sanitari, sono di per se stessi dati sanitari. Anche se non abbinati a una determinata persona. Lo ha imparato a proprie spese un liceo scientifico, colpevole di avere pubblicato sul sito internet un elenco del personale fruitore di permessi previsti dalla legge 104/1992 (legge-quadro per l’assistenza delle persone handicappate). Mera indicazione della cifra «104», errore umano della diffusione e natura riservata della pagina del sito non sono valse a evitare l’ingiunzione del Garante della privacy di pagamento di 4 mila euro (provvedimento n. 290 del 1° settembre 2022). Il fatto ha riguardato la pubblicazione sul portale […]

Basta un solo ‘NO’ alle chiamate indesiderate per revocare il consenso a tutti gli operatori telefonici

Privacy & SocietàSabato, 29 Ottobre 2022 09:15 Con un solo “no” fuori da tutti gli elenchi telefonici e possibilmente dai motori di ricerca su internet. È quanto prevede il Gdpr (regolamento Ue sulla privacy n. 2016/679), come interpretato dalla Corte di Giustizia Ue nella sentenza del 27/10/2022, resa nella causa C-129/21. Se una persona revoca il consenso alla pubblicazione e scambio delle numerazioni dato a una società di telefonia che compila elenchi telefonici, dunque, quest’ultima deve informare altri operatori omologhi, con cui, sulla base di quel consenso, condivide le numerazioni telefoniche. Inoltre, chi riceve la revoca del consenso deve anche informare i motori di ricerca in Internet della predetta richiesta di […]

Pubblicato in Gazzetta Ufficiale il Digital Services Act, sei mesi di tempo per adeguarsi

Flash NewsSabato, 29 Ottobre 2022 11:55 Dopo l’accordo raggiunto la scorsa primavera tra le istituzioni europee, il Regolamento UE 2022/206 (Digital Services Act) è stato pubblicato sulla Gazzetta ufficiale dell’UE del 27 ottobre 2022, con sei mesi di tempo per adeguarsi e sanzioni fino al 10% del fatturato per le organizzazioni rientranti negli obblighi che non rispetteranno le regole. In base al Digital Services Act, che insieme al Digital Market Act (DMA) già pubblicato di recente costituisce il Digital Services Act Package presentato dalla Commissione fin dal 15 dicembre 2020 con lo scopo di costruire nuove regole per l’economia digitale, le piattaforme online come i social media e i siti di e-commerce, dovranno adeguarsi […]

Serietà del danno e gravità della lesione nell’illecito trattamento dei dati personali

SpecialiMartedì, 18 Ottobre 2022 08:39 In data 6 ottobre 2022 l’Avvocato Generale presso la Corte di Giustizia europea ha presentato le proprie conclusioni nella causa C-300/21, avente ad oggetto la risarcibilità dei danni non patrimoniali in conseguenza ad una violazione del diritto alla protezione dei dati personali. La vicenda ha origine in Austria, dove una società editrice aveva raccolto dati personali sulle preferenze politiche di una parte di cittadini. In particolare, tramite un algoritmo, essa individuava gli indirizzi di gruppi di destinatari della pubblicità elettorale dei partiti stessi. Uno degli interessati destinatari delle comunicazioni ricorreva in Tribunale dolendosi di non aver prestato il consenso al trattamento dei propri dati, chiedendo un […]

La ripetibilità della valutazione del rischio nell’ambito della protezione dei dati personali

SpecialiMartedì, 18 Ottobre 2022 10:04 Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. Affinché una valutazione del rischio, nel suo complesso, possa essere considerata di buona qualità, deve possedere diverse caratteristiche; tra queste la “ripetibilità”, ovvero garantire che la valutazione, effettuate da soggetti diversi e/o in tempi diversi, (purché in relazione al medesimo contesto), dia risultati simili e confrontabili. Questo concetto è chiaramente esplicitato dalla ISO/IEC 27001:2013 (ma è mantenuto anche nella ISO/IEC 27001:2022 di prossima pubblicazione); al requisito 6.1.2 “Valutazione del rischio relativo alla sicurezza delle informazioni”, infatti, recita: “…assicuri che ripetute valutazioni […]

La dismissione dei supporti contenenti dati personali: indicazioni dalla Linea Guida ISO/IEC 27002:2022

