PUBBLICITA’ E PRIVACY

Ci sono dei limiti alla pubblicità sulle email

In breve, nell’articolo Corte di Giustizia UE: la pubblicità inserita nella posta elettronica deve rispettare la privacy, si precisa che la promozione commerciale è sottoposta a regole a tutela della privacy.

La pubblicità nei messaggi di posta elettronica, pur in presenza di consenso dell’interessato, non deve essere invasiva. Sono vietate ripetute e sgradite sollecitazioni commerciali attraverso qualsiasi mezzo. L’inserimento di banner nella parte superiore dei messaggi può indurre i riceventi a cliccare, senza la loro piena consapevolezza, su link che reindirizzano su determinati siti internet [i quali esulano, magari, dallo specifico oggetto del messaggio stesso; ndr].

Potremo impedire le fastidiose pubblicità telefoniche, ma ci vorrà ancora del tempo

Se non di interesse lavorativo, l’articolo Telefonate commerciali, azzerati in un colpo tutti i consensi ha una valenza relativa all’ambito personale di tutti noi. Il decreto legge 139/2021, tuttora però ancora all’esame della camera, amplia le tutele contro il telemarketing selvaggio.

Viene precisato che, con l’iscrizione al registro pubblico delle opposizioni al telemarketing, anche le chiamate automatizzate, e non solo quelle effettuate con operatore, saranno impedite [e pare strano che non fosse già così; ndr].

Purtroppo, deve ancora essere predisposto e diventare operativo il regolamento attuativo della legge 5/2018, la quale prevede che la semplice iscrizione al registro delle opposizioni comporti, in un sol colpo, la cancellazione di tutti i consensi che un interessato ha rilasciato [magari involontariamente] ad operatori commerciali e telefonici per ricevere telefonate commerciali. Al momento, infatti, è necessario procedere con le singole revoche di ciascun consenso fornito [cosa lunga ed a volte impraticabile].

 

PRIVACY E CONTRASTO AL COVID

Controllo dei green pass per l’accesso al lavoro: ci sarà mai una regola definitiva?

Si rischia di ricominciare da capo: l’articolo Il presidente del Garante per la Privacy in audizione al Senato: ‘Abrogare la consegna di copia del green pass al datore di lavoro’ informa che il Garante per la Privacy ha invitato i parlamentari a prendere in considerazione l’abrogazione della norma che dà facoltà ai lavoratori di consegnare al datore di lavoro il proprio certificato green pass per evitare i controlli giornalieri. Infatti dalla durata del certificato è immediato evincere se trattasi di un green pass per vaccinazione o per tampone negativo.

La richiesta del super Green Pass non può essere arbitraria

L’articolo Garante Privacy, il super Green Pass non va chiesto nei luoghi dove la legge non lo prescrive informa che il Garante per la Privacy, a fronte di casi accertati, denuncia l’abuso della richiesta di “super Green Pass” [che deriva dall avvenuta vaccinazione o guarigione, sino a scadenza] anche dove si può accedere con la sola certificazione ricevuta a fronte di tampone negativo. [Si evita di specificare dove, in quanto le disposizioni variano rapidamente; ndr].

Vi sono delle lacune nella verifica del Green Pass [con la app verificaC19]

Con l’articolo Green Pass: il Garante Privacy aveva già segnalato i profili di criticità sulla revoca del certificato ai positivi, si torna ancora su Green Pass e stavolta il Garante pone giustamente l’accento sul fatto che le certificazioni verdi non sono aggiornate (es. per sopraggiunta positività), con significativi rischi anche sulla reale efficacia della misura di contenimento, a causa dei mancati collegamenti con la Piattaforma nazionale DGC [Sistema informativo nazionale per l’emissione, il rilascio e la verifica dei Digital Green Certificate].

Aggiornamenti del Garante per la privacy sulla gestione e verifica dei green pass

[Prescindendo dalle specificità relative alla trascrizione delle sospensioni negli albi professionali e alle registrazioni aggiuntive a carico degli operatori sanitari al rilascio del green pass, di questo articolo Ok del Garante Privacy alle nuove modalità per revoca e uso Super Green Pass si riporta quanto segue. Ndr]

Si dà piena attuazione alla revoca delle certificazioni verdi, in caso di contagio sopravvenuto, tramite una procedura che prevede anche che l’interessato venga informato, mediante i dati di contatto forniti. A questo tipo di procedura se ne aggiunge una specifica relativa ai “green pass” rilasciati o ottenuti in maniera fraudolenta.

