by Federprivacy on 17 Gennaio 2020 at 2:12 pm

  Il Garante per la privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell'ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento Ue, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl. La prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami, ricevuti all’indomani della piena applicazione del Gdpr. Dalle verifiche è emerso un circoscritto numero di casi rivelatori tuttavia di condotte “di sistema” poste in essere da Egl, che hanno evidenziato gravi criticità relative al generale trattamento dei dati. Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati. Il Garante, dopo aver dichiarato l’illiceità delle condotte rilevate, ha ingiunto a Egl di implementare procedure e sistemi per verificare, anche tramite l’esame di un campione rilevante di nominativi, lo stato dei consensi delle persone inserite nelle liste dei contatti, prima dell’inizio delle campagne promozionali. Egl dovrà inoltre provvedere alla definitiva automatizzazione dei flussi di dati dal proprio database alla black list di chi non vuole ricevere pubblicità in uso presso la società. Il Garante, inoltre, ha vietato alla società l'uso dei dati forniti dai list provider senza che questi ultimi avessero acquisito uno specifico consenso alla loro comunicazione a Egl. La seconda sanzione di 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all'Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di Egl. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa. Le gravi irregolarità hanno interessato circa 7200 consumatori. Dagli accertamenti dell'Autorità è emerso che le condotte adottate da Egl nell'acquisizione di nuovi clienti mediante alcune agenzie esterne operanti per suo conto, per modalità organizzative e gestionali, hanno determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati. Il Garante quindi, rilevate le irregolarità, ha ingiunto a Egl l'adozione di una serie di misure correttive e l'introduzione di specifici alert in grado di individuare varie anomalie procedurali. Le implementazioni dovranno essere introdotte e comunicate all'Autorità in tempi stabiliti, mentre il pagamento delle sanzioni dovrà essere effettuato entro trenta giorni. Fonte: Garante Privacy

by Enza Bruno Bossio on 17 Gennaio 2020 at 8:21 am

La discriminazione geopolitica non risolve il problema della sicurezza: i fornitori cinesi, coreani o di altri paesi extraeuropei sono uguali a quelli americani e a qualsiasi altro tipo di fornitore. Il nostro Paese deve garantire un controllo verso tutti e verso ogni pezzo delle componenti tecnologiche L'articolo 5G e Cina, Bruno Bossio (PD): “No a scelte ideologiche sulla sicurezza” proviene da Agenda Digitale.

by Noemi Miniscalco on 17 Gennaio 2020 at 7:38 am

Il Regolamento europeo prevede la designazione di un Responsabile protezione dati per autorità e organismi pubblici. Di cui però non fornisce una definizione. Ecco come sciogliere il nodo interpretativo ricorrendo a paradigmi non giuridici, ma funzionali L'articolo Dpo obbligatorio per i soggetti pubblici, ma non per tutti: il problema proviene da Agenda Digitale.

by Federprivacy on 17 Gennaio 2020 at 5:21 am

  Per la prima volta la minaccia informatica è il principale rischio percepito dalle aziende a livello mondiale. E' quanto rileva il 9° sondaggio annuale di Allianz Global Corporate & Specialty (AGCS) sui principali rischi aziendali, che ha avuto una partecipazione di più di 2.700 esperti provenienti da oltre 100 paesi. Dunque, i rischi informatici (39% delle risposte) rappresentano il rischio aziendale maggiormente percepito a livello globale, facendo passare al secondo posto l’interruzione di attività (Business interruption, BI) con il 37% delle risposte. La consapevolezza della minaccia informatica è cresciuta rapidamente negli ultimi anni, spinta dalle aziende che si affidano sempre più ai dati e ai sistemi IT e da una serie di importanti incidenti. Sette anni fa si era classificata solo al 15° posto con appena il 6% delle risposte. Ancora a livello globale, crescono i cambiamenti nella legislazione e nella regolamentazione (n° 3 con il 27%) e il cambiamento climatico (n° 7 con il 17%). In particolare sono soprattutto la guerra commerciale USA-Cina, la Brexit e il riscaldamento globale le preoccupazioni crescenti per aziende e nazioni. In Italia, i rischi maggiormente percepiti dalle aziende sono l’interruzione di attività, al primo posto con il 51% delle risposte, seguita dai rischi informatici (49%, in crescita rispetto al 38% del 2019). Al terzo posto il danno reputazionale o d’immagine (29%), che nell’ultimo anno ha scalato ben due posizioni superando le catastrofi naturali, quarte con il 20%. "La preoccupazione per la perdita di reputazione o di valore del marchio è diventata critica, ed è entrata a far parte, per la prima volta, dei primi tre rischi in Italia. Tuttavia, le interruzioni del business e i rischi informatici rappresentano ancora le principali preoccupazioni delle aziende italiane", afferma Nicola Mancino, ceo di AGCS Italia. I più importanti rischi globali per il business nel 2020. "I dati emersi dall'Allianz Risk Barometer 2020 evidenziano come il rischio informatico e il cambiamento climatico siano le due sfide più impegnative che le aziende dovranno affrontare nel nuovo decennio", afferma Joachim Müller, ceo di AGCS. "Naturalmente ci sono molte altre tipologie di danni e problematiche da affrontare. Tuttavia, se i consigli di amministrazione e i risk manager non affrontano i rischi informatici e quelli derivanti dal cambiamento climatico, il loro impatto sulle performance operative, sui risultati finanziari e sulla reputazione delle loro aziende presso i principali stakeholder potrebbe risultare critico. Nell'era della digitalizzazione e del riscaldamento globale, la preparazione e la pianificazione di tali rischi è, quindi, sia una questione di vantaggio competitivo che di resilienza aziendale". I rischi informatici continuano a evolversi. Oltre a essere il primo rischio a livello globale, quello degli incidenti informatici è tra i primi tre rischi in molti dei paesi esaminati; in Austria, Belgio, Francia, India, Sudafrica, Corea del Sud, Spagna, Svezia, Svizzera, Regno Unito e Stati Uniti si colloca proprio al primo posto. Le aziende si trovano ad affrontare rischi di violazioni di dati sempre più grandi e costose, un aumento del ransomware e degli incidenti di spoofing, così come la prospettiva di sanzioni pecuniarie o controversie legali in materia di privacy. Una grande violazione dei dati - che compromette, ovvero, più di un milione di dati - costa oggi in media 42 milioni di dollari, con un aumento dell'8% rispetto all'anno precedente. "Gli incidenti stanno diventando sempre più significativi e le grandi aziende sono colpite da attacchi sempre più sofisticati e da ingenti richieste di estorsione. Cinque anni fa, una tipica richiesta di riscatto sarebbe stata di decine di migliaia di dollari, mentre ora può superare il milione di dollari", afferma Marek Stanislawski, Deputy Global Head of Cyber, AGCS. Interruzione dell'attività: una minaccia continua, con nuove cause. Dopo sette anni al vertice, l’interruzione di attività scende al secondo posto nell’Allianz Risk Barometer. Al tempo stesso, tuttavia, continua a crescere la tendenza a subire perdite più significative da business interruption (BI). Le cause sono molteplici e vanno da incendi, esplosioni o catastrofi naturali a incidenti che riguardano le supply chain digitali o addirittura al terrorismo. "Le supply chain e le piattaforme digitali consentono oggi la piena trasparenza e la tracciabilità delle merci, ma un incendio in un data center, un guasto tecnico o l’attacco di un hacker potrebbero portare a grandi perdite da BI per aziende che si affidano allo stesso sistema e che non possono tornare a processi manuali", afferma Raymond Hogendoorn, Global Head of Property and Engineering Claims di AGCS. Le aziende sono inoltre sempre più esposte all'impatto diretto o indiretto di rivolte popolari, disordini civili o attacchi terroristici. Lo scorso anno si è assistito ad un'escalation dei disordini civili a Hong Kong, Cile, Bolivia, Colombia e Francia, con conseguenti danni alle proprietà, interruzioni d’attività e perdita di reddito generale per le multinazionali e le aziende locali. Tali danni sono dovuti, inoltre, alla prolungata chiusura dei negozi, al mancato afflusso di clienti e turisti e all’impossibilità per i dipendenti di raggiungere il loro posto di lavoro per problemi di sicurezza. I cambiamenti nella legislazione e nella regolamentazione sono al 3° posto nel Allianz Risk Barometer, rispetto al 4° posto del 2019: tariffe, sanzioni, Brexit e protezionismo tra le preoccupazioni principali. Solo nel 2019 sono state istituite, inoltre, circa 1.300 nuove barriere commerciali, con la controversia commerciale USA-Cina che ha portato il dazio medio statunitense a livelli vicini a quelli degli anni Settanta. "La politica commerciale sta diventando solo un altro strumento per raggiungere diversi obiettivi politici, come la diplomazia economica, l'influenza geopolitica o la politica ambientale", spiega Ludovic Subran, Chief Economist di Allianz. Il cambiamento climatico aumenta la complessità del rischio. Il cambiamento climatico occupa la settima posizione, la più alta mai raggiunta nell’Allianz Risk Barometer. È, inoltre, tra i primi tre rischi percepiti nella regione Asia-Pacifico secondo gli intervistati in Australia, Hong Kong, India e Indonesia. L'aumento delle perdite è il rischio che le aziende temono maggiormente (49% delle risposte). La crescita del livello dei mari, l’aumento della siccità, le tempeste sempre più violente e le inondazioni massicce rappresentano, infatti, una minaccia per le fabbriche e le altre risorse aziendali, nonché per i collegamenti e le infrastrutture di trasporto e di energia che legano tra loro le supply chain. Inoltre, le aziende sono preoccupate per gli impatti operativi (37%), come la delocalizzazione delle strutture, e per i potenziali impatti sul mercato e sulle normative (35% e 33%). Le aziende potrebbero doversi preparare, infine, a un maggior numero di controversie in futuro: contro i colossi del carbone sono già stati presentati molti ricorsi negli Stati Uniti e in altri 30 paesi di tutto il mondo. Fonte: Italia Oggi del 14 gennaio 2020  

