PUBBLICITA’ E PRIVACY

L’informativa privacy, l’informativa sull’uso di cookie e le altre informazioni legali di un sito web non possono essere mischiate

Secondo l’articolo Marketing online: necessario tenere separate l’informativa privacy, l’informativa sull’uso di cookie e le altre informazioni legali, da un procedimento del Garante per la privacy contro un’azienda, culminato lo scorso ottobre 2022 in una ingiunzione e sanzione, si traggono le seguenti prescrizioni applicate al settore marketing: bisogna tenere separate l’informativa privacy, l’informativa sull’uso di cookie e le informazioni e note legali relative ai servizi online e alle condizioni contrattuali praticate.

Con l’informativa privacy, nei rapporti con i clienti, si informa su come e perché si trattano i dati nel contesto della fornitura di beni e servizi e della loro promozione commerciale.

Con l’informativa “cookie” si deve descrivere il trattamento effettuato nel contesto della navigazione sul sito internet e riguarda l’eventuale tracciamento delle operazioni nella consultazione delle pagine web.

A proposito dell’informativa, l’autore afferma che non si possono citare svariate modalità di trattamento solo perché in futuro potrebbero essere utilizzate, ciò che può confondere gli interessati, sapendo invece che l’informativa può essere modificata ed integrata ogni volta che è necessario. Gli interessati, inoltre, devono poter limitare, quando desiderato, le tipologie dei loro contatti (telefono, posta elettronica, domicilio).

Da un’altra ingiunzione si desume che non è lecito raccogliere un consenso cumulativo per ricevere messaggi promozionali con strumenti automatizzati e con mezzi di comunicazione tradizionali.

Il Garante impone il rispetto della normativa sulla conservazione dei dati (un provvedimento del 2005 stabilisce il termine di 12 mesi di conservazione dei dati per finalità di marketing e di 24 mesi per finalità di profilazione [il provvedimento prevede effettivamente questi termini, anche se le scadenze potrebbero sembrare invertite; ndr]), anche in presenza del consenso ed in assenza di revoca dello stesso. L’allungamento di detti termini dovrebbe essere giustificato da una valutazione di impatto.

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Un caso reale di conseguenze per mancato riconoscimento di un phishing

L’articolo Impiegato riceve un sollecito per una fattura scaduta ma è un virus: violata privacy dei lavoratori e maxi sanzione per l’azienda evidenzia, qualora ce ne fosse bisogno, quanto danno può fare non accorgersi che una email è di phishing.

In breve: email di sollecito fattura, con zip allegato, a un impiegato di una grande azienda, operante in smart working; l’antivirus segnala un file sospetto, ma ciò nonostante la email viene trasmessa all’amministrazione; l’antivirus mette in quarantena il file sospetto; lo zip viene aperto e scatta il ransomware in grado di crittografare tutti i dati presenti nei server aziendali; si cancella il file messo in quarantena, ma è troppo tardi: il cybercriminale, dal PC di cui ha mantenuto l’accesso, disinstalla anche l’antivirus, compromette 283 sistemi e 16 account in 4 domini, accede ai dati sensibili di 113000 persone.

L’azienda, operante nel Regno Unito, è stata di conseguenza anche sanzionata per 4,4 milioni di sterline.

Il Garante considera colpevole un’organizzazione che non monitora regolarmente le attività sospette nei suoi sistemi e non agisce in base agli alert, o non aggiorna il software o non fornisce formazione al personale.

L’autore conclude osservando la necessità di agire con fatti concreti per prevenire le violazioni, non risultando affatto sufficiente il rispetto solo formale e burocratico degli adempimenti.

Il DPO dovrebbe contribuire alla stesura dei contratti che prevedono il trasferimento del rischio relativo al trattamento dei dati personali

L’articolo Il trasferimento del rischio applicato al GDPR e il ruolo del DPO ci ricorda che tra le misure di rimozione o attenuazione del rischio, per la riduzione della sua probabilità e/o gravità, è previsto il trasferimento del rischio su una terza parte, quale può essere un assicuratore. Ma anche in questo ultimo caso esemplificato, una parte di rischio resta in capo all’azienda, poiché l’assicurazione potrebbe coprire i risarcimenti dovuti agli interessati [e financo le sanzioni applicate all’azienda per aver subito un data breach, ndr], mo potrebbe non coprire la perdita di clienti o il danno di immagine. Si parla quindi, più esattamente di condivisione del rischio.