E’ previsto inoltre che i soggetti tenuti alla verifica del possesso delle certificazioni verdi vengano specificamente istruiti sulla possibilità di utilizzare la modalità “rafforzata” solo ed esclusivamente nei casi in cui lo richieda la legislazione vigente.

Nei casi in cui il lavoratore si avvalga della facoltà di consegnare la certificazione verde al datore di lavoro, quest’ultimo è comunque tenuto a effettuare il regolare controllo sulla perdurante validità, mediante lettura del QR code della copia in suo possesso attraverso l’app VerificaC19 o mediante altre modalità automatizzate [disponibili per la PA, ndr].

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Due categorie di misure a protezione dei dati personali

L’articolo Accountability: misure reattive e proattive dell’Ing. Monica Perego offre un dettagliato elenco delle misure da prendere, in coerenza con il principio di accountability, a seguito di un’analisi dei rischi relativa al trattamento dei dati personali, e le classifica nei due rami delle misure proattive (preventive, in quanto anticipano il verificarsi di una minaccia) e reattive (che reagiscono ad una criticità sopraggiunta).

Le misure proattive, da prediligere rispetto alle reattive, prevedono l’identificazione dei rischi e dei pericoli circa i diritti e le libertà fondamentali degli interessati:

  • definizione di appropriate disposizioni (anche sotto forma di procedure ed istruzioni);
  • controllo sistematico dell’adeguatezza delle risorse, della competenza e consapevolezza del personale, definizione delle responsabilità;
  • controllo dell’osservanza delle disposizioni, tramite azioni di sorveglianza ed ispezioni;
  • definizione, pianificazione, messa in atto e sorveglianza dello stato di avanzamento di obiettivi di miglioramento e di indicatori (KPI) misurabili, in attuazione del ciclo PDCA (Plan, Do, Check, Act);
  • adeguamento delle misure ad ogni cambiamento di contesto (fornitori, trattamenti, organizzazione interna, normativa, ecc.)
  • monitoraggio costante della qualità delle misure e delle prestazioni del sistema di gestione della protezione dei dati, con la consapevolezza che la mancanza di eventi avversi non è necessariamente un indice della completa adeguatezza del sistema.

Le misure reattive sono da prevedere ove non è possibile ipotizzare, anche per i costi, misure di tipo proattivo e ove non vi è garanzia che le misure proattive intercettino tutte le situazioni di criticità. Tuttavia è errato:

  • dipendere in modo eccessivo/esclusivo da misure di carattere reattivo o dalla valutazione a posteriori degli indicatori;
  • agire solo dopo un evento critico di severità elevata, senza cogliere i segnali, pur deboli, che il sistema di gestione della protezione dei dati può aver lanciato;
  • considerare eventi avversi solo quelli che minano la sicurezza del know-how aziendale e non quelli afferenti alla protezione dei dati personali;
  • non approfondire le cause di un data breach, o limitarsi ad approfondire una sola causa, quando spesso tali eventi hanno più punti deboli.

L’articolo termina citando l’audit, quale misura di carattere allo stesso tempo proattivo (in quanto permette di identificare possibili criticità ed intervenire per prevenirle) e reattivo (in quanto consente di porre in atto i possibili rimedi contro non conformità rilevate).

La rilevabilità concorre alla determinazione della priorità dei rischi per i dati personali

Ancora un interessante articolo dell’Ing. Monica Perego (Rilevabilità del rischio nell’ambito della protezione dati), circa la rilevabilità del rischio, che è una delle componenti che per la misura dell’indice di priorità del rischio (IRP) / risk priority number (RPN).

Questa rilevabilità (R) / detectability misura la facilità di intercettazione/individuazione dell’evento prima che questo si manifesti. Possiamo associare questo parametro ad una scala di valori, ad esempio da 1 a 5, in base alla possibilità di individuazione dell’evento per le misure messe in atto:

  • 1, quasi certezza
  • 2, possibilità elevata
  • 3, possibilità moderata
  • 4, possibilità bassa
  • 5, possibilità remota.

Un esempio di rilevabilità è un sistema di rilevamento fumi; la possibilità di rilevamento di un incendio è elevata e le corrisponde un punteggio basso.

