RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

La formazione e l’istruzione degli addetti ai dati personali

L’articolo La formazione e l’istruzione degli addetti che trattano dati personali non possono essere uguali per tutti serve a sottolineare l’inderogabilità (sancita dall’Art. 32 del GDPR) della formazione per gli incaricati al trattamento dati (dall’autore detti, per la verità, “ex incaricati”, in riferimento al fatto che nel GDPR non si parla mai di incaricati e nel Dlgs 196/2003, come modificato dal Dlgs 101/2018, si parla di “persone fisiche espressamente designate”. Il GDPR si riferisce agli incaricati designandoli come “chiunque abbia accesso a dati personali”, o “chiunque agisca sotto la loro autorità [di titolare o responsabile del trattamento] e abbia accesso a dati personali”).

Il Titolare del trattamento e il Responsabile del trattamento devono far sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal Titolare del trattamento.

L’autore dell’articolo asserisce che gli assunti dopo l’entrata in vigore del GDPR dovrebbero ricevere una formazione adeguata a questo, mentre chi è stato assunto precedentemente (essendo comunque in forza il DLgs 196) potrebbe limitarsi ad un aggiornamento, per concludere poi che tanto varrebbe istruire tutti ex novo in base al GDPR.

[La formazione generica dovrebbe però essere accompagnata da formazioni specifiche ove ci si trovi a trattare specifiche e speciali categorie di dati personali, quali nell’ambito dello sviluppo di nuove applicazioni o nell’utilizzo di nuove tecnologie. Ndr]

Trasparenza online per le PA in 14 schemi

L’articolo “Trasparenza siti web delle pubbliche amministrazioni, il Garante Privacy chiede più tutele per i dati personali” interessa chi si occupa di pubblica amministrazione.

14 quattordici schemi standard relativi agli obblighi di trasparenza online da parte delle P.A., redatti da ANAC  (Autorità Nazionale Anticorruzione), hanno ottenuto il parere favorevole del Garante della Privacy.

Alcuni punti a garanzia della riservatezza degli interessati sono i seguenti.

Nella sezione “amministrazione trasparente” devono essere forniti solo dati necessari cui i cittadini possono rivolgersi, come il numero di telefono, l’indirizzo email e pec dell’ufficio, e non i dati del dipendente.

Gli esiti dei concorsi pubblici dovranno pubblicare solo nome, cognome, (data di nascita, in caso di omonimia) e posizione in graduatoria dei vincitori e degli idonei.

Ci sono inoltre restrizioni relativi a pagamenti, benefici economici e premi individuali, mentre si possono pubblicare i dati riferiti all’ammontare complessivo dei premi stanziati o distribuiti.

E’ il Titolare del trattamento dati personali che deve soddisfare le richieste degli interessati

Nell’articolo “Esercizio dei diritti degli interessati: ruoli del titolare del trattamento e del Data Protection Officer” si disquisisce sul fatto che sia il Titolare del trattamento dati personali o il Responsabile della protezione dei dati (o DPO) ad occuparsi  di soddisfare le richieste di esercizio dei propri diritti da parte degli interessati.

Si tratta di accesso, rettifica, cancellazione, di limitazione del trattamento, portabilità, opposizione, trattamento decisionale automatizzato/profilazione, le cui richieste vanno risolte entro un mese, salvo estensione a due per motivi di complessità.

Dato il ruolo solo di consulente del DPO, se pur contattabile dagli interessati, la responsabilità circa i diritti dei medesimi è del titolare.

E’ quindi necessario che nelle informative sia fornito un riferimento (quale una casella PEC) aziendale cui hanno accesso sia il titolare, che deve gestire le richieste in prima persona o delegando il personale deputato, che il DPO per ragioni di supporto e garanzia. Oppure possono essere indicati gli indirizzi di entrambi, suggerendo che quello del titolare è per competenza e quello del DPO è per conoscenza (per una maggior tutela).