Le polizze assicurative devono essere adeguate alle minacce e alle vulnerabilità degli asset; ad esempio si può sottoscrivere un’assicurazione contro gli allagamenti per eventi naturali, dimenticando la possibilità che avvengano per rottura delle tubazioni. Inoltre, devono essere riviste periodicamente, perché se non si adeguano ai cambiamenti di scenario, la compagnia potrebbe non riconoscere il risarcimento. Si pensi ad esempio al verificarsi di un incendio in un capannone assicurato per una classe di rischio (“carico di incendio”), ma che nel frattempo sia passato alla classe superiore. Infine, l’ammontare del premio deve essere congruente con il valore dell’asset (bene, informazione, dato personale) da tutelare.

Nel caso in cui il rischio sia condiviso con i fornitori, le relative clausole devono essere chiaramente inserite nel contratto. Se queste prevedono un’assicurazione a carico del fornitore, si dovrà verificare la polizza prima di ogni scadenza.

Analogamente, nel caso di coinvolgimento di titolari. Potrebbero essere addirittura previste delle penalità, da applicarsi nel caso in cui un contitolare non applicasse le misure contrattualmente definite.

Ovviamente il Data Protection Officer (DPO) deve essere informato, poiché deve visionare contratti e polizze sia in fase di emissione che di audit.

Cybersecurity risks, salute e sicurezza sul lavoro, tutela della privacy dovrebbero essere gestiti in modo integrato

L’articolo Cybersecurity risks, salute e sicurezza sul lavoro, tutela della privacy: una visione integrata, cui si rimanda per una lettura diffusa, afferma come sia predominante, anche nei prossimi anni, il rischio “Cybersecurity and data security”, mentre avrebbe un impatto minore il rischio “Health, safety and security” (SSL – sicurezza sul lavoro)”.

Tuttavia (l’autore fa riferimento ad un documento elaborato dal direttore di un centro ricerche), i cyber attack possono mettere a repentaglio anche la salute e l’incolumità delle persone, coinvolgendo quindi rischi SSL. Per esempio il blocco di impianti per la gestione sanitaria o delle emergenze. C’è da considerare anche il pericolo per la salute fisica e mentale delle persone in situazioni di stress per incidenti sulla sicurezza delle informazioni e veri e propri data breach, nonché per frustrazione in caso di errori e di phishing.

Ovviamente anche l’ambito dei dati personali è sicuramente oggetto dei crimini cyber.

In conclusione le misure per la cyber sicurezza dovrebbero essere affrontate in un contesto multidisciplinare.

Per non essere impreparati a gestire un data breach è necessario disporre di una procedura

Secondo l’articolo Gestione data breach: i denominatori comuni che definiscono le fasi essenziali della procedura, sebbene non sia definibile una procedura di validità generale che definisce le misure tecniche e organizzative per gli interventi da attuare in caso di violazione dei dati personali, si possono perlomeno tracciare le fasi essenziali.

Per prima cosa è necessario essere in grado di identificare velocemente e accuratamente gli incidenti per la sicurezza dei dati ed è importante avere dotazioni tecnologiche aggiornate allo stato delle possibili odierne minacce. Inoltre è necessario che il personale addetto ad intervenire sia stato individuato, incaricato e formato in merito, a partire da quando e come attivare la procedura di intervento [ma tutto il personale aziendale deve essere conscio della necessità di avvertire il titolare del trattamento e, ove presente, il responsabile della sicurezza delle informazioni, se ha sentore di una violazione; ndr].

Devono essere definiti i rapporti tra titolare e responsabili del trattamento coinvolti, le modalità di comunicazione, il modello da utilizzare per la raccolta dei dati. A quest’ultimo proposito è da sottolineare che è un punto essenziale la raccolta della documentazione circa qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio, ai fini della trasmissione di tutte queste informazioni all’Autorità di controllo (Art.33 del GDPR) in caso si tratti di violazione di dati personali che comporti un rischio “probabile” per gli interessati.