E’ da notare che la rilevabilità non ha in genere alcuna incidenza con la probabilità che una minaccia si verifichi, mentre potrebbe averla sulla riduzione delle conseguenze [ad es. per l’entrata in funzione di un allarme o di un sistema antincendio automatico; ndr].

La valutazione della rilevabilità e dell’indice di priorità del rischio (che è il prodotto tra rilevabilità, probabilità e gravità) dovrebbe far parte della privacy by design [ma il concetto è applicabile anche in ambiti diversi da quello della privacy, ndr]. E’ evidente quindi come aumenti l’IRP al diminuire della rilevabilità. In ogni caso, le misure che riducono la gravità e/o la probabilità di un evento critico sono preferibili a quelle che riducono il valore della rilevabilità, in quanto questo talvolta è definibile quando la minaccia si è già verificata.

Il calcolo dell’indice di priorità del rischio

Nel precedente articolo Rilevabilità del rischio nell’ambito della protezione dati già si accennava al concetto di indice di priorità del rischio. In questo articolo Valutazione della rilevabilità nell’ambito della valutazione dei rischi sui dati personali: l’indice di priorità del rischio l’autore approfondisce l’argomento.

L’indice priorità di rischio / priority number (IRP / RPN) è un indicatore che permette di definire quantitativamente su quali rischi intervenire e con quale precedenza.

Tra le varie metodologie possibili, il modello FMEA (Analisi dei modi e degli effetti dei guasti – Failure Mode and Effect Analysis) consente di determinare i criteri di intervento, attraverso il calcolo del valore dell’IRP, ottenibile con la formula IRP = G x P x R, dove:

G – Gravità: misura le possibili conseguenze di un pericolo (severity)

P – Probabilità: misura la possibilità che l’evento accada realmente (occurrence)

R – Rilevabilità: misura la facilità di intercettazione dell’evento (detectability)

[e la rilevabilità, ricordiamo, ha un indice tanto più elevato, quanto più difficile è accorgersi del rischio prima che la minaccia si sia manifestata; quindi più è alta, facile, la rilevabilità e più è basso il suo indice; ndr]

L’IRP può essere confrontato con un “livello di priorità” basato non solo sulla probabilità di occorrenza dell’evento e sulla gravità delle sue conseguenze, ma anche sui costi per ridurlo (come probabilità e/o come effetti), cosa ammessa dal GDPR (Art. 32).

Oppure, l’IRP può essere confrontato con la “soglia di intervento”, definita dal titolare del trattamento. Dato che siamo nell’ambito delle priorità, possono essere anche definite più soglie, cui corrispondono diversi tempi per attuare le misure di mitigazione del rischio. Per. es.:

– IRP tra 1.000 e 301 – intervento immediato

– IRP tra 300 e 150 – intervento entro 12 mesi

– IRP inferiore a 150 – intervento da valutare se necessario.

[qua sono assunti valori, per gli indici G, P ed R, da 1 a 10, a differenza della scala da 1 a 5 supposta nell’articolo precedente]

Il rischio, nell’applicazione pratica, è di tendere, più o meno consapevolmente, ad assegnare alle grandezze G, P ed R, valori bassi in modo da restare sotto la soglia limite per intervenire.

Esempio pratico:

Rischio: incendio in sala server con conseguente indisponibilità temporanea dei dati.

Misure [di default e di design]: impianto elettrico e presenza estintore, a norma di legge, controlli periodici dell’impianto, per agire sulla probabilità; backup giornaliero di tutti i dati [su host dislocato altrove], per ridurre la gravità, con tempi di ripristino [verificati dalle prove di restore] di 10 ore.

Gravità: alta, indice 8; si perdono 10 ore di agibilità [e gli aggiornamenti recenti un giorno].

Probabilità: bassa, indice 4; in base a dati statistici.

Rilevabilità: remota, indice 8; la sala server non è presidiata [e non vi sono allarmi automatici o non consentono tempestivi interventi]

L’IRP assume dunque il valore di 256. In base alla soglia di intervento di cui sopra, è necessario mitigare ulteriormente i rischi entro 12 mesi. Tuttavia il titolare potrebbe confrontare l’IRP con un livello di priorità (inteso come limite) molto più basso, tenendo in maggior considerazione la gravità delle conseguenze del rischio, in rapporto ai costi per ulteriori misure [e sul fatto che sarebbero comunque da sostenere; ndr], definendo così di intervenire subito.