by edps-webmaster on 16 Gennaio 2020 at 11:00 pm

The latest edition of the EDPS Newsletter is online now!

by Luigi Mischitelli on 16 Gennaio 2020 at 10:45 am

Gli aspetti tecnici, giuridici ed etici che devono essere tenuti presenti nell'affrontare il complesso tema dell’intelligenza artificiale, alla luce di tre recenti interventi dell’istituto statunitense NIST, dell’autorità privacy francese CNIL e dell’AI Now Institute della New York University L'articolo Riconoscimento facciale, perché fa così paura: gli ultimi studi proviene da Agenda Digitale.

by Nadia Martini e Serena Gianvecchio on 16 Gennaio 2020 at 8:39 am

Ci si lamenta molto in Italia del fatto che la ricerca scientifica non sia adeguatamente valorizzata e finanziata. E se ciò dipendesse anche da una normativa nazionale privacy troppo restrittiva rispetto alla normativa europea? L'articolo Ricerca scientifica italiana danneggiata dalle norme privacy? Il problema proviene da Agenda Digitale.

by Luca Bolognini on 16 Gennaio 2020 at 7:18 am

La nomina del nuovo Garante per la privacy, il budget necessario per la data protection, l'impatto dell'intelligenza artificiale sulla società: i temi su cui riflettere in questo 2020 appena iniziato L'articolo Privacy e intelligenza artificiale, i tre temi critici del 2020 proviene da Agenda Digitale.

by Nicola Manzi on 15 Gennaio 2020 at 9:18 am

Tra i buoni propositi per il nuovo anno, anche quello di diffondere una maggiore consapevolezza dell'importanza dei nostri dati personali. Ecco allora un decalogo per migliorare la data protection L'articolo La data protection che verrà: buoni propositi per il 2020 proviene da Agenda Digitale.

by Federprivacy on 15 Gennaio 2020 at 5:32 am

  Stop al telemarketing indesiderato anche sui cellulari. Il pre-Consiglio dei ministro del 13 gennaio ha analizzato il Dpr che modifica l’attuale disciplina del Registro delle opposizioni, lo strumento che permette di opporsi all’utilizzo, per finalità pubblicitarie, dei numeri di telefono di cui si è intestatari. In attuazione di una legge approvata nel 2018, il Dpr allarga la possibilità di iscrizione al registro anche ai numeri non presenti negli elenchi telefonici, fattispecie esclusa dal precedente Regolamento. Potranno rientrare nel registro, evitando così di ricevere telefonate promozionali e a fini commerciali, anche i numeri dei cellulari. L’iscrizione al registro delle opposizioni, per evitare di ricevere comunicazioni commerciali al telefono o per posta, dovrà avvenire via modulo web o telefono. Non sarà quindi possibile iscriversi tramite posta o mail. Le modalità tecniche e operative di iscrizione nel registro dovranno poi essere ulteriormente definite con decreto del Mise, sentito il Garante per la protezione dei dati personali. Nel caso in cui il contraente sia intestatario di più numerazioni, è possibile richiederne l’iscrizione contemporanea di più utenze. In questo caso, però, bisognerà utilizzare solo modalità tramite il modulo web. Gli operatori di telemarketing dovranno consultare il registro per accertarsi che l’utente non abbia negato il consenso all’uso del suo numero di telefono, anche cellulare. Per effettuare il controllo del registro dovrà essere corrisposta una tariffa di accesso annuale da versare al Mise o in alternativa al gestore del Registro. Attualmente il Registro delle opposizioni è gestito dalla Fondazione Ugo Bordoni. Fonte: Il Corriere delle Comunicazioni

by Gabriele Faggioli e Anna Cataleta on 14 Gennaio 2020 at 11:06 am

A livello nazionale, il 2020 si prospetta denso di impegni: fitta l’agenda delle cose da fare sulla scrivania del garante. Facciamo il punto su quanto è stato fatto lo scorso anno e su cosa si prospetta per quello appena iniziato L'articolo Privacy e protezione dei dati, ecco le urgenze 2020 proviene da Agenda Digitale.