Strumenti per la conformità al GDPR, ma è tutta l’organizzazione che deve essere compliant

L’articolo “Compliance privacy, necessario un approccio che coinvolga tutta l’organizzazione con gli strumenti previsti dal GDPR” riporta in 11 punti gli strumenti o le pratiche da utilizzare per garantire al conformità con il GDPR.

  1. Assessment e mappatura dei dati. Identificazione e classificazione dei dati personali trattati (con un software o un sistema di gestione); registri del trattamento dei dati personali.
  2. Valutazioni di Impatto sulla Protezione dei Dati, per identificare e minimizzare i rischi per la privacy derivanti da nuovi progetti o processi (esistono appositi strumenti).
  3. Consensi e gestione preferenze, per per ottenere, registrare e gestire il consenso degli utenti (esistono apposite piattaforme).
  4. Crittografia e anonimizzazione dei dati, per proteggere i dati durante la trasmissione e lo stoccaggio (ci sono strumenti di crittografia e software di anonimizzazione).
  5. Formazione e consapevolezza del personale, per formare e sensibilizzare il personale alle misure di protezione dei dati ed ai requisiti del GDPR (vi sono programmi di formazione in presenza e da remoto).
  6. Accordi e clausole contrattuali, affinché i contratti includano tutte le clausole relative alla privacy (esistono template e strumenti legali).
  7. Gestione delle richieste degli interessati, per la gestione di accesso, rettifica, cancellazione, o trasferimento dei dati (vi sono appositi strumenti).
  8. Audit e monitoraggio della conformità (vi sono appositi software).
  9. Policy e documentazione; vi sono strumenti per la generazione di policy personalizzate.
  10. Incident management e notifica di violazione dei dati (ci sono strumenti per rilevare, segnalare e gestire le violazioni di dati nel rispetto dei tempi previsti dal GDPR).
  11. Integrazione con altri Regolamenti (vi sono strumenti per gestire la compliance incrociata con altre leggi sulla privacy e protezione dei dati).

Un requisito fondamentale è la creazione di policy in cui indicare scopo e impegni dell’azienda per la protezione di tutti i dati personali trattati. Si deve definire l’ambito di applicazione della policy. Si devono elencare i dati raccolti [per categoria], con quali modalità e per quali finalità, specificando le basi legali che supportano il loro trattamento. Ai trattamenti devono essere applicate le protezioni [di default e di design], a partire dalla minimizzazione [quantitativa e qualitativa] e da provvedimenti preventivi e correttivi contro le violazioni. Altri aspetti sono, eventualmente, la condivisione dei dati e il trasferimento presso paesi terzi. Vanno definiti i tempi di conservazione dei dati, le modalità di eliminazione o anonimizzazione. Deve essere previsto come ottemperare a legittime richieste degli interessati nell’esercizio dei loro diritti (accesso, rettifica, cancellazione, opposizione al trattamento, ecc.). Si devono tener presenti gli obblighi di notifica all’autorità di controllo e agli interessati, in caso di data breach.

L’autore conclude, infine, ricordando la necessità di un costante adeguamento all’utilizzo di nuove tecnologie e che il GDPR richiede il coinvolgimento dell’intera organizzazione, eventualmente supportandolo attraverso un modello organizzativo per la privacy (MOP).

Privacy, tra formalità e sostanza

L’articolo “Il paradosso della privacy dei lavoratori che vengono istruiti per rispettarla mentre la loro viene violata” esprime il contrasto tra la privacy di facciata, espressa da talune organizzazioni, mentre nello stesso tempo sono le stesse che la violano.

I dipendenti delle aziende hanno il compito e la responsabilità di rispettare la privacy degli interessati di cui trattano i dati personali, per conto del titolare del trattamento, personalizzato dal datore di lavoro.

