Ancora oggi molte aziende italiane, artigiani e professionisti, sono impreparate con le novità del GDPR, il “Regolamento Europeo” sulla protezione dei dati personali, entrato in vigore nel maggio 2018 e che ha sostituito il vecchio “Codice Privacy” Dlgs 196/2003. Il “GDPR” ha modificato profondamente il vecchio “Codice della Privacy” ponendo a carico del “Titolare” nuove responsabilità (Accountability). Il “Titolare”, prima di procedere all’utilizzo dei dati personali, deve valutare i rischi che incombono su di essi, quali la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati, che potrebbero provocare un danno fisico, materiale o immateriale, all’interessato (clienti, fornitori, dipendenti, collaboratori, soci ecc.), con conseguenze anche […]
Privacy & Società Mercoledì, 27 Marzo 2024 08:07 Crescono le credenziali di account compromessi in circolazione sul dark web. Nel 2023, secondo l’ultima edizione dell’Osservatorio Cyber di Crif, si contavano oltre 7,5 miliardi di dati accessibili sul dark web o su piattaforme di messaggistica a livello globale, in rialzo del 44,8% rispetto all’anno precedente. Le segnalazioni di dati rilevati su dark web sono ammontate complessivamente nel 2023 a poco più di 1,8 milioni, con una crescita del 15,9% su base annua. “Ci sono alcuni trend da tenere in considerazione sui rischi cyber: per il furto di dati personali, i cybercriminali utilizzano malware e applicativi che col tempo sono diventati sempre […]
Primo Piano Martedì, 19 Marzo 2024 16:44 Il trattamento dei dati personali che afferiscono i prestatori di lavoro rappresenta una tematica che, soprattutto nell’ultimo periodo, sta assumendo rilevanza strategica nella data governance e nella data protection. Le innovazioni tecnologiche e l’introduzione di specifiche previsioni normative, oltre a quelle già note ai tecnici del settore, richiedono un costante aggiornamento ed una elevata preparazione tecnica. Inoltre, la convivenza di compositi diritti ed interessi legittimi, che per le caratteristiche proprie del rapporto e del sinallagma contrattuale sono contrapposti, contraddistingue questo trattamento dei dati personali configurandolo come un trattamento ‘speciale’. Trattamenti di dati personali in ambito di lavoro effettuati da soggetti esterni: non solo […]
Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti. Dalle verifiche effettuate dall’Autorità – a seguito della ricezione della notifica di data breach da parte della banca – è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo […]
Il punto di vista Martedì, 05 Marzo 2024 12:10 Non è il fatto che conta, ma il come lo si racconta. L’infantile frase in rima sintetizza la vicenda giudiziaria che – pur mancando al pubblico concreti elementi probatori – appassiona gli italiani intersecando una delicata stagione elettorale. Due le assenze: i dettagli dell’indagine in corso e la competenza a parlarne. Un mix venefico che ha portato autorevoli testate a parlare addirittura di personaggi intercettati abusivamente, dimostrando la potenza inaudita dell’ignoranza dei fatti mescolata all’ignoranza della materia. Mentre “Todos caballeros”, pronti a sparare sui novelli eretici che non si prestano a idolatrare chi è al potere, vale la pena affrontare in […]
Dal Garante per la Privacy Martedì, 06 Febbraio 2024 11:10 Via libera del Garante Privacy allo schema di decreto del Ministero della Giustizia riguardante i requisiti tecnici per la gestione dei dati personali raccolti dalle infrastrutture digitali centralizzate per le intercettazioni. L’Autorità ha però chiesto che venissero implementate ulteriori misure a tutela delle persone coinvolte nelle attività di captazione. Le infrastrutture digitali centralizzate o “interdistrettuali” sono state istituite nell’agosto scorso e sono destinate non solo a ospitare il relativo archivio, ma anche a consentire la realizzazione delle operazioni captative. La loro creazione – pur conservando in capo al Procuratore l’autonoma direzione (e quindi anche la responsabilità) delle operazioni – mira ad […]