Primo PianoMercoledì, 13 Luglio 2022 12:22 La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell’informazione – Requisiti”, tratta anche del tema dello smaltimento dei supporti che contengono dati, nello specifico il controllo A.8.3.2 – dismissione dei supporti (nella ISO/IEC 27002:2022 controllo 7.10), ove si specifica che la dismissione deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali.  (Nella foto: Monica Perego, docente del Corso di alta formazione sui Sistemi di Gestione della Privacy) Ovviamente, la dismissione dei supporti si riferisce non solo a quelli elettronici, ma anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. L’articolo si concentra sulla dismissione dei supporti elettronici e cartacei dove di […]

Garante Privacy: +56% i provvedimenti e oltre 13 milioni di euro di sanzioni riscosse lo scorso anno. Boom di notifiche di data breach

Flash NewsGiovedì, 07 Luglio 2022 11:44 Sono stati 448 i provvedimenti collegiali adottati nel 2021 dal Garante per la protezione dei dati personali, con un aumento di oltre 56% rispetto all’anno precedente. I provvedimenti correttivi e sanzionatori sono stati 388, mentre le sanzioni riscosse sono state di circa 13 milioni 500 mila euro. Questi alcuni dei numeri emersi dalla Relazione Annuale dell’Autorità presieduta da Pasquale Stanzione. (Nella foto: Pasquale Stanzione, presidente del Garante per la protezione dei dati personali) Di fronte all’alto numero di attacchi informatici registrati negli ultimi tempi anche nel nostro Paese, il Garante ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha […]

Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, […]

La dismissione dei componenti hardware a norma di Gdpr

Primo PianoMartedì, 21 Giugno 2022 07:57 Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati. (Nella foto: Monica Perego, docente al Corso ‘Sistemi di Gestione della sicurezza delle informazioni‘) In questo articolo vogliamo approfondire alcuni aspetti organizzativi, considerando che i supporti elettronici, indipendentemente dalla presenza di dati, devono essere smaltiti secondo quanto previsto dal Decreto Legislativo 49/14 modificato dal Decreto Legislativo 118/2020. Smaltire hardware al termine del loro ciclo di vita (EOL) – La dismissione dell’HW ha alla base molteplici motivazioni: – necessità di disporre di sistemi informativi più performanti in linea con le […]

Le app possono mettere a rischio la riservatezza dei nostri dati personali. I consigli per tutelare la privacy

Primo PianoMercoledì, 08 Giugno 2022 19:38 Le applicazioni per smartphone, Tablet, smart watch, ecc. (c.d. “app”) sono divenute parte integrante della nostra vita al punto che trovare, oggi, qualcuno che non abbia mai avuto a che fare con un “app” è sicuramente un’impresa ardua. Questa diffusione e massivo utilizzo delle app non è però scevro da rischi privacy. Infatti, come evidenziato dall’Autorità Garante i servizi che offrono (consultazioni home banking, monitoraggio delle condizioni di salute, controllo domotico delle nostre abitazioni, gestione video e fotografie, prenotazione viaggi, ecc.) possono mettere a rischio la riservatezza dei nostri dati personali. Per queste ragioni nella gestione delle app è opportuno adottare alcuni semplici ma efficaci […]

Videosorveglianza, solo l’8% delle telecamere sono segnalate da un regolare cartello, ma a chi le installa la privacy interessa poco o niente

Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il […]

Dall’European Data Protection Board le Linee Guida 04/2022 con l’obiettivo di armonizzare le sanzioni per le violazioni del Gdpr

Flash NewsGiovedì, 19 Maggio 2022 09:54 Il 12 maggio 2022 il Comitato europeo per la protezione dei dati ha adottato le Linee Guida 04/2022 che hanno l’obiettivo di armonizzazione le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) all’interno dell’area UE. Infatti, dall’entrata in vigore del Gdpr, alcune autorità europee si sono rivelate più severe nell’irrogare sanzioni, mentre altre hanno calcato meno la mano, e se in alcuni paesi è stato registrato un numero elevato di provvedimenti; invece, in altri le multe comminate sono state pochissime, o addirittura nessuna. Secondo i criteri delle nuove linee guida, il calcolo dell’importo della sanzione è […]

Ransomware, due aziende su tre sono colpite dal malware che prende i dati in ostaggio. Colpita anche Coca-Cola con richiesta di maxi-riscatto