Di contro, stando ai provvedimenti ed alle sanzioni del Garante della Privacy, sono numerosi i casi di geolocalizzazione illecita dei dipendenti, sistemi di videosorveglianza intrusivi, rilevazione delle presenze tramite riconoscimento biometrico ed altre invasive forme di controlli tecnologici, ora anche a fronte dell’intelligenza artificiale.

Queste situazioni portano a ritenere che la privacy sia solo una burocrazia e che i relativi adempimenti siano solo atti formali, anziché valori da rispettare e promuovere.

In un altro ambito, grandi provider su internet, a partire dai social, sbandierano il loro rispetto della privacy e poi inducono gli utenti a rinunciare ai loro diritti per accaparrarsi i loro dati personali. Prova ne sono le rilevanti sanzioni che vengono comminate.

L’autore dell’articolo conclude che se le imprese non rispettano i principi di coerenza, etica, e responsabilità sociale, producono risultati negativi per la conformità e per il marketing.

Le associazioni di imprese dissentono sul provvedimento del Garante circa l’eliminazione dei metadati delle email

Il provvedimento del Garante n. 642 del 21/12/2023 richiedeva la cancellazione dei metadati delle email entro 7 giorni, per il presupposto che conservarli significhi controllare i lavoratori, ed era stato poi temporaneamente sospeso a fronte della consultazione pubblica aperta dallo stesso Garante.

L’articolo Confindustria, Ania, Abi e Confcommercio: no alla cancellazione dopo 7 giorni dei metadati delle email aziendali riferisce che Confindustria, Ania, Abi e Confcommercio hanno inviato una nota molto critica, affermando che I metadati delle e-mail aziendali sono uno strumento di lavoro e non si può perciò imporre al datore di lavoro che necessita di non cancellarli entro tale limite di tempo di fare una trattativa sindacale o di farsi autorizzare dall’ispettorato del lavoro. Senza metadati, infatti, non è possibile inviare, cercare, classificare, conservare e garantire accessibilità e integrità delle e-mail, nonché fare ricerche anche per investigare su problemi di sicurezza delle informazioni.

Ogni impresa, quindi, dovrebbe poter definire il periodo di conservazione dei metadati delle email in base alle proprie esigenze gestionali e a obblighi normativi, illustrando le sue scelte nelle policy e nei regolamenti interni sull’uso della e-mail aziendale e nelle informative ai dipendenti.

L’autore, infine, distingue tra i metadati embedded (inclusi) nei messaggi ed i separati file dei log (documenti elettronici diversi e separati contenenti i metadati dei messaggi) cui dovrebbero applicarsi le prescrizioni di maggiore cautela.

Il metodo “pay or ok” per i servizi online potrebbe non essere conforme al GDPR

L’articolo Il metodo ‘dai il consenso o paga’ viola la privacy degli utenti riprende il parere dell’EDPB (European Data Protection Board), di cui alla pagina web EDPB: ‘Consent or Pay’ models should offer real choice.

Si afferma ancora una volta che, con il modello “dai il consenso o paga” (“pay or ok”), adottato dalle grandi piattaforme per fornire i loro servizi online, non si consente all’utente di esercitare una reale libera scelta, contravvenendo coì ai princìpi del GDPR. Gli utenti sarebbero infatti indotti ad acconsentire al trattamento dei loro dati personali a fini di pubblicità comportamentale, senza che sia data loro la possibilità di scegliere, in alternativa che implichi, per esempio, una forma di pubblicità con trattamento di pochi o nessun dato personale.

[Al di là di tutte le considerazioni, non risulta che vi sia ancora una disposizione di legge o regolamento specifico nel merito, pur risultando la possibilità per i Garanti della Privacy di applicare provvedimenti e sanzioni ove ravvedano una violazione del GDPR, dovuta magari ad un’informativa ingannevole o carente, oppure alla mancata applicazione di requisiti quali la limitazione delle finalità o la minimizzazione dei dati nel caso in cui sia stata scelta l’opzione del pagamento. Ndr]

Se il dipendente viola il GDPR l’azienda potrebbe dover pagare il risarcimento dei danni

Si apprende, dall’articolo “Il datore di lavoro paga i danni privacy causati dal dipendente anche se lo ha correttamente istruito sui trattamenti dei dati”, che con una recente sentenza, la Corte di giustizia europea ha stabilito che il datore di lavoro debba risarcire i danni “privacy” causati da un errore commesso dai propri dipendenti, pur avendo dato loro corrette istruzioni. Queste, da sole, infatti, non esonerano il datore di lavoro dalla necessaria vigilanza e quindi dalla responsabilità.