L’oggetto dell’intervento sarebbe la rilevabilità: l’installazione di rilevatori di fumo la rende più alta, ne abbassa l’indice, valore 3. L’IRP scenderebbe a 96 e non richiederebbe ulteriori misure.

L’analisi dei rischi va in ogni caso ripetuta periodicamente o al mutare delle condizioni. Inoltre è necessario documentare le decisioni assunte [decisioni “informate o “ponderate”, secondo i princìpi della ISO 9001; ndr].

 

L’analisi dei rischi va riveduta al variare delle condizioni che hanno generato le misure di protezione

L’articolo Alcuni approfondimenti sulle misure per la mitigazione dei rischi è un promemoria circa alcuni aspetti dell’analisi dei rischi relativi ai dati personali.

Le misure di mitigazione dei rischi servono a prevenire e/o limitare i danni conseguenti al verificarsi delle minacce, con impatto su perdita di riservatezza, integrità e disponibilità dei dati personali e quindi con riduzione dei diritti e delle libertà degli interessati.

Esse vengono definite ed applicate in seguito alla valutazione dei rischi, attuata in base alla privacy by design. Possono essere di tipo organizzativo e/o tecnico.

E’ prevista la revisione periodica dell’analisi dei rischi, ma le misure devono essere aggiornate anche ogni qualvolta avviene un cambiamento del contesto. I cambiamenti possono essere interni all’organizzazione, quali:

  • variazioni nei trattamenti eseguiti (magari per modifica del business),
  • modifiche alla struttura organizzativa,
  • adozione di nuove procedure, processi, tecnologie infrastrutturali o applicative,
  • variazioni nell’ambito dei fornitori che hanno a che fare con i trattamenti

oppure possono essere esterni, tipo:

  • nuove normative, regolamenti o leggi applicabili,
  • richieste dei titolari del trattamento per cui si è responsabili del trattamento,
  • nuove minacce che impattano nelle metodologie e negli strumenti adottati.

Poi è necessario che le misure siano:

  • adeguate e proporzionate al rischio,
  • sperimentate per garantirne la fattibilità,
  • illustrate e condivise con i responsabili dei processi e gli incaricati al trattamento,
  • possibilmente automatizzate, per non dipendere dalla memoria chi deve attuarle ad intervalli regolari.

Infine, se presente, il DPO (Data Protection Officer), che deve essere informato sulle nuove misure, deve verificarne l’efficacia [raggiungono lo scopo?] e l’efficienza [il risultato è commisurato allo sforzo realizzativo profuso?].

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Per la profilazione non è sufficiente la mancata individuazione degli interessati

Così come riporta l’articolo L’attività di profilazione sussiste anche in mancanza di identificazione dell’interessato, una recente decisione della Corte di Cassazione ha sancito che la profilazione, quale tecnica per analizzare abitudini individuali, è tale per qualsiasi attività volta a studiare i comportamenti a prescindere dalla effettiva identificazione delle persone. Con ciò si va addirittura oltre i requisiti del GDPR.

Nella fattispecie è stata sanzionata dal Garante per la protezione dei dati personali un società di autonoleggio, sia per mancata notifica all’Autorità del trattamento dei dati derivanti dalla geolocalizzazione continua dei veicoli, sia per aver eseguito profilazione sul cliente, predisponendo offerte scontate sulla base di un algoritmo sulla previsione di utilizzo che ciascun autista avrebbe fatto dei veicoli. E ciò, nonostante che gli sconti presentati sul sito non fossero in alcun modo associati all’anagrafica del cliente, né che i suoi dati identificativi fossero memorizzati neanche temporaneamente.

Il rammarico è che la profilazione può arrecare benefici agli utenti, all’economia ed alla società nel suo complesso, specie col potenziamento che deriva da big data, intelligenza artificiale e apprendimento automatico, permettendo di offrire servizi di migliore qualità, anche nell’ambito della pubblica amministrazione.

[in conclusione: per qualsiasi forma di profilazione si voglia applicare, non dimenticarsi di chiedere e registrare il consenso preventivo, informato ed esplicito dell’interessato. Ndr]

L’impatto degli assistenti vocali nel contesto lavorativo

Un assistente vocale (o “agente conversazionale”) è una applicazione, installata su un dispositivo, che interagisce con gli umani attraverso la voce/suoni senza alcuna necessità di un contatto fisico.