Quindi si deve procedere con la valutazione se l’incidente per la sicurezza ha coinvolto dati personali, nel qual caso si ha a che fare con un cosiddetto data breach, e con una conseguente analisi dei rischi per stimare il livello di rischio per i diritti e le libertà delle persone coinvolte. La valutazione deve essere la più oggettiva possibile. Il report va trasmesso al Garante entro 72 ore dalla rilevazione della violazione [nota: è una violazione anche un semplice incidente per cui, per esempio, i dati personali siano andati accidentalmente distrutti; ndr]. Entro tale tempo dovrebbero quindi essere adottate le misure di mitigazione del rischio e si dovrebbero eseguire tutte le azioni previste dagli Art. 33 e 34 del GDPR. Qualora tale tempo non fosse sufficiente, il report va comunque inviato, anche se come notifica preliminare.

In presenza di un rischio elevato, la violazione deve essere comunicata anche agli interessati.

Una corretta definizione di tutta la procedura e la raccolta e trascrizione puntuale degli eventi, delle rilevazioni e delle azioni prese favorisce il processo decisionale e, successivamente, il controllo dell’efficacia delle misure adottate ai fini del trattamento dei dati (come richiesto dall’Art. 32 del GDPR).In generale sono da tener presenti, poi, il coinvolgimento del DPO, se disponibile, e l’importanza dell’apprendimento dagli errori (lezioni apprese) per evitare in futuro analoghi inconvenienti.

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Dal Regno Unito una guida alla privacy nella videosorveglianza

Titolari e Responsabili del trattamento di dati personali che avvenga tramite video possono trovare una guida, specifica per vari sistemi di rilevazione o acquisizione di immagine, nell’articolo Regno Unito: dal garante inglese una guida operativa per i sistemi di videosorveglianza e più approfonditamente nel documento Video surveillance (including guidance for organisations using CCTV) rilasciato dal Garante inglese (ICO – Information Commissioner’s Office).

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Alcuni esempi per limitare alcuni dubbi sull’applicazione del Decreto Trasparenza

L’autore dell’articolo ‘Decreto Trasparenza’ e trattamenti di dati personali: tra dubbi ed opportunità, di fronte ai dubbi che la lettura del Decreto Trasparenza (D.Lgs 104/2022) solleva, prende in considerazione tre argomenti.

Esempi di trattamenti automatizzati e decisionali sono:

  • software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
  • piattaforme di formazione e-learning completamente automatizzate (presenza, risultati, ripetizione di lezioni/test, tempo di permanenza, comprese le risposte formulate in test a sorpresa per verificare la presenza effettiva);
  • assistenza da remoto e/o gestione dei ticket che utilizzano la funzione dispatching, la quale, in base agli skill del personale tecnico, alla presenza in turno e al tipo di richiesta la assegna in automatico all’operatore libero più idoneo;
  • profilazione dei servizi relativi agli accessi ai dati, che consentono all’amministrazione di sistema di rilevare informazioni quali il tempo trascorso in chiamate/riunioni, i dispositivi utilizzati, il numero di messaggi scambiati, ecc., nonché accedere a documenti, e-mail e messaggi scambiati.

L’autore cita anche casi specifici:

  • Nella scuola: applicazione (anche integrata nel registro elettronico) che tiene sotto controllo quali circolari sono state “scaricate” o “non scaricate” dal singolo docente (con valenza di onere probatorio).
  • Nella sanità: sistema gestione delle cartelle elettroniche che permette di rilevare in automatico la presenza di errori di compilazione od omissione di dati; gestisce automatica delle cartelle cliniche con invio di una segnalazione al singolo reparto per richiedere l’aggiornamento e, periodicamente, in caso di richiesta inevasa, sollecito alla funzione designata del reparto.
  • Nel trasporto pubblico: mezzi pubblici dotati di telecamere che si attivano automaticamente a seguito di brusca frenata, urto o altro evento anomalo, con associazione della registrazione delle informazioni sull’autista.

Informazioni per i lavoratori: 

Il Decreto richiede di fornire quelle in merito a quanto segue:

  1. a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi di cui al comma 1 [cioè in merito all’obbligo del datore di lavoro di fornire le indicazioni rilevanti ai fini dell’assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori];
  2. b) gli scopi e le finalità dei sistemi di cui al comma 1;
  3. c) la logica ed il funzionamento dei sistemi di cui al comma 1;
  4. d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni;
  5. e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  6. f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse….”

In merito al punto e), l’autore trova incomprensibile il riferimento al Responsabile del sistema qualità, in quanto dovrebbero essere chiamate in causa le funzioni responsabili, in base all’organigramma, della corretta applicazione del sistema automatico o decisionale.