E’ stato ribadito comunque che non si possono chiedere danni solo in base al principio di violazione della privacy, se i danni non sono effettivamente provati e quantificati. La Corte, inoltre, si limita a quantificare l’eventuale pregiudizio ai fini del risarcimento, senza applicare ulteriori sanzioni [a queste pensa il Garante della privacy; ndr].

Il DPO può svolgere un’importante funzione nella responsabilizzazione del personale circa la privacy

L’articolo “Il ruolo fondamentale del Data Protection Officer nell’empowerment del personale” afferma che la conformità al GDPR non può essere assicurata senza il coinvolgimento del personale autorizzato all’accesso ai dati personali e allo svolgimento delle operazioni di trattamento.

Non è necessario che ogni operatore sia esperto di privacy e di security, tuttavia ciascuno dovrebbe conoscere quali sono le politiche e gli obiettivi aziendali, in che modo può contribuirvi e quali sono le conseguenze (e responsabilità) di un mancato adempimento alle istruzioni ricevute.

Rientrano tra i compiti del Data Protection Officer l’informazione e la consulenza al personale che svolge operazioni sui dati personali, nonché la sorveglianza sulle politiche di attribuzione di responsabilità, sensibilizzazione e formazione, per eventuali suggerimenti all’alta direzione.

Il DPO può inoltre raccogliere i feedback da parte degli operatori e recepire, altresì, eventuali segnalazioni di violazioni subite dal personale stesso. Ciò presuppone che, all’interno dell’organizzazione, il suo ruolo sia stato illustrato e diffuso.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Troppi consensi ai cookie può rivelarsi pericoloso

Secondo l’articolo Una miniera di miliardi di cookie nelle mani degli hacker, privacy a rischio anche per gli utenti italiani, pirati informatici hanno messo sul dark web 54 miliardi di cookie, di cui 450 milioni provenienti dall’Italia.

Purtroppo è abitudine generalizzata accedere alla navigazione dei siti,  dando i consensi ai cookie anche non strettamente tecnici, senza leggere le cookie policy [per la fretta, o perché non se ne può fare a meno; ndr].

Ma i cookie possono essere utilizzati come punti di accesso per rubare dati e mettere le mani sulle nostre informazioni sensibili, rivelando nome, posizione geografica, orientamento sessuale, dati fiscali ed amministrativi, ecc.; oppure l’hacker può utilizzare l’account per postare sui social o effettuare acquisti a nostro nome [e onere].

Inoltre, se un cookie viene rubato quando è ancora attivo, i criminali informatici potrebbero entrare nell’account al quale siamo collegati, anche senza password o altri sistemi di autenticazione.

E’ opportuno, quindi, eliminare regolarmente i cookie, in modo da ridurre al minimo i dati che potrebbero essere rubati, e cambiare regolarmente la password ai propri account, ricorrendo se possibile all’autenticazione a due fattori per effettuare il login [oltre a minimizzare i consensi dati; ndr]

PUBBLICITA’ E PRIVACY

Telemarketing e teleselling, con il Codice di Condotta il Garante promuove lo strumento di self-regulation

Si riprende, con l’articolo Telemarketing e teleselling, con il Codice di Condotta il Garante promuove lo strumento di self-regulation, l’argomento del “Codice di condotta per le attività di telemarketing e teleselling”, che è stato approvato il 7 marzo 2024 dal Garante dei Dati Personali. Le compagnie che, volontariamente, vi aderiscono, si impegnano a rispettare alcuni importanti aspetti, nel trattamento dei dati personali nell’ambito delle telepromozioni e televendite, tra cui i seguenti.

Il committente, che riveste il ruolo di titolare del trattamento, deve stipulare un formale contratto con i fornitori dei servizi (call center, teleseller e agenzie varie), che sono i responsabili del trattamento. Deve farsi carico della privacy by design e by default, deve verificare la conformità al regolamento privacy dei fornitori, lungo tutta la catena, sia in fase preliminare che in itinere. Deve aver ben verificato la base giuridica del consenso e che i consensi siano liberi, informati e specifici per ogni distinta finalità.

[Ma fino a qua non si rileva niente di nuovo rispetto alle prescrizioni del GDPR. La stessa adesione ad un codice di condotta è, facoltativamente, prevista nel GDPR. Si rileva tuttavia che gli aderenti sono, dal un lato, sottoposti a maggiori controlli e, dall’altro, che possono almeno usufruire della guida pratica costituita dal codice stesso, per poter essere conformi. Ndr]. Infatti, in parallelo all’approvazione del codice, è stato accreditato l’Organismo di Monitoraggio preposto alla verifica del rispetto delle specifiche indicazioni sui principi e le modalità pratiche di attuazione.

[non resta che augurarsi che l’accentrarsi dei controlli sulle compagnie che aderiscono al codice di condotta non costituisca un allentamento dei controlli su quelle non vi aderiscono. Ndr]

Quali sono i limiti di legittimità del soft-spam?

L’l’art.130 co. 4 del Codice della Privacy, recita testualmente: «se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente».

Tale tipologia pubblicitaria è nota con il nome di “soft-spam”. L’articolo Soft Spam: quale è il perimetro del termine “analogo”? esamina il significato della parola “analogo” riferita ai servizi di vendita già effettuati.

L’autore dapprima cita una sentenza della Corte di cassazione del 2023 in cui si afferma, a titolo di esempio, che non è consentito inviare comunicazioni commerciali di beni elettronici laddove la vendita abbia avuto ad oggetto capi di abbigliamento. Quindi, pur demandando ogni decisione all’accountability del titolare, esamina la questione in un ambito più pragmatico.

I codici ATECO classificano le attività economiche; è quindi possibile ricondurre i beni/servizi commercializzati al relativo codice, al fine di poter individuare le divisioni (2 cifre numeriche), i gruppi (3 cifre numeriche), le classi (4 cifre numeriche), le categorie (5 cifre numeriche) e le sottocategorie (6 cifre numeriche), in relazione alla tipologia di offerta (prodotti/servizi) dell’azienda/titolare del trattamento.

[L’autore non specifica a quale livello, più o meno circostanziato, del codice ATECO si debba far riferimento, lasciando quindi ciò alla responsabilizzazione del titolare. Ad esempio, nei casi seguenti

62  PRODUZIONE DI SOFTWARE, CONSULENZA INFORMATICA E ATTIVITÀ CONNESSE
62.0  PRODUZIONE DI SOFTWARE, CONSULENZA INFORMATICA E ATTIVITÀ CONNESSE
62.01  Produzione di software non connesso all’edizione
62.02  Consulenza nel settore delle tecnologie dell’informatica
62.03  Gestione di strutture informatizzate
62.09  Altre attività dei servizi connessi alle tecnologie dell’informatica

ci si può fermare alla terza cifra (in questo specifico caso non vi è differenza tra le prime due o le prime tre cifre), oppure spingersi alla quarta, o addirittura andare oltre sino alla sesta (cosa non pertinente in questo esempio). Ndt]

Google e i cookie di tracciamento

L’articolo “La privacy può aspettare per Google: rinviato ancora l’addio ai cookie per tracciare gli utenti” informa che Google ha rinviato per la terza volta (e fino al 2025) la rinuncia all’utilizzo dei cookie di tracciamento degli utenti dal browser Chrome, probabilmente sperando di dirimere nel frattempo il confronto con le autorità per la concorrenza e quelle per la privacy.