by Federprivacy on 14 Gennaio 2020 at 6:12 am

  Cosa accade agli esiti degli esami medici ai quali tutti noi ci sottoponiamo più o meno regolarmente? La prassi prevede la conservazione dei documenti in un ambiente sicuro, accessibile solo al diretto interessato e al personale autorizzato per finalità inerenti la cura delle patologie, anche in considerazione della natura sensibile dei dati. In verità le modalità attuate da ospedali e cliniche risultano essere spesso poco in linea con quanto vorrebbero le buone pratiche legate alla sicurezza e alla privacy dei pazienti. Da oltreoceano viene lanciato un nuovo allarme: oltre un miliardo di referti sarebbero finiti online, scaricabili e consultabili liberamente da chiunque in possesso di una connessione Internet, ospitati all’interno di server collegati alla Rete senza alcun tipo di protezione. Un problema globale, non limitato a una particolare area geografica o a singoli territori stando a quanto riportano i ricercatori. Focalizzando l’attenzione sugli USA, sono stati scoperti parecchi archivi in formato DICOM (Digital Imaging and Communications in Medicine) ospitati all’interno di sistemi PACS (Picture Archiving and Communicating System) da aprire e leggere mediante uno dei tanti software compatibili da scaricare gratuitamente. Il report pubblicato dal sito TechCrunch fa riferimento a un problema largamente diffuso, con gli avvisi forniti a medici e istituti largamente ignorati, nonostante le severe restrizioni previste dalla normativa HIPAA (Health Insurance Portability and Accountability Act) che prevede sanzioni elevate per coloro che non effettuano lo storage delle cartelle cliniche in modo rigoroso. A quanto pare solo le realtà più piccole si sono fin qui dimostrate disponibili a raccogliere l’invito a porre maggiore attenzione al problema implementando accorgimenti e misure utili a tutelare la privacy dei pazienti, nella gran parte dei casi del tutto ignari delle modalità di trattamento impiegate per la conservazione e la condivisione delle loro informazioni.Della questione abbiamo scritto più volte in passato anche su queste pagine: nel marzo scorso la segnalazione di un database gestito da MedPharm Services con milioni di documenti relativi a esami, visite mediche e prescrizioni finito online senza nemmeno una password. Nelle mani sbagliate, i dati potrebbero essere impiegati per pratiche illecite come furti d’identità o raggiri: in molti casi i leak contengono dettagli come nome, cognome, indirizzi email e di residenza, data di nascita e descrizione accurata delle patologie così come delle prescrizioni. Fonte: Punto Informatico

by Rocco Panetta on 13 Gennaio 2020 at 1:45 pm

Se l’etica è declinabile come “rispetto dell’essere umano” in tutte le forme e in tutti gli ambiti, ciò vale anche come “rispetto dei suoi dati personali”. Chi ha delle responsabilità nei confronti delle persone deve perciò garantire la coesistenza tra progresso e tutele. Vediamo come L'articolo Etica e trattamento dati: così si sconfigge la dittatura dell’algoritmo proviene da Agenda Digitale.

by Renato Goretta on 13 Gennaio 2020 at 8:58 am

Sempre nuovi scandali fanno emergere contraddizioni interne all'utilizzo di tecnologie di facial recognition. Dalle questioni etiche alla gestione del consenso, ecco come le grandi aziende e gli Stati dovranno affrontare sfide ormai non rinviabili. Lo scenario giuridico e i topic su cui tenere alta la guardia L'articolo Riconoscimento facciale, ecco i nodi giuridici di una tecnologia “pericolosa” proviene da Agenda Digitale.

by Luca Tosoni on 13 Gennaio 2020 at 8:45 am

Sia in ambito pubblico che privato, l’adozione di sistemi di segnalazione di presunti illeciti (whistleblowing) è sempre più comune. Tuttavia, conciliare l’adozione di tali sistemi con l’adempimento degli obblighi imposti dalla normativa sulla protezione dei dati personali presenta svariate criticità. Vediamo quali sono L'articolo Whistleblowing e GDPR: punti critici e scenari futuri proviene da Agenda Digitale.

by Federprivacy on 26 Dicembre 2019 at 8:35 am

  Numeri ufficiali non ce ne sono, ma una conferma sì. E basta per lanciare un allarme pesantissimo. Secondo fonti vicine alla Polizia Postale, infatti, il portale NoiPA sarebbe stato colpito da un attacco informatico che avrebbe consentito agli hacker di sottrarre stipendio e tredicesima di alcuni utenti. Un’operazione complessa, basata su tecniche di phishing, che riguarderebbe un numero non definito di dipendenti pubblici. Un furto in piena regola che lascia spazio a molti interrogativi e al pesante dubbio di non poter recuperare il maltolto. Ma andiamo con ordine. Cos’è NoiPA - NoiPA è il sistema stipendiale per la Pubblica Amministrazione gestito dal ministero dell’Economia e delle Finanze. Ma è anche un portale a tutto tondo per gestire il trattamento economico e giuridico del personale centrale e periferico della PA e per i connessi adempimenti previdenziali e fiscali. Per i dipendenti pubblici, NoiPA è il sito dove gestire cedolini e verificare, tra le altre cose, lo stato dei pagamenti. Cosa è successo - Oggi, se un dipendente pubblico cambia banca e ha necessità di fornire il nuovo Iban per l’accredito dello stipendio, deve farlo direttamente online sul portale. Ed è proprio qui che avrebbe avuto origine l’attacco informatico. Grazie a migliaia di mail di phishing (le classiche mail esca che – travestite da mail istituzionali - chiedono la modifica di dati personali), alcuni utenti avrebbero dato in pasto a un gruppo di hacker tutte le informazioni per accedere al portale NoiPA, comprese quelle che consentono di cambiare il numero di telefono e l’Iban su cui accreditare le spettanze. In questo caso, il cambio del numero di telefono è determinante, perché nella procedura di cambio Iban, l’utente deve effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare la sua identità. Una chiamata di sicurezza che viene gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta). Cosa fare adesso - Gli utenti coinvolti non hanno ricevuto tredicesima e stipendio di dicembre sul proprio conto bancario. Ad oggi, la modifica dell’Iban sul portale non è consentita, e può essere effettuata solo tramite gli uffici territoriali (recandosi di persona). Il vero guaio per chi è stato colpito da questo attacco informatico, però, potrebbe arrivare adesso: recuperare il maltolto non sarà così semplice. Mentre sul fatto indaga la Procura di Roma, infatti, non è da escludere l’ipotesi che le persone truffate non verranno mai rimborsate. Le vittime di phishing, infatti, consegnano in mani altrui le proprie chiavi di accesso, delle quali sono responsabili in prima persona. E la storia di questa frode racconta che molti enti si sono rifiutati di rimborsare gli utenti. Il “caso” PostePay - Una delle truffe più ricorrenti riguarda i possessori di PostePay, che a causa di sms e mail truffa arrivati da indirizzi molto simili a quelli ufficiali, consegnao i dati di accesso ai cybercriminali che prontamente prosciugano il credito presente. Una truffa della quale l’ente erogatore (in questo cado Poste) non risponde, non avendo responsabilità dirette. In Rete ci sono interi forum dedicati a queste vicende. La faccenda di NoiPA è più complessa, anche se poggia le sue fondamenta sulle stesse modalità di esecuzione. La Procura di Roma sta esaminando gli Iban sui quali sono stati accreditati inopportunamente stipendi e tredicesime, per provare a rintracciare il gruppo criminale dietro a questa truffa di Natale. Sarà una lunga storia. Fonte: Il Sole 24 Ore

by Federprivacy on 21 Dicembre 2019 at 6:30 pm

  Misure di sicurezza per la lotteria degli scontrini e per i registratori di cassa come ad esempio la password per proteggere i dati del codice lotteria (pseudonimo del codice fiscale del consumatore). Queste alcune delle indicazioni che arrivano dal Garante per la Privacy, che ha dato il via libera al provvedimento dell'Agenzia delle Entrate sulle specifiche tecniche della memorizzazione elettronica dei corrispettivi giornalieri. Nel parere del 18 dicembre 2019 [doc. web 9217337] emerge anche l'indicazione dell'imminente scadenza del 31 dicembre, data in cui "viene adeguato il processo di riconoscimento della conformità dei registratori telematici affinché sia possibile per i produttori dichiarare la conformità dei modelli già approvati" alle nuove disposizioni relative alla trasmissione dei dati per la lotteria. L'Agenzia delle Entrate comunque potrà provvedere a dare un periodo transitorio, ma non oltre il 31 dicembre 2022, per adeguare i registratori di cassa adattati a registratore telematico per i quali sia scaduto il termine di adeguamento. Per gli esercenti, considerato che l'accesso al registratore di cassa sarà possibile anche da remoto si rende necessario prevedere delle misure di sicurezza da poter utilizzare per proteggere i dati dei clienti che partecipano alla lotteria degli scontrini e che dovranno essere conservati per dieci anni. L'ipotesi è quella di una password di sistema (non da inserire ogni volta che si emette lo scontrino). L'ufficio del Garante è torna anche sulla qualità del dato che è conferito quando si partecipa alla lotteria degli scontrini, specificando che "seppure sottoposti a pseudonimizzazione, i dati oggetto di trattamento debbono essere considerati come dati personali in quanto rappresentano informazioni su persone fisiche identificabili", da ciò discende che l'esercente dovrà mettere in atto adeguate misure tecniche e organizzative per garantire la conformità del trattamento.  

by Federprivacy on 21 Dicembre 2019 at 4:32 pm

  Un nuovo caso di esposizione dei dati personali degli utenti per Facebook. La società di sicurezza Comparitech avrebbe individuato un database contenente dati personali di 267 milioni di utenti del social network e ne da' notizia sul suo sito. La mole di informazioni personali poteva essere consultata liberamente in rete, senza necessità di inserire password. Il database è rimasto online per circa due settimane, dal 4 al 19 dicembre, ed è risultato scaricabile anche tramite un forum hacker. "Stiamo esaminando questo problema, ma crediamo che si tratti di informazioni ottenute molto probabilmente prima dei cambiamenti che abbiamo apportato negli ultimi anni per proteggere meglio le informazioni delle persone": questo il commento di un portavoce di Facebook. Secondo Comparitech i dati potrebbero essere stati estrapolati dalla piattaforma legata gli sviluppatori di applicazioni (API). Oppure attraverso una operazione di 'scraping', una tecnica di estrazione dei dati da un sito usando appositi software. Nell'archivio erano contenute informazioni come lo 'user ID', che identifica l'utente, nome e numero di telefono. Il database è rimasto online per circa due settimane fino a che il provider che lo ospitava non ha deciso di rimuoverlo, a seguito della segnalazione da parte dei ricercatori. Oltre al complesso scandalo Cambridge Analytica, non è la prima volta che i dati di milioni di utenti di Facebook vengono divulgati in rete. Lo scorso settembre, un ricercatore ha scoperto un database ancora più grande di questo: 419 milioni di dati collegati agli account del social network. Fonte: Ansa

by Federprivacy on 20 Dicembre 2019 at 4:10 pm

  Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo. Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato. L’ex dipendente contestava, in particolare, alla società la mancata disattivazione della email aziendale e l’accesso ai messaggi ricevuti sul suo account. L’interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dalla sua ex azienda, avendo quest’ultima depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio. Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente. Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo. L’adozione di tali misure tecnologiche - ha spiegato il Garante - consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari). Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni. Fonte: Garante Privacy  

by Federprivacy on 20 Dicembre 2019 at 3:58 pm

  Un blackout completo, colpa di un attacco di pirati informatici: dallo scorso 4 dicembre la multiservizi dell'energia Iren - un colosso con 7.000 dipendenti e due milioni e mezzo di clienti tra Torino, Genova e l'Emilia-Romagna - brancola nel buio informatico. Archivi della clientela irraggiungibili, la centrale del pronto intervento scollegata dalla rete, addirittura l'impossibilità di ricevere e spedire mail, badge per l'ingresso fuori uso, i call center e gli sportelli costretti a rimandare a data da destinarsi ogni operazione, anche fosse una semplice voltura di un contratto. "Non sappiamo quando verrà ripristinato il servizio", "forse la prossima settimana, ma non è detto", è stata infatti la risposta fornita da un paio di operatori alla richiesta di alcune nostre (ipotetiche) delucidazioni su una bolletta del gas, ieri pomeriggio.Sul fronte aziendale e delle operazioni per la clientela l'elenco dei disservizi, come detto, è lungo. Alcuni dipendenti di società esternalizzate sono stati costretti alla ferie forzate, sta accadendo ad esempio alla Barbagli srl; questo perché, con l'intranet fuori uso, l'operatività è ai minimi termini.Il portale di Iren, almeno quello, è tornato online lunedì scorso. Mentre il numero verde è attivo ma tecnicamente è appoggiato ai cosiddetti numeri "neri", cioè numeri telefonici geografici classici: è successo anche a Torino con Amiat per quanto riguarda il servizio di raccolta rifiuti.Sempre nel capoluogo piemontese sono fuori uso addirittura i telefoni interni. Anche nella stessa Iren si era pensato di mettere alcuni lavoratori in ferie forzate, vista appunto l'attività ridotta in molti settori e in attesa del ripristino dei software. Ipotesi che poi è sfumata, viste le ripercussioni anche mediatiche che avrebbe avuto la decisione.Attualmente il danno, secondo alcune stime ufficiose, si aggirerebbe tra i 25 e i 30 milioni di euro, anche se la società smentisce la cifra: "Solo in caso di mancata fatturazione avremmo raggiunto quelle cifre. A livello finanziario non abbiamo avuto problemi".Ma cosa è successo esattamente? I pirati informatici si sarebbero intrufolati nel sistema grazie a un personal computer non aggiornato, lasciato sempre acceso, pare per comodità, da qualche dipendente.Almeno, questa è la versione ufficiale dell'azienda e del responsabile del personale, sistemi informativi e organizzazione, Antonio Andreotti. Da quel buco avrebbero lanciato nel sistema un cosiddetto "criptolocker", cioè un programma che inibisce l'accesso ai dati. In pratica li sequestra. "Non è stato un tentativo, ma un attacco pesante che ha avuto successo - sottolinea Andreotti - ma non abbiamo subito danni irreparabili, né perdita né furto di dati".Allora viene da chiedersi il perché di un blocco dell'operatività in diversi settori per così lungo tempo. "Con il senno di poi si possono fare tutte le valutazioni, ma il sistema ha reagito - sottolinea Andreotti - bloccando di fatto tutte le porte di accesso dall'esterno. È stato un attacco fatto da professionisti. E ci siamo dovuti isolare per ripristinare tutto. Ci sono società che rimangono off-line per mesi, noi nel giro di quindici giorni siamo riusciti a riprenderci".Fonti interne raccontano che nei mesi scorsi i vertici di Iren erano stati avvertiti con dei report di rischi e buchi del sistema nei quali qualcuno avrebbe potuto entrare, come poi è successo. Informative non prese sul serio. Anche in questo caso però Iren nega. Nel frattempo comunque la multiutility a forte partecipazione pubblica, in attesa di una soluzione tecnica definitiva, ha presentato una denuncia alla procura di Genova, dove si trova il data center del gruppo, e ha poi inviato un rapporto-denuncia al garante per la Privacy. Fonte: La Repubblica

by Federprivacy on 20 Dicembre 2019 at 3:46 pm

  Adottare ulteriori misure per proteggere l’identità di chi segnala riservatamente condotte illecite e quella dei presunti autori, delineare più precisamente i fatti che possono essere segnalati con il “whistleblowing” nella Pa, definire meglio il ruolo dei soggetti coinvolti.  Queste sono alcune delle condizioni e osservazioni indicate dal Garante per la privacy nel parere sulla bozza di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001, (c.d. whistleblowing)”, predisposta dall’Anac. Le Linee guida - rivolte ai datori di lavoro in ambito pubblico, ma contenenti anche indicazioni per l’inoltro di segnalazioni da parte di dipendenti di imprese fornitrici di beni o servizi per la Pa - specificano le misure tecniche di base che le pubbliche amministrazioni, titolari del trattamento dei dati, dovranno adottare ed eventualmente ampliare, tenendo conto degli specifici rischi del trattamento e nel rispetto dei principi di privacy-by-design e privacy-by-default. Il testo delle linee guida era stato inizialmente posto dall’Autorità anticorruzione in consultazione pubblica e poi integrato sulla base di una positiva collaborazione con il Garante per la privacy, così da rafforzare la tutela della speciale riservatezza dell’identità del segnalante e delle informazioni che facilitano l’individuazione di fenomeni corruttivi nella Pa. Tale collaborazione aveva portato anche a delineare meglio, ad esempio, il ruolo dei fornitori di applicativi e servizi informatici utilizzati per l’acquisizione e la gestione delle segnalazioni, nonché a proporre accorgimenti specifici per evitare la tracciabilità del segnalante. Il parere favorevole del Garante privacy è però condizionato - anche alla luce degli esiti di attività ispettive avviate nel corso del 2019 proprio nei confronti dei principali soggetti (società informatiche, pubbliche amministrazioni) che trattano dati nell’ambito del whistleblowing - all’introduzione di specifiche modifiche che possano evitare di compromettere la corretta gestione delle segnalazioni. Al fine di incrementare l’utilizzo e la fiducia in questo strumento, il Garante ha chiesto, ad esempio, che nelle Linee guida vengano circoscritte e definite meglio le condotte segnalabili con il “whistleblowing”, così da evitare che gli uffici che gestiscono le segnalazioni rischino di trattare illecitamente i dati delle persone citate, magari perché riferibili a casi non previsti dalla normativa anticorruzione. Dovranno poi essere specificati meglio - seppure con alcune limitazioni a tutela dell’identità del segnalante - i diritti garantiti dalla normativa privacy anche all’autore del presunto illecito. Dovrà inoltre essere limitata al “responsabile della prevenzione della corruzione e della trasparenza” la possibilità di associare la segnalazione all’identità del segnalante. Nel parere è indicato, tra l’altro, che occorre specificare meglio il ruolo svolto nel trattamento dei dati dai soggetti (sia interni all’amministrazione, sia esterni come l’Autorità giudiziaria e la Corte dei Conti) che possono conoscere le informazioni contenute nelle segnalazioni riservate. Il Garante ha infine chiesto all’Anac di rafforzare nelle Linee guida le misure tecniche e organizzative necessarie per tutelare l’identità del segnalante, utilizzando, ad esempio, protocolli sicuri per la trasmissione dei dati, abilitando accessi selettivi ai dati contenuti nelle segnalazioni, ed evitando che la piattaforma invii al segnalante notifiche sullo stato della pratica, in quanto tali messaggi potrebbero consentire di svelarne l’identità. Fonte: Garante Privacy

by Federprivacy on 20 Dicembre 2019 at 3:30 pm

  Si è concluso il ciclo di incontri formativi previsti dal progetto Smedata. Obiettivo dell’iniziativa quello di supportare le piccole e medie imprese (Pmi) e i professionisti impegnati negli adempimenti normativi in materia di protezione dei dati personali e di offrire chiarimenti ai soggetti che operano nella consulenza giuridica sul Regolamento. Grazie alla collaborazione con il Dipartimento di Giurisprudenza dell’Università degli Studi RomaTre - partner del Garante per lo sviluppo in Italia di Smedata - tra settembre e novembre sono stati organizzati 12 corsi di formazione tenuti da dirigenti e funzionari dell’Autorità, professori universitari ed esperti giuridici, per un totale di oltre 70 ore di lezione. Gli eventi formativi hanno fatto tappa in 6 città (Milano, Genova, Firenze, Roma, Salerno, e Cosenza) e hanno coinvolto complessivamente oltre 1.400 partecipanti, tra imprenditori delle Pmi e professionisti. Il percorso di Smedata continuerà nei prossimi mesi con ulteriori iniziative: un programma di formazione dei formatori, convegni internazionali e lo sviluppo di uno strumento di auto-valutazione per le Pmi. Tutte le informazioni sono disponibili sul sito del Garante. Smedata, co-finanziato da fondi della Commissione europea e nato da una partnership tra le Autorità per la protezione dei dati Italiana e Bulgara, integra l’offerta di formazione già realizzata dal Garante con il progetto T4Data dedicato ai Responsabili della Protezione Dati (Rpd) dei soggetti pubblici. Fonte: Garante Privacy

by Federprivacy on 9 Dicembre 2019 at 11:34 am

  Il controllo sul trattamento dei dati svolto nell’ambito dei grandi sistemi informativi dell'Ue ed effettuato da organismi, uffici e agenzie europei sarà gradualmente trasferito a una nuova struttura. La nuova Commissione di Controllo Coordinato, questa la sua denominazione, rafforzerà la cooperazione tra le diverse Autorità di protezione dati e garantirà verifiche più efficaci. La Commissione è stata istituita nell'ambito del Comitato europeo per la protezione dei dati ((EDPB)) e riunisce le Autorità garanti privacy dell'Ue e il Garante europeo della protezione dei dati (EDPS), nonché le Autorità di controllo degli Stati extra-Ue che partecipano al sistema Schengen. La nuova struttura si occuperà di vigilare sui sistemi informativi e sugli organismi, gli uffici e le agenzie operanti nei settori delle frontiere, dell'asilo e della migrazione (SIS, EES, ETIAS e VIS), della cooperazione di polizia e giudiziaria (SIS, EPPO, Eurojust, ECRIS-TCN) e del mercato interno (IMI). Tra i compiti della Commissione rientreranno, tra l'altro, il sostegno alle Autorità garanti della protezione dei dati personali nello svolgimento di audit e ispezioni; gli approfondimenti sull'interpretazione o l'applicazione delle norme; lo studio dei problemi legati all'esercizio dei diritti degli interessati; l'elaborazione di proposte armonizzate per la soluzione dei problemi; le attività di sensibilizzazione rispetto ai diritti in materia di protezione dei dati. La Commissione si riunirà almeno due volte l'anno in una composizione variabile a seconda del sistema informativo, dell'organo o dell'agenzia soggetti a vigilanza. Nel corso della sua prima riunione, la Commissione ha eletto Giuseppe Busia dell’Autorità di controllo italiana quale coordinatore e Iris Gnedler dell’Autorità federale tedesca in qualità di vice-coordinatore, per un mandato di due anni, e ha adottato il proprio regolamento interno. Fonte: Garante Privacy

by Federprivacy on 5 Dicembre 2019 at 5:32 am

  Quattro seminari di formazione in quattro diverse città italiane da nord a sud (Torino, Ancona, Roma e Catanzaro) che hanno raccolto la partecipazione di oltre 1.300 Responsabili della Protezione dei Dati (RPD) presso i soggetti pubblici. E’ il positivo bilancio dell’attività di formazione sul territorio legata al progetto T4Data, sviluppata da giugno a novembre di quest’anno. Ogni seminario è stato dedicato all’approfondimento di tematiche specifiche - trattamento dei dati personali per finalità di cura e ricerca; protezione dei dati personali e trasparenza della PA dopo il Regolamento (UE) 2016/679; gestione del rischio e sicurezza del trattamento; responsabilità del trattamento - per un totale di circa 30 ore di formazione, con interventi di dirigenti e funzionari del Garante. In ogni incontro è stato riservato ampio spazio alle risposte ai quesiti posti dai partecipanti. Contemporaneamente agli eventi sul territorio, nel mese di ottobre è stata lanciata anche una piattaforma online sulla quale sono disponibili più di 30 webinar gratuiti che approfondiscono varie tematiche e sono aperti alla vasta platea degli RPD operanti presso i soggetti pubblici. Sulla piattaforma sono inoltre presenti numerosi materiali di approfondimento, come le slide presentate nel corso dei convegni, questionari di auto-valutazione per chi segue i webinar e un dettagliato manuale per gli RPD in lingua italiana e inglese. Finanziato con i fondi del Rights, Equality and Citizenship Programme dell’Unione europea (2014 -2020), T4DATA è rivolto agli RPD pubblici nei vari Paesi Ue partner del progetto: Bulgaria, Croazia, Italia, Polonia e Spagna. Lo sviluppo delle attività formative ha visto il coinvolgimento oltre che delle Autorità di controllo di questi Paesi anche della Fondazione Elio e Lisli Basso. Fonte: Garante Privacy

by Federprivacy on 28 Novembre 2019 at 10:21 am

  Riconoscimento della privacy come diritto fondamentale per il buon funzionamento delle democrazie, lotta sui social media ai messaggi inneggianti al terrorismo, più intensa cooperazione tra le Autorità che tutelano i dati personali e quelle che operano a tutela dei consumatori e della concorrenza, riduzione dell’errore umano nelle violazioni dei dati. Queste sono alcune delle linee strategiche definite nel corso della quarantunesima conferenza internazionale delle Autorità per la protezione dei dati (ICDPPC), dal titolo “Convergence and connectivity raising global data protection standards in the digital age”, che si è tenuta a Tirana (Albania) dal 21 al 24 ottobre scorso. Le oltre 120 Autorità intervenute all’evento annuale hanno lavorato per definire un programma di lavoro comune, che possa rafforzare la protezione dei dati su scala globale. Hanno quindi adottato sei risoluzioni. La “Risoluzione sulla privacy come diritto umano fondamentale e prerequisito per l’esercizio di altri diritti fondamentali”, che ha visto come co-sponsor il Garante italiano, riconosce il ruolo fondamentale di questo diritto per il corretto funzionamento delle democrazie sottoposte, tra l’altro, ai rischi generati dalla profilazione e dall’uso di messaggi manipolatori in campo politico. A tale proposito, è stato chiesto un fattivo intervento anche a governi, legislatori e mondo imprenditoriale. Nella “Risoluzione sul ruolo dell’errore umano nei data breaches” viene messa in evidenza la necessità di un’adeguata formazione del personale, di ulteriori misure per la riduzione del rischio e della costituzione di un archivio globale dove tener traccia delle violazioni. La “Risoluzione sulla promozione di strumenti pratici di breve e lunga durata e una continuativa strategia giuridica per un’efficace cooperazione nell’enforcement transnazionale” propone, tra i vari punti, la mappatura di eventuali impedimenti giuridici riscontrati nelle procedure di cooperazione, così da favorire l’individuazione di apposite soluzioni. La “Risoluzione per supportare e facilitare la cooperazione tra Autorità di protezione dati e le competenti autorità per la tutela dei consumatori e della concorrenza, al fine di raggiungere standard di protezione dati chiari e globalmente elevati nell’economia digitale” amplia lo spettro di azione dei Garanti privacy, chiedendo un coordinamento maggiore con altri importanti regolatori del mercato digitale. La “Risoluzione sui social media e i contenuti online di natura violenta ed estremista” propone misure urgenti contro i messaggi d’odio, senza limitare il diritto di espressione. Nel corso dei lavori è stata adottata anche una risoluzione che delinea il piano d’azione della Conferenza fino al 2021. A tal proposito, è stato deciso di garantire un’organizzazione più strutturata alla rete globale di Autorità privacy (ICDPPC), trasformandola, già a partire dal 15 novembre 2019, in un nuovo organismo permanente, più visibile e operativo, la Global Privacy Assembly (GPA). Il prossimo forum annuale delle Autorità privacy di tutto il mondo si terrà in Messico nel 2020. Fonte: Garante Privacy