Flash NewsMercoledì, 27 Aprile 2022 16:55 Il 66% delle aziende sono state colpite da un attacco ransomware nell’ultimo anno. Lo evidenzia il nuovo rapporto “State of Ransomware 2022” realizzato a cura di Sophos. Quintuplicato rispetto allo scorso anno il riscatto medio pagato per recuperare i dati, che si attesta sui 812.360 dollari, e il 46% delle aziende i cui dati sono stati criptati a seguito dell’attacco ha deciso di pagare il riscatto. Il Rapporto di Sophos, leader globale nella sicurezza informatica, analizza l’impatto che il ransomware ha avuto su 5.600 aziende in 31 paesi nel mondo, Italia compresa. Nel nostro Paese, il 61% del campione di aziende prese in esame nel rapporto è stato […]

Accesso alla valutazione dei rischi ed al Registro dei trattamenti

Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza […]

Password vulnerabili? un assist agli hacker. Le regole per sceglierne una robusta

SpecialiLunedì, 17 Gennaio 2022 10:53 Le password meno sicure sono le più usate. E basta meno di un secondo per scoprirle. Al mondo, nel 2021, la parola chiave più usata è stata «123456». Tra le altre password più gettonate: «qwerty», «password» e «1q2w3e» e anche «111111», «123123» e «iloveyou». Passando ai nomi di persona svetta «Micheal», tra i marchi di automobile primeggiano «Ferrari» e «Porsche», tra gli appartenenti alla fauna «Dolphin» ha la posizione più alta (tutte le graduatorie sono rintracciabili sul sito https://nordpass.com). In Italia anche le squadre di calcio scalano la classifica e tra le compagini del football «juventus» conquista questo non invidiabile scudetto. Considerate da altro punto […]

Formalizzazione dei ruoli previsti dal Gdpr: per imprese e p.a. è bene mettere nero su bianco chi fa cosa

SpecialiLunedì, 27 Settembre 2021 11:25 Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l’articolo dell’11 settembre 2021). In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta […]

I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default

FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e […]

Il consenso va acquisito per ciascun passaggio dei dati tra più titolari.

Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso.  A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati […]

Privacy dipendenti, violazione con sanzione duplice: penale ed amministrativa.

 Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e […]

Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo

Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che […]

Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare […]

Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione

Lunedì, 10 Maggio 2021 09:36 Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più. Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione – cioè […]

Anche la mia attività deve adeguarsi ?

Anche la mia attività deve adeguarsi ?

Dal 25 maggio 2018 è in vigore il GDPR sulla privacy, le prescrizioni riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano ad aziende con meno di 250 dipendenti, se non in alcuni casi che sono ben specificati nel Regolamento. Anche un piccolo studio professionale è chiamato a rispettare il regolamento qualora tratti dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività.  Anche una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) è tenuta a verificare la […]

Milioni di numeri WhatsApp di utenti italiani in vendita nel Dark Web: attenzione a chi si spaccia per un ‘vecchio amico’ o una ex che ha cambiato numero

Flash NewsGiovedì, 14 Luglio 2022 08:04 Gli esperti del forum di cybersecurity Red Hot Cyber hanno trovato diversi milioni di numeri di telefono e account WhatsApp di utenti italiani in vendita nel Dark Web sul noto forum underground BreachForums. Partendo da un post in cui i cyber criminali proponevano una lista di un milione di numeri di utenti delle Filippine, i ricercatori hanno contattato uno dei venditori chiedendo se fosse in possesso anche di dati riguardanti numeri italiani, e la risposta è stata che era disponibile un database di 50 milioni di numeri, praticamente quasi tutti gli utenti di WhatsApp nel nostro paese. Di questi, ben 20 milioni di numeri telefonici sarebbero […]

Metaverso: gli impatti per la privacy, tra interrogativi e possibili scenari

Il punto di vistaVenerdì, 08 Luglio 2022 08:12 Siamo agli inizi dell’epoca dominata dal metaverso (nota Odisseo: dall’Accademia della Crusca: “Insieme di ambienti virtuali tridimensionali in cui le persone possono interagire tra loro attraverso avatar personalizzati”), una realtà ibrida tra quella digitale e quella aumentata dove, entro i prossimi dieci o quindici anni secondo le previsioni, i nostri avatar si muoveranno e interagiranno. Il tema della privacy, in particolare, assume un’importanza centrale considerando l’enorme mole di dati personali che circoleranno ed il valore di cui godranno per le imprese che faranno business grazie alla loro raccolta e trattamento. Quali saranno quindi gli impatti che il metaverso apre dal punto di vista […]