Tale rinuncia, infatti, non piace al mercato perché senza pubblicità personalizzata si avrebbe un calo dei ricavi. Tuttavia Google potrebbe almeno fare a meno dei cookie di terze parti.

IN BREVE, DALL’ITALIA E DAL MONDO

Regole comuni per favorire il commercio europeo ma anche un società europea più compatta

Ai regolamenti europei Digital Market Act, Digital Services Act e Data Governance Act si sta aggiungendo l’Artificial Intelligence Act e sono già allo studio altri regolamenti in ambito digitale, quali quello sulla salute e trattamenti sanitari, quello sul passaporto digitale e quello sull’identità digitale.

L’autore dell’articolo Regolamenti europei, un mosaico caratterizzato da un disegno uniforme per garantire lo spazio unico dell’UE anche nella società digitale rileva, in questo sforzo di regolamentazione da parte della Comunità Europea, due aspetti rilevanti.

Il primo riguarda l’uniformità delle norme all’interno della UE: avere regole comuni è importante sia dal lato economico ai fini dei servizi e delle relazioni commerciali, per garantire la correttezza della competizione tra gli stati europei, ma anche per porre il mercato europeo in grado di partecipare alla competizione globale.

Il secondo riguarda l’intento di garantire sia la libera concorrenza, che il pieno e concreto rispetto dei diritti fondamentali e dei valori delle democrazie liberali. La regolazione della società digitale consentirebbe di costruire una nuova e più coesa società europea, proprio grazie al fatto che i cittadini disporranno sempre più delle stesse modalità di fruizione della medicina, dei pagamenti digitali, del sistema di identificazione personale, ecc.

Negli USA le frodi online sono in costante aumento; un team dell’FBI le contrasta con una certa efficacia

L’articolo “Usa: frodi online in aumento, ma chi denuncia ha il 70% di possibilità di recuperare il denaro estorto” riferisce che un rapporto dell’ “Internet Crime Report” dell’FBI rivela quanto segue.

Negli Stati Uniti, nel 2023, sono state perpetrate frodi digitali per 12,5 miliardi di dollari, di cui ca. 4,6 relativi ad investimenti e scambi o pagamenti in criptovalute. Queste ultime sono state alimentate dall’ingegneria sociale, specie tramite false email.

Gli attacchi ransomware hanno colpito almeno 1200 organizzazioni del settore delle infrastrutture critiche, tra cui ca. 250 del settore sanitario.

Negli USA è però attivo il Recovery Asset Team (RAT) dell’ “Internet Crime Complaint Center” dell’FBI, che, a fronte di oltre 3000 denunce, ha recuperato il 70% degli importi truffati.

[Per quanto riguarda l’Italia, il Ministero delle Imprese e del Made in Italy, alla pagina web 6 consigli per difendersi dalle truffe, suggerisce, se si è subita una truffa online, di rivolgersi alla Polizia Postale, contattare il Commissariato di pubblica sicurezza online ed eventualmente rivolgersi ad una delle Associazioni dei consumatori riconosciute dal Ministero, di cui fornisce una nutrita lista. Ma quante sono le percentuali di successo nella risoluzione positiva di una frode? Ndr]

La nuova identità digitale europea manderà in pensione lo SPID?

L’articolo “In arrivo la nuova identità digitale europea: quale sarà la sorte dello SPID?” informa che il parlamento europeo ha approvato la proposta circa il regolamento sull’identità digitale (eIDAS 2.0), che dovrebbe essere pubblicato nelle prossime settimane e costituirà un obbligo per ogni stato membro, da soddisfare entro il 2026. Riguarda l’identificazione e l’autenticazione elettroniche sicure e affidabili delle persone e delle imprese in tutta l’Europa. Un “portafoglio digitale” dovrà, a regime, collegare l’identità digitale a molti altri attributi, quali carta d’identità (ovviamente), tessera sanitaria, carta della disabilità, patente di guida, passaporto, tessera elettorale, qualifiche, conto bancario. Si potrà dimostrare la propria identità e condividere documenti elettronici utilizzando il cellulare.

Un pannello del portafoglio digitale consentirà di gestire tutte le transazioni online ed anche offline. Il servizio dovrà essere gratuito, per le persone fisiche, e disporrà anche della firma elettronica, per uso non professionale.

In Italia, dopo un periodo di sperimentazione limitato a pochissimi utenti, presumibilmente entro settembre si potranno scaricare sull’app “Io” tessera sanitaria e carta della disabilità. Con la carta d’identità elettronica, gli accessi a servizi governativi digitali dovrebbero essere più agevoli rispetto allo SPID.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Il Garante ha sanzionato cinque aziende per aver utilizzato il riconoscimento facciale per controllare le presenze sul posto di lavoro. In assenza di una norma che consenta l’uso di dati biometrici, questa tecnica è ritenuta violi la privacy, specie in assenza di misure tecniche e di sicurezza adeguate a fronte di una preventiva valutazione di impatto.
  • Google ha tracciato milioni di utenti nonostante avessero attivato la navigazione in “modalità privata” (“in incognito”).  A seguito di un’azione legale, è stato ingiunto a Google di cancellare tali dati di navigazione e redigere un’informatica che indichi cosa  realmente accade con la navigazione in incognito.
  • I dati personali di 73 milioni di attuali o ex clienti AT&T (colosso statunitense della comunicazione) sono finiti online, nel dark web. 
  • A seguito dell’attacco informatico al sistema sanitario regionale avvenuto tra il 31 luglio e il 1° agosto del 2021, Il Garante ha sanzionato la società informatica LAZIOcrea, la Regione Lazio e la ASL Roma 3 per un totale di 401 mila euro. La motivazione è stato l’accertamento di numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche (per cui la maggior sanzione, di 271 mila euro, è stata applicata alla società informatica).
  • Il Garante Privacy ha sanzionato per 75mila euro una Asl per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse). In particolare, erano stati segnalati ripetuti accessi al Dse da parte di personale sanitario non coinvolto nel processo di cura dei pazienti. 
  • Costa cara la mancata comunicazione di un data breach all’autorità garante: una banca polacca è stata sanzionata per 300 mila euro per non aver comunicato il furto di un pacco di documenti dei clienti affidato a un corriere per la consegna a destinazione.
  • Un database non protetto contenente dati sensibili di oltre 300.000 passeggeri che si sono serviti del servizio taxi nel Regno Unito e in Irlanda è finito online. D’altra parte non c’era nemmeno una password a proteggere tali informazioni.
  • Multa da 856.000 euro ad una piattaforma finlandese di e-commerce che obbligava i clienti a registrarsi come utenti sul sito, creando un account, anche per fare un singolo acquisto.
  • La Commissione europea ha aperto un procedimento contro TikTok perché la piattaforma (già messa al bando negli USA) comporterebbe “rischi di gravi danni alla salute mentale degli utenti”.
  • L’autorità garante spagnola ha sanzionato due banche per svariati milioni di euro. In un caso, per aver subito un data breach a causa di lacune sulla sicurezza delle informazioni [cosa che dal 2025 avrà impatto anche ai sensi del Regolamento DORA; ndr]; nell’altro, per aver inoltrato informazioni riservate di clienti a indirizzi errati.
  • Synlab, una delle principali società in Europa che si occupano di fornitura di servizi di diagnostica medica, ha subito un attacco hacker a fronte del quale ha disattivato tutti i sistemi informatici e avviato le procedure di reazione e ripristino, senza poter dire quando sarà in grado di riattivarli. Intanto sono sospese le attività di laboratori e centri medici che effettuano più di 35 milioni di analisi all’anno.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys