All posts by OdisseoPrivacy

Garante Privacy: no a conservazione contenuto SMS inviati dai propri clienti

Flash NewsMercoledì, 15 Marzo 2023 10:20 Il Garante privacy ha sanzionato una società di servizi di messaggistica con una multa di 80mila euro per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250utenze). Alla società sono state inoltre contestate altre condotte illecite relative in particolare alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode. L’Autorità, nel corso degli accertamenti ispettivi avviati a seguito di una segnalazione e di un reclamo, ha rilevato che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito. […]

Dopo 5 anni di GDPR la compliance sulla privacy è ancora considerata una burocrazia

Flash NewsGiovedì, 16 Marzo 2023 06:29 Il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico. Il caso della multa da mezzo milione di euro alla società di e-commerce che aveva nominato un DPO in conflitto d’interessi. Bernardi: “Con applicazioni fuorvianti del GDPR ci sono imprese di pulizia che sono state nominate responsabili del trattamento solo perché i loro addetti vedono informazioni aziendali quando svuotano i cestini dei rifiuti”. Paola Casaccino: “Spesso le società sanzionate si erano affidate a consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza. Necessario passare dalla teoria alla pratica”. Firenze, 16 marzo 2023 – A cinque anni dall’introduzione del GDPR sono […]

Corte di Giustizia UE: le persone hanno il diritto di sapere a chi vengono comunicati i loro dati

Flash NewsDomenica, 15 Gennaio 2023 12:47 Ogni persona ha il diritto di sapere a chi vengono comunicati i propri dati personali. Lo ha affermato il 12 gennaio 2023 la Corte di giustizia dell’Ue con la sentenza nella Causa C-154/21, aggiungendo che il titolare del trattamento può tuttavia limitarsi a indicare le categorie di destinatari qualora sia impossibile identificare questi ultimi, o nel caso la richiesta sia manifestamente infondata o eccessiva. Con una seconda decisione adottata sempre lo scorso 12 gennaio nella Causa C-132/21, i giudici della Corte UE hanno inoltre affermato che il ricorso amministrativo e il ricorso civile previsti dal GDPR possono essere esercitati in modo concorrente e indipendente. […]

Registro dei trattamenti: indicare le basi giuridiche migliora l’accountability del titolare

Primo PianoDomenica, 15 Gennaio 2023 18:08 Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati. Avendo specifico riguardo al […]

Misure di sicurezza per la mitigazione degli effetti in caso d’emergenza: le barriere a protezione dei dati

SpecialiDomenica, 15 Gennaio 2023 18:35 La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale. Il contesto in cui agiscono le barriere – Le barriere servono a proteggere i dati minacciati dagli […]

Basta la sigla ‘104’ per violare la privacy del lavoratore fruitore di permessi per persone disabili

SpecialiMartedì, 25 Ottobre 2022 07:57 Attenzione a numeri e sigle. Se solo richiamano aspetti sanitari, sono di per se stessi dati sanitari. Anche se non abbinati a una determinata persona. Lo ha imparato a proprie spese un liceo scientifico, colpevole di avere pubblicato sul sito internet un elenco del personale fruitore di permessi previsti dalla legge 104/1992 (legge-quadro per l’assistenza delle persone handicappate). Mera indicazione della cifra «104», errore umano della diffusione e natura riservata della pagina del sito non sono valse a evitare l’ingiunzione del Garante della privacy di pagamento di 4 mila euro (provvedimento n. 290 del 1° settembre 2022). Il fatto ha riguardato la pubblicazione sul portale […]

Basta un solo ‘NO’ alle chiamate indesiderate per revocare il consenso a tutti gli operatori telefonici

Privacy & SocietàSabato, 29 Ottobre 2022 09:15 Con un solo “no” fuori da tutti gli elenchi telefonici e possibilmente dai motori di ricerca su internet. È quanto prevede il Gdpr (regolamento Ue sulla privacy n. 2016/679), come interpretato dalla Corte di Giustizia Ue nella sentenza del 27/10/2022, resa nella causa C-129/21. Se una persona revoca il consenso alla pubblicazione e scambio delle numerazioni dato a una società di telefonia che compila elenchi telefonici, dunque, quest’ultima deve informare altri operatori omologhi, con cui, sulla base di quel consenso, condivide le numerazioni telefoniche. Inoltre, chi riceve la revoca del consenso deve anche informare i motori di ricerca in Internet della predetta richiesta di […]

Pubblicato in Gazzetta Ufficiale il Digital Services Act, sei mesi di tempo per adeguarsi

Flash NewsSabato, 29 Ottobre 2022 11:55 Dopo l’accordo raggiunto la scorsa primavera tra le istituzioni europee, il Regolamento UE 2022/206 (Digital Services Act) è stato pubblicato sulla Gazzetta ufficiale dell’UE del 27 ottobre 2022, con sei mesi di tempo per adeguarsi e sanzioni fino al 10% del fatturato per le organizzazioni rientranti negli obblighi che non rispetteranno le regole. In base al Digital Services Act, che insieme al Digital Market Act (DMA) già pubblicato di recente costituisce il Digital Services Act Package presentato dalla Commissione fin dal 15 dicembre 2020 con lo scopo di costruire nuove regole per l’economia digitale, le piattaforme online come i social media e i siti di e-commerce, dovranno adeguarsi […]

Serietà del danno e gravità della lesione nell’illecito trattamento dei dati personali

SpecialiMartedì, 18 Ottobre 2022 08:39 In data 6 ottobre 2022 l’Avvocato Generale presso la Corte di Giustizia europea ha presentato le proprie conclusioni nella causa C-300/21, avente ad oggetto la risarcibilità dei danni non patrimoniali in conseguenza ad una violazione del diritto alla protezione dei dati personali. La vicenda ha origine in Austria, dove una società editrice aveva raccolto dati personali sulle preferenze politiche di una parte di cittadini. In particolare, tramite un algoritmo, essa individuava gli indirizzi di gruppi di destinatari della pubblicità elettorale dei partiti stessi. Uno degli interessati destinatari delle comunicazioni ricorreva in Tribunale dolendosi di non aver prestato il consenso al trattamento dei propri dati, chiedendo un […]

La ripetibilità della valutazione del rischio nell’ambito della protezione dei dati personali

SpecialiMartedì, 18 Ottobre 2022 10:04 Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. Affinché una valutazione del rischio, nel suo complesso, possa essere considerata di buona qualità, deve possedere diverse caratteristiche; tra queste la “ripetibilità”, ovvero garantire che la valutazione, effettuate da soggetti diversi e/o in tempi diversi, (purché in relazione al medesimo contesto), dia risultati simili e confrontabili. Questo concetto è chiaramente esplicitato dalla ISO/IEC 27001:2013 (ma è mantenuto anche nella ISO/IEC 27001:2022 di prossima pubblicazione); al requisito 6.1.2 “Valutazione del rischio relativo alla sicurezza delle informazioni”, infatti, recita: “…assicuri che ripetute valutazioni […]