di Teresa Barone 29 Gennaio 2024 09:55 Sono ancora poche le PMI con un approccio strategico alla cybersecurity: trend e best practice da adottare per migliorare la sicurezza informatica. Solo il 14% delle PMI italiane ha costruito un approccio strategico alla cybersecurity, sebbene adattarsi ai nuovi trend tecnologici e alle numerose criticità sia oggi fondamentale per continuare a operare sul mercato. Stando a quanto emerso dal primo Cyber Index PMI presentato da Confindustria e Generali in collaborazione con il Politecnico di Milano, infatti, le PMI hanno poca consapevolezza riguardo i rischi cyber: sebbene il 45% del campione intervistato riconosca i pericoli, solo il 14% basa la sua attività su una solida capacità di valutarli e di mitigarli. Basti […]
Privacy & Società Giovedì, 18 Gennaio 2024 07:23 Le perdite derivanti da frodi informatiche sono aumentate nel 2023, rispetto all’anno precedente, per il 73% delle imprese a livello globale, in particolare nel settore dei servizi finanziari in cui la percentuale delle organizzazioni che ha segnalato un aggravarsi della situazione sale al 78%. In Italia la percentuale di imprese che segnala un aumento delle frodi arriva all’80% ed è soprattutto il settore delle telecomunicazioni a soffrirne. A rilevarlo è il report di Experian “Forrester Fraud Research Report 2023” che raccoglie le opinioni di 308 responsabili della gestione delle frodi presso aziende attive nei settori dei servizi finanziari, delle telecomunicazioni e dell’e-commerce in dieci […]
Il Garante privacy ha comminato una sanzione di 20mila euro a una società incaricata della lettura dei contatori di gas, luce e acqua, per non aver dato idoneo riscontro alle istanze di accesso ai dati di tre dipendenti. I tre lavoratori, per verificare la correttezza della propria busta paga, avevano chiesto alla ditta di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto. In particolare avevano chiesto di poter conoscere i dati raccolti attraverso lo smartphone fornito dalla società sul quale era stato istallato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da […]
Riceve due email e un sms di notifica da parte di una compagnia telefonica e scopre che un rivenditore aveva attivato a sua insaputa due sim card ricaricabili a lui intestate. È accaduto ad un utente della provincia di Bergamo che dopo aver denunciato l’accaduto all’autorità giudiziaria, segnala il fatto al Garante Privacy che sanziona la società della rete di vendita della compagnia telefonica, cui fa capo il rivenditore, con una multa di 90mila euro per trattamento illecito di dati personali. L’interessato, dopo aver richiesto il blocco delle sim alla compagnia telefonica ed effettuato alcune verifiche, aveva ricostruito che le schede erano state attivate nel napoletano utilizzando una fotocopia poco […]
SpecialiMercoledì, 27 Settembre 2023 05:05 C’è privacy anche se gli atti sono pubblici (come gli atti notarili). Non tutto ciò che è contenuto in un atto pubblico è per ciò solo pubblicabile. Soprattutto on line, dove ogni contenuto è facilmente accessibile. Bisogna sempre considerare la finalità della diffusione e diffondere solo i dati pertinenti con quella finalità. Sono questi i principi applicati dal Garante della privacy (ingiunzione n. 366 del 31/8/2023), cha ha irrogato alla società RCS Mediagroup la sanzione di 10 mila euro, per avere diffuso, sull’edizione on line del Corriere della Sera, a corredo di un articolo relativo alle dispute per l’eredità di una famosa attrice, l’immagine del […]
Privacy & SocietàMercoledì, 27 Settembre 2023 07:00 Nel secondo trimestre 2023, il fenomeno del ransomware è cresciuto del +34,6% in Italia e del +62% a livello globale rispetto al trimestre precedente. A rilevarlo è l’ultimo report “Threatland” curato dal Security Operation Center (SOC) e dal Team di Cyber Threat Intelligence di Swascan. Il numero delle aziende vittime delle gang ransomware è aumentato del 185% dall’inizio dell’anno e del 105% rispetto al secondo trimestre del 2022. In Italia, l’80% delle vittime colpite sono Pmi e il 91% sono aziende con fatturato inferiore ai 250 milioni di euro. Secondo il report che analizza i principali rischi informatici (ransomware, phishing e malware) tra aprile e […]
Dal Garante per la PrivacyVenerdì, 28 Aprile 2023 08:31 “L’uso dei social network non va demonizzato né subito, ma governato con consapevolezza. Le stesse sfide sui social non presentano tutte e soltanto contenuti autolesionistici o comunque pericolosi: ve ne sono anche di innocue, come quella relativa alla pubblicazione della lista dei propri libri o film preferiti o di foto degli utenti da piccoli. (Nella foto: Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali) Ma è evidente come anche soltanto la possibilità del coinvolgimento di minori in ‘giochi’ potenzialmente persino mortali, per effetto dell’esposizione a contenuti dalla valenza manipolatoria o, comunque, fortemente condizionante, non può lasciare inerti le […]
SpecialiMartedì, 18 Aprile 2023 05:42 Rebus sanzioni privacy in caso di estinzione della persona giuridica che ricopre il ruolo di titolare del trattamento. In materia di privacy la responsabilità delle sanzioni va attribuita, infatti, al titolare del trattamento e, quindi, quando si parla di un ente, all’ente stesso. Questa regola è seguita dalla giurisprudenza civile (si veda per esempio la Corte di cassazione, con le ordinanze n. 18292/2020 e n. 8184/2014 o, ancora la pronuncia n. 13657/16). Con esse si statuisce che, in materia di privacy, si deroga al principio della imputabilità personale della sanzione e si configura un’autonoma responsabilità della persona giuridica. Cioè risponde l’ente e non un trasgressore […]
SpecialiGiovedì, 20 Aprile 2023 06:00 Le imprese possono dribblare le responsabilità privacy quando le violazioni sono commesse dai dipendenti che abusano della loro posizione ed eccedono le loro mansioni. Ma per arrivare a questo risultato la strada è in salita e, comunque, ci vogliono apposite clausole nelle nomine dei dipendenti come autorizzati al trattamento, nelle informative rese agli stessi e nelle istruzioni e policy aziendali. È quanto discende da una pronuncia del Garante della privacy del Belgio, la n.16 del 27 febbraio 2023 (caso n. 2021-06717), che ha prosciolto un ente, ritenendo di separare la posizione di quest’ultimo da quella di una dipendente, che, invece, è stata formalmente ammonita per avere consultato […]
Primo PianoMartedì, 04 Aprile 2023 09:29 Fra poco il GDPR compirà i primi cinque anni di vigenza e molte esigenze, questioni, problematiche sono sorte e sono state affrontate dalle Autorità Garanti e dagli addetti del settore, per cercare di governare la complessità crescente che caratterizza il trattamento e la tutela dei dati personali. In questa sede ci si sofferma sull’ articolazione dei ruoli privacy, per vagliare se la predetta complessità possa essere fronteggiata con un più ampio ventaglio di figure specialistiche rispetto alla triade titolare / responsabile del trattamento e persone da loro autorizzate al trattamento. L’art. 2 quatordecies (Attribuzione di funzioni e compiti a soggetti designati) del “nuovo” Codice della Privacy […]
Primo Piano – Articolo pubblicato sul sito di FEDERPRIVACYLunedì, 02 Gennaio 2023 08:41 La cyberwar è intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico si parla di cyberwarfare per fare riferimento ad attacchi informatici condotti non contro singole aziende, ma contro intere nazioni. Tali attacchi creano danni diretti e indiretti di vario tipo, sconvolgimento di funzioni sociali vitali e, in casi estremi, anche perdite di vite umane. (Nella foto: Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy) La cyberwar è tipica della terza rivoluzione industriale (o postindustriale), come la guerra elettronica lo è stata della seconda. Possiede aspetti tecnico-operativi sia […]
Primo PianoLunedì, 20 Marzo 2023 10:07 La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti di chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? (Chi controlla gli osservatori?) era un trend topic. Eppure, dal momento che l’organizzazione che ha designato il DPO è responsabile per l’adempimento degli artt. da 37 […]
Primo PianoDomenica, 15 Gennaio 2023 18:08 Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati. Avendo specifico riguardo al […]
SpecialiDomenica, 15 Gennaio 2023 18:35 La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale. Il contesto in cui agiscono le barriere – Le barriere servono a proteggere i dati minacciati dagli […]
SpecialiMartedì, 25 Ottobre 2022 07:57 Attenzione a numeri e sigle. Se solo richiamano aspetti sanitari, sono di per se stessi dati sanitari. Anche se non abbinati a una determinata persona. Lo ha imparato a proprie spese un liceo scientifico, colpevole di avere pubblicato sul sito internet un elenco del personale fruitore di permessi previsti dalla legge 104/1992 (legge-quadro per l’assistenza delle persone handicappate). Mera indicazione della cifra «104», errore umano della diffusione e natura riservata della pagina del sito non sono valse a evitare l’ingiunzione del Garante della privacy di pagamento di 4 mila euro (provvedimento n. 290 del 1° settembre 2022). Il fatto ha riguardato la pubblicazione sul portale […]
Flash NewsSabato, 29 Ottobre 2022 11:55 Dopo l’accordo raggiunto la scorsa primavera tra le istituzioni europee, il Regolamento UE 2022/206 (Digital Services Act) è stato pubblicato sulla Gazzetta ufficiale dell’UE del 27 ottobre 2022, con sei mesi di tempo per adeguarsi e sanzioni fino al 10% del fatturato per le organizzazioni rientranti negli obblighi che non rispetteranno le regole. In base al Digital Services Act, che insieme al Digital Market Act (DMA) già pubblicato di recente costituisce il Digital Services Act Package presentato dalla Commissione fin dal 15 dicembre 2020 con lo scopo di costruire nuove regole per l’economia digitale, le piattaforme online come i social media e i siti di e-commerce, dovranno adeguarsi […]
SpecialiMartedì, 18 Ottobre 2022 08:39 In data 6 ottobre 2022 l’Avvocato Generale presso la Corte di Giustizia europea ha presentato le proprie conclusioni nella causa C-300/21, avente ad oggetto la risarcibilità dei danni non patrimoniali in conseguenza ad una violazione del diritto alla protezione dei dati personali. La vicenda ha origine in Austria, dove una società editrice aveva raccolto dati personali sulle preferenze politiche di una parte di cittadini. In particolare, tramite un algoritmo, essa individuava gli indirizzi di gruppi di destinatari della pubblicità elettorale dei partiti stessi. Uno degli interessati destinatari delle comunicazioni ricorreva in Tribunale dolendosi di non aver prestato il consenso al trattamento dei propri dati, chiedendo un […]
Primo PianoMartedì, 21 Giugno 2022 07:57 Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati. (Nella foto: Monica Perego, docente al Corso ‘Sistemi di Gestione della sicurezza delle informazioni‘) In questo articolo vogliamo approfondire alcuni aspetti organizzativi, considerando che i supporti elettronici, indipendentemente dalla presenza di dati, devono essere smaltiti secondo quanto previsto dal Decreto Legislativo 49/14 modificato dal Decreto Legislativo 118/2020. Smaltire hardware al termine del loro ciclo di vita (EOL) – La dismissione dell’HW ha alla base molteplici motivazioni: – necessità di disporre di sistemi informativi più performanti in linea con le […]
Flash NewsMercoledì, 27 Aprile 2022 16:55 Il 66% delle aziende sono state colpite da un attacco ransomware nell’ultimo anno. Lo evidenzia il nuovo rapporto “State of Ransomware 2022” realizzato a cura di Sophos. Quintuplicato rispetto allo scorso anno il riscatto medio pagato per recuperare i dati, che si attesta sui 812.360 dollari, e il 46% delle aziende i cui dati sono stati criptati a seguito dell’attacco ha deciso di pagare il riscatto. Il Rapporto di Sophos, leader globale nella sicurezza informatica, analizza l’impatto che il ransomware ha avuto su 5.600 aziende in 31 paesi nel mondo, Italia compresa. Nel nostro Paese, il 61% del campione di aziende prese in esame nel rapporto è stato […]
Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza […]
SpecialiLunedì, 17 Gennaio 2022 10:53 Le password meno sicure sono le più usate. E basta meno di un secondo per scoprirle. Al mondo, nel 2021, la parola chiave più usata è stata «123456». Tra le altre password più gettonate: «qwerty», «password» e «1q2w3e» e anche «111111», «123123» e «iloveyou». Passando ai nomi di persona svetta «Micheal», tra i marchi di automobile primeggiano «Ferrari» e «Porsche», tra gli appartenenti alla fauna «Dolphin» ha la posizione più alta (tutte le graduatorie sono rintracciabili sul sito https://nordpass.com). In Italia anche le squadre di calcio scalano la classifica e tra le compagini del football «juventus» conquista questo non invidiabile scudetto. Considerate da altro punto […]
SpecialiLunedì, 27 Settembre 2021 11:25 Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l’articolo dell’11 settembre 2021). In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta […]
FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e […]
Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati […]
Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e […]
Primo Piano Venerdì, 15 Dicembre 2023 08:32