In merito al punto f), afferma che, nel caso in cui i sistemi siano forniti dall’esterno, il requisito dovrebbe essere applicato al fornitore che l’ha sviluppato. Ricorda che un sistema software “robusto” è capace di far fronte ad input non validi, interazioni utente di tipo imprevisto o situazioni eccezionali, anche adattandosi a cambiamenti nel suo ambiente operativo.

L’applicazione del D.lgs 104/2022 come Opportunità.

L’opportunità (forse l’unica) è di cogliere l’occasione per verificare se tutti i trattamenti dei dati personali dei dipendenti sono stati tracciati anche nell’informativa tradizionale, se c’è la necessità di una DPIA (valutazione di impatto per i dati personali), se c’è la necessità di un accordo sindacale, se è necessario revisionare alcune procedure.

L’autore ricorda infine, l’opportunità di ripetere periodicamente i controlli relativi all’applicazione del Decreto Trasparenza e di prevederli a livello di audit.

L’utilizzo dei dati personali delle banche dati dovrebbe essere preceduto dalla verifica del consenso degli interessati

L’articolo Banche dati per fare campagne di marketing, chi le compra deve essere in grado di dimostrare la loro conformità al GDPR si basa su una pesante sanzione (600 mila € all’azienda di energia elettrica EDF). Quando un’organizzazione decide di svolgere una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o da altri broker di dati, è sempre necessario accertarsi di essere poi in grado di dimostrare che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano, altrimenti si rischia di andare incontro a sanzioni salate. Infatti non si può confidare solo sulle “conformità al GDPR” dichiarate dai fornitori delle banche dati.

[Il problema è che l’accertamento diretto della conformità potrebbe non essere facilmente risolvibile; ndr]

ISO 27001 e privacy: molti “controlli” sono idonei anche alla sicurezza dei dati personali

L’articolo I nuovi controlli della Norma ISO 27001:2022 che impattano sui dati personali informa che con la nuova edizione del 2022 della nuova ISO/IEC 27001, la norma per la sicurezza delle informazioni, sono stati aggiunti 11 nuovi controlli (oltre ad un diverso raggruppamento dei controlli stessi) [Con il termine controls, viene fatto riferimento alle azioni, non solo di mero controllo, atte a mitigare i rischi per la sicurezza dei dati: Ndr]. Due di questi nuovi controlli sono l’8.10 Information deletion e l’ 8.11 Data masking  e riguardano direttamente la protezione dei dati personali (ma non solo). Molti altri controlli riguardano i dati personali in modo indiretto.

Ricordando che l’applicazione della 27001 rappresenta una misura di accountability nei confronti del GDPR, si esaminano i due controlli di cui sopra, citando per ognuno ambito di applicazione, descrizione, tecnologia, organizzazione/processi, persone e documentazione.

Il controllo 8.10 Information deletion – Cancellazione delle informazioni

Ambito di applicazione: tutte le organizzazioni. La cancellazione o la distruzione di dati personali è, in riferimento al GDPR, un trattamento di dati personali.

Descrizione: le informazioni devono essere cancellate, in modo sicuro, quando non più necessarie.

Tecnologia: eliminazione sicura, in base alla valutazione del rischio.

Organizzazione/processi: quali dati devono essere eliminati, le responsabilità, i metodi per l’eliminazione, i tempi (in coerenza con l’informativa privacy e il registro del trattamento dei dati personali).

Persone: gli incaricati autorizzati devono essere formati e consapevoli.

Documentazione: non richiesta dalla 27001, ma opportuna per procedure di conservazione (temporale), cancellazione sicura (su ogni mezzo: carta, dispositivi, cloud), distruzione dei supporti.

Il controllo 8.11 Data masking – Mascheramento e anonimizzazione dei dati

Ambito di applicazione: è più specifico per le aziende che sviluppano applicazioni.

Descrizione: richiesti il data masking e il controllo degli accessi, con limitazione dei privilegi (rimando al controllo 8.3 Information access restriction).

Tecnologia: pseudonimizzazione o anonimizzazione, oppure crittografia, in base all’analisi del rischio.

Organizzazione/processi: questi devono definire quali dati sono da mascherare, con quale metodo e chi vi può accedere.

Persone: formazione sulle tipologie di dati interessate e sulle tecniche di mascheramento.

Documentazione: non richiesta, ma opportuna per la definizione dei dati da mascherare (nella procedura privacy by design e di classificazione delle informazioni), degli accessi consentiti, del processo di mascheramento.

Secondo la Norma ISO 27001, per gli incaricati  aziendali al trattamento dei dati personali devono essere applicati specifici controlli

L’autore del precedente articolo I nuovi controlli della Norma ISO 27001:2022 che impattano sui dati personali, in cui evidenziava due nuovi controlli attinenti alla privacy, mette in luce adesso, nell’articolo I controlli della Norma ISO 27001:2022 sul ciclo di vita dell’autorizzato al trattamento dei dati personali, otto controlli già previsti nella passata edizione della norma, che afferiscono ancora ai dati personali. Questi controlli appartengono alla sezione 6, relativa alle persone, e sei di questi riguardano specificatamente i collaboratori (siano essi dipendenti o meno) entro un’organizzazione.

6.1 – Screening : il personale deve essere controllato, prima e durante il rapporto di collaborazione, in relazione ai dati che esso dovrà trattare secondo il suo ruolo, previsto ed eventualmente variato. Possono essere controllati: casellario giudiziale (nei limiti consentiti dalla legge), percorso di studi certificato, competenze acquisite, iscrizione ad un ordine professionale, referenze.

6..2 – Terms and conditions of employment: definizione delle reciproche responsabilità dell’azienda e del collaboratore, circa la sicurezza delle informazioni, per mezzo di mansionari, nomine, politiche, procedure, ecc.

6.3 – Information security awareness, education and training: i collaboratori e gli stakeholder devono essere formati e sensibilizzati riguardo alla sicurezza delle informazioni e tenuti aggiornati per quanto attiene alle loro mansioni. La formazione deve essere ripetuta, oltre che periodicamente, anche in occasione di eventi critici o di mutamenti del contesto e dei fattori.

6.4 – Disciplinary process: deve essere definito e comunicato il processo disciplinare contro le violazione della politica o delle misure per la sicurezza delle informazioni. Le sanzioni dovranno comunque essere conformi al contratto nazionale del lavoro.

6.5 – Responsibilities after termination or change of employment: devono essere definiti anche gli obblighi da rispettare anche alla cessazione del rapporto di collaborazione, per la salvaguardia delle informazioni riservate. L’azienda, d’altra parte ha le responsabilità circa i dati (es. la posta elettronica, per tempi e modalità di conservazione) del personale non più in organico.

La distruzione dei supporti di archiviazione dati

L’articolo Il dumpster diving: dalla tutela della riservatezza al rispetto del GDPR sottolinea l’importanza di gestire il ciclo di vita delle informazioni, per evitare rischi che vanno dal dal data breach al decadimento delle difese ai sistemi informativi e possono coinvolgere danni reputazionali. [siamo nell’ambito del controllo 8.10 della ISO 27001, di cui all’articolo I nuovi controlli della Norma ISO 27001:2022 che impattano sui dati personali; ndr].

La distruzione dei supporti – cartacei o IT – che contengono dati personali (che possono includere password ed altri dati strettamente riservati e/o di categoria particolare) è detta dumpster diving (letteralmente: immersione nel cassonetto). E’ necessario che siano definite non solo la scadenza per le cancellazioni, ma anche come queste debbano essere eseguite e come possano essere distrutti i supporti, nelle loro varie tipologie (carta o hardware).

Un riferimento per la distruzione dei supporti è la ISO/IEC 21964/2018, che considera tre classi di protezione e sette livelli di distruzione, in funzione della riservatezza.

L’Opinion 3/2014 del Working Group 29 cita apparecchiature per la distruzione dei supporti cartacei.

Il Manuale per gli RPD del 2019 indica gli standard formali sui metodi raccomandati per la cancellazione/distruzione per diverse categorie di dati e supporti di dati.

L’articolo cita inoltre la norma DIN 66399 per le apparecchiature e la UNI EN 15713:2009 per la gestione e il controllo della distruzione di documenti riservati.

Trasferimento dati in USA: passi avanti, ma non siamo ancora al traguardo

L’articolo Trasferimento dei dati negli USA: il punto dopo la pubblicazione della bozza di decisione di adeguatezza della Commissione UE informa che, a seguito dell’intesa raggiunta a marzo, tra la Commissione UE ed USA, per il varo di un nuovo sistema che sostituisca il Privacy Shield, ai fini del trasferimento dei dati tra paesi UE e USA, si sarebbe finalmente vicini all’accordo finale.