Sono già diffusi in ambiente domestico e l’articolo Assistenti vocali in ambito aziendale: rischi sulla privacy, e non solo…  afferma che potrebbero estendersi anche all’ambito lavorativo, per esempio per interagire con apparecchiature o strumentazioni, per ottenere immediate informazioni senza dover interagire manualmente con un computer, per inviare comunicazioni.

Questo espone a dei rischi, per la possibilità che vengano raccolte ed utilizzate sia le abitudini di consumo di dipendenti e collaboratori, ma anche informazioni aziendali riservate, quali strategie e know-how.

Che si tratti di un problema concreto lo dimostrano la pubblicazione delle “Guidelines 02/2021 on Virtual Voice Assistants” da parte dell’E DPB (European Data Protection Board) e della videoclip “Spegni il microfono – accendi la privacy” da parte del Garante per la Privacy.

Un’azienda che decidesse per l’utilizzo degli assistenti vocali dovrebbe

  • effettuarne l’analisi dei rischi
  • definire una procedura operativa
  • limitare e responsabilizzare gli addetti all’utilizzo
  • redigere un’informativa privacy in merito

e mettere in atto le seguenti misure

  • prevedere la presenza degli assistenti vocali solo in aree in cui non vengono trattate informazioni riservate
  • scegliere il modello che fornisce il miglior bilanciamento tra le varie esigenze
  • conoscere le particolarità dei modelli scelti e valutare anche la possibilità che l’assistente vocale si connetta ad altri dispositivi
  • disattivare le impostazioni automatiche sostituendole con comandi manuali
  • fornire agli autorizzati le istruzioni per l’uso sicuro e renderli consapevoli dei rischi
  • cancellare ad intervalli prestabiliti la cronologia delle informazioni.

Dovrebbe, inoltre, essere definita la possibilità o meno della presenza di un assistente vocale nel locale in cui si pratica lo smart working e, se sì, quali sono le regole e le precauzioni da adottare.

Videosorveglianza utilizzata per finalità commerciali

L’oggetto dell’articolo Il ruolo dell’informativa quando la videosorveglianza è utilizzata per finalità di marketing sono i sistemi di videosorveglianza utilizzati per rilevare il numero di persone e le loro reazioni, mediante l’interpretazione delle espressioni facciali, quando si trovano di fronte a prodotti o annunci pubblicitari.

Questo utilizzo con fini commerciali è considerato legittimo purché non vi siano monitoraggi né tracciamenti, che i dati siano inviati al sistema centrale in forma totalmente anonima e che sia messa a disposizione l’informativa privacy.

No al riconoscimento facciale indiscriminato

L’articolo Il riconoscimento facciale viola la privacy degli utenti’: le autorità di Francia e Regno Unito contro Clearview presenta un caso specifico. 

Il Parlamento europeo aveva già adottato, nell’ottobre 2021, una risoluzione per vietare l’identificazione biometrica, rivolgendo la propria attenzione contro il modello adottato dalla statunitense Clearview, che sviluppa un software di riconoscimento facciale usato dalle forze di polizia in diversi paesi.

Recentemente si sono mosse contro Clearview le autorità di controllo del Regno Unito e francese, con sanzioni e ingiunzioni di cancellazione dei dati. Questi infatti vengono ricavati estraendo immagini dei volti dai social e altri vari siti ed abbinandoli alle identità degli interessati.

Il punto è che le immagini pubblicate di spontanea volontà e di dominio pubblico non giustificano di per sé il trattamento in oggetto, essendo questo privo delle basi legali (quali il consenso o li legittimo interesse del titolare che non deve prevalere sui diritti e le libertà degli interessati) e non fornendo agli interessati il diritto di accesso e di cancellazione.

 

IN BREVE, DALL’ITALIA E DAL MONDO

Icone per rappresentare graficamente i requisiti del GDPR

L’articolo Informative chiare: i vincitori del contest lanciato dal Garante privacy ci informa che un concorso che aveva lanciato il Garante per la Privacy ha prodotto la realizzazione di set di simboli o icone capaci di esemplificare la gli elementi che, a norma degli articoli 13 e 14 del Regolamento, devono essere contenuti nell’informativa privacy.