by Federprivacy on 28 Novembre 2019 at 9:28 am

  Il Garante privacy ha confermato la decisione dell’Università degli Studi di Firenze di negare ad una persona l’accesso civico generalizzato agli elaborati scritti, ai verbali di correzione e ai curricula dei partecipanti ad un concorso pubblico. La messa a disposizione di tale documentazione avrebbe potuto arrecare un pregiudizio concreto alla tutela dei dati personali dei partecipanti stessi. L’Autorità, in conformità alla normativa vigente alle Linee guida dell’Anac in materia di accesso civico, ha ribadito quanto già precedentemente espresso con numerosi provvedimenti. Tenuto conto che tutti i documenti, le informazioni e i dati oggetto di accesso civico sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli, occorre garantire la tutela dei dati personali in essi contenuti nei casi in cui l’accesso possa arrecare un pregiudizio concreto agli interessati. Nel formulare il suo parere all’Università, il Garante ha ribadito che il curriculum vitae, così come l’elaborato scritto, contiene numerose informazioni delicate che non sempre si desidera portare a conoscenza di chiunque e che meritano dunque un’opportuna riservatezza. Si tratta infatti di informazioni personali, non unicamente legate al percorso di studi, come l’adesione ad associazioni, e che possono anche rivelare opinioni di tipo politico o convinzioni filosofiche e religiose. L’Autorità ha chiarito che risulta impossibile accordare anche solo un accesso parziale in quanto la presenza nei curricula di dati e informazioni dettagliate degli interessati rende particolarmente difficile, se non impossibile, l’anonimizzazione del documento, mentre il fatto che l’elaborato scritto sia redatto di proprio pugno può rendere possibile la re-identificazione a posteriori del candidato. Non consentendo l’accesso civico ai curricula e agli elaborati scritti si deve negare l’accesso civico anche ai loro verbali di correzione. Il Garante ha evidenziato come, nel caso specifico, non siano stati coinvolti i soggetti controinteressati che, se individuati dall’amministrazione cui è indirizzata la richiesta di accesso, devono essere informati per consentire loro, eventualmente, di presentare una motivata opposizione entro dieci giorni dalla ricezione della comunicazione. L’Autorità ha precisato infine che resta in ogni caso salva per il richiedente la possibilità di accedere alla predetta documentazione avvalendosi della legge 241 del 1990, laddove dimostri l’esistenza di “un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”. Fonte: Garante Privacy

by Federprivacy on 28 Novembre 2019 at 9:19 am

  Sì del Garante per la privacy al regolamento che disciplina il cosiddetto “Bonus cultura” per i ragazzi che compiono 18 anni nel 2019. Nel complesso, lo schema di decreto, predisposto dal Mibact di concerto con il Mef, conferma i contenuti e le modalità già stabiliti per l’erogazione del beneficio negli anni passati.  In particolare, è previsto che la “Carta elettronica”, del valore di 500 euro, venga realizzata in forma di app e sia utilizzabile da tutti i diciottenni residenti nel territorio nazionale, compresi quelli in possesso, ove previsto, di un permesso di soggiorno valido. I ragazzi dovranno registrarsi sull'apposito sito web con le proprie credenziali Spid. Attraverso la Carta il diciottenne potrà generare, sulla piattaforma “18app”, voucher di spesa, individuali e nominativi, per l’acquisto di libri, corsi di lingua, biglietti per musei, cinema, teatri. I voucher saranno accettati dalle strutture e dagli esercizi commerciali registrati nella medesima piattaforma. Dopo l’emissione delle fatture elettroniche Consap spa provvederà, previo riscontro, alla loro liquidazione. Nel dare il via libera al regolamento, l’Autorità ha espresso alcune osservazioni per rendere le disposizioni pienamente conformi alla normativa europea e nazionale sulla protezione dei dati. La novità, introdotta dallo schema di regolamento, prevede che, ad ogni transazione, sia acquisito e memorizzato l’indirizzo email indicato dal diciottenne al momento della creazione dell’identità digitale tramite Spid. Poiché la specifica finalità di Spid è quella di consentire la verifica dell’identità dell’utente, l’Autorità suggerisce al Mibact di valutare se non sia preferibile permettere al ragazzo, considerata la diversa finalità, di indicare un altro indirizzo e-mail per ricevere le comunicazioni relative alla carta elettronica. A parere del Garante, sarebbe opportuno, inoltre, adeguare lo schema al nuovo quadro giuridico europeo, prevedendo che il Ministero provveda, ai sensi della normativa sulla privacy, a definire gli obblighi e le responsabilità reciproche tra l’Amministrazione e i soggetti coinvolti (Sogei e Consap). Per quanto riguarda, infine, l’articolo del regolamento relativo al trattamento dei dati che demanda al Mibact la disciplina delle modalità e dei tempi della gestione e conservazione dei dati personali, il Garante resta in attesa di ricevere gli schemi dei provvedimenti attuativi sui quali esprimere il proprio parere di competenza. Fonte: Garante Privacy

by Federprivacy on 22 Novembre 2019 at 2:39 pm

  Nel corso della sua 15esima sessione plenaria (12-13 novembre 2019), il Comitato Europeo per la Protezione dei Dati (European Data Protection Board - EDPB) ha adottato la versione definitiva delle linee-guida sull'ambito territoriale, precedentemente sottoposte a consultazione pubblica. Le linee-guida forniscono chiarimenti sull'applicazione del Regolamento Ue 2016/679 in varie situazioni, ad esempio nel caso in cui il titolare o il responsabile del trattamento sia stabilito al di fuori del SEE, anche per quanto riguarda la designazione e il ruolo di un rappresentante ai sensi dell'articolo 27 del Regolamento stesso. Il documento fornisce inoltre una serie di esempi volti a chiarire l’ambito di applicazione della disciplina di protezione dei dati tanto nel caso in cui venga in rilievo l’art. 3.1 (criterio dello stabilimento sul territorio) che l’art. 3.2 (criterio del targeting), oppure l’applicazione dell’art. 3.3 (criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico). Fonte: Garante Privacy

by Federprivacy on 15 Novembre 2019 at 6:27 am

  Aperte le candidature per partecipare alla seconda edizione del Premio in onore e alla memoria del grande giurista Stefano Rodotà, istituito dal Comitato della Convenzione 108 del 1981 del Consiglio d’Europa. Il Premio, destinato a ricercatori e studenti, punta a valorizzare e a dare visibilità a progetti di ricerca innovativi e originali nel campo della protezione dei dati personali, sviluppati in ambito universitario. L’iniziativa del Comitato - di cui è presidente una rappresentante del Garante italiano - nasce con l’intento di far progredire la riflessione sulle tematiche legate alla privacy, in particolare nel mondo digitale. Nella prima edizione erano state premiate una ricercatrice e una professoressa dell’Università di Ghent, per un progetto dedicato alla protezione della privacy dei bambini. Una menzione speciale era stata attribuita a un ricercatore dell’Institute for Information Law (IViR) di Amsterdam, per uno studio sul diritto all’oblio. Il premio di questa seconda edizione verrà assegnato il 28 gennaio 2020 in occasione della Giornata Europea della protezione dei dati personali. Il vincitore avrà l’onore di presentare il proprio progetto alla prossima riunione plenaria del Comitato della Convenzione 108, che si terrà a Strasburgo dal 1 al 3 luglio 2020. Le modalità per candidarsi al Premio Rodotà - aperto a ricercatori, inclusi quelli italiani, provenienti da tutti i paesi che partecipano ai lavori del Comitato - sono disponibili sul sito del Consiglio d’Europa. Le domande di partecipazione dovranno essere presentate in lingua inglese o francese entro il 18 dicembre 2019. Fonte: Garante Privacy

by Federprivacy on 13 Novembre 2019 at 5:35 am

  I controlli anonimi dell'Agenzia delle entrate violano la privacy. La pseudonimizzazione (oscuramento temporaneo dei dati) non fornisce garanzie e chi sarà sottoposto a controlli generati dall'algoritmo anonimo non ha il diritto di rettifica. Antonello Soro, garante della privacy chiede al governo la riscrittura dell'articolo 86 della legge di Bilancio che dà ampi poteri al fisco in nome della lotta all'evasione. Senza una riscrittura, con la previsione di paletti e garanzie per i contribuenti, la norma, dice in sintesi il Garante, nella memoria depositata ieri in commissione bilancio del Senato, è in palese violazione con il regolamento privacy. Il Garante non si limita, però, a puntare il dito ma a fornire le tre condizioni sulle quali riscrivere la disposizione: elencazione dei trattamenti rispetto ai quali si preveda la possibilità di limitare l'esercizio dei diritti, l'elenco dei diritti oggetto di limitazione e l'esercizio di rettifica da parte dell'interessato. Analisi rischio e contrasto all'evasione fiscale - Il Garante ricorda al legislatore che l'interconnessione delle banche dati richiesta come necessaria conseguenza dei controlli anonimi fiscali (pseudonimizzazione) esiste, e dal 2011. Sul riferimento di limitazione dei diritti degli interessati, in nome del contrasto all'evasione, nel parere si richiede di introdurre «misure adeguate a tutela dei diritti e delle libertà degli interessati». Questo principio nella scrittura della norma, secondo il parere puo' esprimersi attraverso la previsione di misure di sicurezza, controlli sulla qualità dei dati e sulle elaborazioni logiche nonché cautele relative al trattamento automatizzato «così da ridurre i rischi per gli interessati, con particolare riguardo ad erronee rappresentazioni della capacità contributiva». In buona sostanza, se è vero che per la lotta all'evasione si chiede di ricorrere a pseudonimizzare i dati dei contribuenti è pur vero, fa notare il garante, che quell'anonimato è temporaneo, non perde la qualifica di dato personale e poi i «miliardi di informazioni di dettaglio relative a ogni aspetto della vita privata di tutta la popolazione» non sono al riparo da vulnerabilità. Lo pseudonimo, in luogo del codice fiscale, rende, fa notare il Garante, comunque identificabile il contribuente e poi «l'individuazione delle posizioni da sottoporre a controllo e incentivare l'adempimento spontaneo sono di per sé volte all'identificazione del contribuente», insomma un serpente che si morderebbe la coda. Limitazione dei diritti dell'interessato - La disposizione non sembra introdurre, secondo il garante, elementi di reale utilità rispetto all'azione di contrasto dell'evasione fiscale. La previsione dell'articolo 86 è una generica limitazione dei diritti esercitabili dal cittadino. Di più: «Precludere (o anche solo limitare) l'esercizio, direttamente da parte degli interessati, del diritto di rettificare dati inesatti, rischia di ostacolare la rilevazione di errori nelle valutazioni prodromiche alle verifiche fiscali, che rischiano di determinare una falsa rappresentazione della capacità contributiva, deviando dunque e depotenziando l'efficacia dell'azione di contrasto dell'evasione fiscale». Rientra nelle casistiche di illegittimità, per il Garante, anche la limitazione del diritto di richiedere la cancellazione di dati, illegittimamente acquisiti. Il rischio, avverte Soro, è di esporre l'amministrazione «a ingenti richiesti risarcitorie oltre che a sanzioni amministrative rilevanti». Ecco dunque la proposta di prevedere con la legge casi e presupposti che consentano di ravvisare quello che in gergo tecnico è chiamato pregiudizio effettivo e concreto. Per il garante, insomma, è necessario disciplinare le categorie dei dati coinvolti, le garanzie per prevenire i vari tipi di illeciti e i rischi per i diritti e le libertà. Se non si dovesse procedere in questa direzione, conclude Soro, si profilerebbe un'incompatiblità con la disciplina europea in materia di privacy che «renderebbe la norma di per sé illegittima». L'articolo 86 - L'Agenzia delle entrate, previa pseudonimizzazione dei dati personali si avvale delle tecnologie e delle interconnessioni con le altre banche dati di cui dispone allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo ed incentivare l'adempimento spontaneo. In nome della lotta all'evasione, equiparata a materie di rilevanza nazionale come la difesa, si chiede poi la deroga alla normativa privacy. Fonte: Italia Oggi del 13 novembre 2019