Per chi volesse approfondire tutta la storia dall’invalidazione del Privacy Shield (prima sentenza Schrems) ad oggi, l’articolo originale elenca i vari passaggi fornendo i relativi riferimenti.

L’autore rammenta che in assenza di decisione di adeguatezza (art 45 del GDPR), vi sono altre forme per legittimare un trasferimento di dati personali verso paesi terzi [peraltro difficilmente praticabili; ndr]: presenza di garanzie adeguate (art. 46), norme vincolanti d’impresa (art. 47), sentenze giudiziarie e decisioni amministrative sulla base di un trattato di mutua assistenza giudiziaria (art. 48) e, infine, deroghe in specifiche situazioni (art. 49) [oltre alla più pratica adesione alle nuove Standard Contractual Clauses, approvate dalla Commissione Europea, ove disponibili; ndr].

 

IN BREVE, DALL’ITALIA E DAL MONDO

Controlli da distanza: il titolare del trattamento è l’azienda che li utilizza

L’articolo Solo il datore di lavoro può disporre controlli a distanza informa che se un’azienda necessita di far installare impianti di acquisizione video sul posto di lavoro, eseguire le registrazioni e mantenerle per il periodo di conservazione definito, è l’azienda stessa che assume il ruolo di titolare del trattamento in quanto ha definito i mezzi (pur non necessariamente la parte prettamente tecnica) e le finalità del trattamento di dati personali. Tale ruolo non può essere demandato al fornitore dei prodotti e del servizio. Ciò è quanto si desume da una sentenza del TAR del Lazio in merito ad una istanza di installazione di impianti audiovisivi, rigettata dall’Ispettorato del Lavoro cui era stata rivolta da un’organizzazione.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Sanzione di 2 milioni di euro del Garante Privacy alla società Alpha Exploration proprietaria di Clubhouse, il social network basato sullo scambio di chat vocali, per scarsa trasparenza sull’uso dei dati degli utenti e dei loro “amici”, possibilità per gli utenti di memorizzare e condividere gli audio senza consenso delle persone registrate, profilazione e condivisione delle informazioni sugli account senza l’individuazione di una corretta base giuridica, tempi indefiniti di conservazione delle registrazioni effettuate dal social per contrastare eventuali abusi.
  • Sanzionata la Regione Lazio per controlli illeciti dei metadati di posta elettronica del personale in servizio, nonostante fossero effettuati in base al sospetto di una possibile diffusione di informazioni protette dal segreto d’ufficio. Nota: i metadati sono limitati a orari, destinatari, oggetto delle comunicazioni, peso degli allegati; non comprendono il testo delle email.
  • I dati personali di 400 milioni di iscritti a Twitter sono stati violati e messi in vendita online: è stato chiesto un riscatto a Elon Musk, sotto forma di invito all’acquisto esclusivo di tali dati per evitare enormi sanzioni che scatterebbero per violazione del GDPR [ma la violazione c’è stata comunque; ndr].
  • Sanzionato un istituto di statistica per domande su appartenenza religiosa e stato di salute, fatte in un censimento senza evidenziare che le risposte erano facoltative.
  • 60 milioni di euro è la sanzione comminata a Microsoft dal Garante francese, per aver imposto i cookie agli utenti del motore di ricerca.
  • Il Garante irlandese ha avviato un’indagine su Twitter, poiché i dati di milioni di suoi utenti sarebbero stati messi online su Internet (vedi articolo I dati personali di 400 milioni di iscritti a Twitter in vendita online: chiesto riscatto a Elon Musk).
  • La chiusura della class action scaturita dallo scandalo di Cambridge Analytica del 2018 è costata a Meta 265 milioni di dollari.
  • Sanzionata una società che utilizzava la rilevazione delle impronte digitali per accertare la presenza dei dipendenti: Il Garante ha ribadito che il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere obblighi e i diritti previsti da una disposizione normativa e con adeguate garanzie.
  • Un distributore di energia elettrica ha erroneamente classificato “moroso” un cliente, il quale così si è visto rifiutare il passaggio ad altri fornitori. Il Garante ha applicato una sanzione di un milione di euro. [Ancora una volta chi scrive resta negativamente colpito dal fatto che la sanzione sia sempre a vantaggio esclusivo dell’organo sanzionatorio o di altri organismi non identificati e non del danneggiato].

ing. Michele Lopardo

Responsabile Qualità @ Wondersys