Il sito Informative chiare del Garante ospita le migliori soluzioni, in base ai criteri di concept (che include, gli aspetti di efficacia e sinteticità), visual (grafica, leggibilità, chiarezza), originalità, inclusività (eguaglianza di genere, non discriminazione).

Le icone sono utilizzabili secondo i termini della licenza CC BY [le opere possono essere utilizzate, copiate e distribuite a patto che venga indicato l’autore, con le modalità da questo specificate (es. citare il link al sito web dell’opera o dell’autore); ndr].

[Sarebbe necessario forse un altro passo: la selezione di un unico set di icone, in modo da uniformarne l’utilizzo, almeno a livello nazionale, visto che ogni set contiene una significativa quantità di icone e gli interessati non dovrebbero essere “sballottati” da una rappresentazione grafica all’altra, a seconda dell’informativa che stanno leggendo. Ndr]

Chi è tutelato dal Garante Privacy irlandese?

Il titolo dell’articolo Irlanda: l’autorità per la protezione dei dati accusata da Max Schrems di fare lobby per Facebook è di per sé esplicativo.

L’avvocato Maximillian Schrems [sì, proprio quello della sentenza che ha invalidato l’US-EU Privacy Shield; ndr] ha accusato il Garante irlandese aver tentato di permettere ai social network di monitorare gli utenti e indirizzare pubblicità mirata per contratto e non previo consenso informato, cercando di influenzare in questo senso le linee guida sulla privacy dell’UE. Le altre Autorità europee per la privacy non si sono fatte convincere da quella irlandese, il cui intervento è stato criticato anche pesantemente.

La Corea del Sud alla stregua dei paesi della Comunità Europea

L’articolo La Corea del Sud ora è considerata un paese sicuro per il trasferimento dei dati personali ci aggiorna in merito alla “decisione di adeguatezza”, presa dalla Commissione Europea, per cui è legittimato il trasferimento di dati tra Unione europea e Repubblica di Corea del sud, senza che siano necessarie ulteriori autorizzazioni.

Violazioni di dati personali e sanzioni, in breve

  • in Olanda, l’apparato statale sanziona se stesso: l’Autorità per la Privacy ha comminato una sanzione di 2,75 milioni di euro all’amministrazione fiscale e doganale, per aver trattato in maniera discriminatoria i richiedenti l’assegno per la custodia dei figli agli aventi doppia nazionalità.
  • Pesante sanzione amministrativa ad un centro psicoterapia della Finlandia, per non aver comunicato all’Autorità garante, entro le 72 ore dalla scoperta, un violazione di dati personali a fronte di alcuni attacchi informatici, da parte di hacker che erano riusciti a trafugare i dati di almeno 22 mila interessati, e per non aver messo in atto le misure di protezione necessarie. [Nel frattempo il centro ha cessato l’attività, ma questo è irrilevante rispetto al principio che si intendeva evidenziare; ndr]
  • La società che gestisce i trasporti cittadini e periferici parigini era già stata sanzionata per 400 mila Euro, per aver registrato, ai fini delle valutazioni per le promozioni, i giorni di sciopero fatti dai dipendenti, estrapolandoli dai giorni di assenza, infrangendo così il principio di minimizzazione ed effettuando una discriminatoria. Adesso rischia una nuova multa per aver subìto un data breach che riguarda 57 mila dipendenti.
  • Gli uffici postali giapponesi hanno perso i dati personali di 290’000 clienti e hanno dovuto notificare il data breach al ministero degli Interni e all’Agenzia per i servizi finanziari. Questo episodio è l’occasione per rammentare che in Giappone vige la cosiddetta “’APPI” (Act on the Protection of Personal Information), che contiene prescrizioni in materia simili a quelle del GDPR; ciò che ha permesso, nel 2019, alla Commissione europea di adottare una decisione di adeguatezza che autorizza il trasferimento dei dati in Giappone alla stregua di un paese europeo.
  • Albania: diffusi online tramite WhatsApp e Telegram i dati personali e le informazioni sugli stipendi di oltre 600.000 cittadini. La violazione dei dati sembra più un’infiltrazione interna piuttosto che un attacco informatico esterno. Le aziende devono quindi considerare le minacce che possono provenire da persone interne, come dipendenti, ex dipendenti, appaltatori o soci in affari.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys