Cybercrime: +138% gli attacchi informatici rilevati nel 2022
Le tensioni geopolitiche connesse al conflitto in Ucraina mettono sempre più a rischio la sicurezza cibernetica: nel 2022 sono stati infatti 12.947 gli attacchi rilevati contro infrastrutture critiche, istituzioni, aziende e privati, ovvero il 138% in più rispetto ai 5.434 dell’anno precedente. È quanto emerge dal report annuale del Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) della Polizia postale. Le campagne massive in corso a livello internazionale riguardano attività di phishing, diffusione di malware distruttivi, campagne di disinformazione e leak di database, e tra le infrastrutture critiche prese di mira dai cybercriminali vi sono sistemi finanziari e aziende operanti in settori strategici quali comunicazione e difesa. Il rapporto registra soprattutto attacchi di tipo Atp (Advanced persistent threat), ed anche una recrudescenza nell’attività di attori ostili, connotati per l’esecuzione di attacchi ransomware volti a paralizzare servizi e sistemi critici mediante la cifratura dei dati contenuti, e campagne DDoS con l’obiettivo di sabotare la
Google deve pagare un maxi risarcimento da 392 milioni di dollari per aver ingannato gli utenti sulla geolocalizzazione
Era stato accusato di aver ingannato gli utenti sulla privacy inducendoli a pensare erroneamente che per disattivare il rilevamento della loro posizione bastasse disattivare la funzione nelle impostazioni del proprio account, quando invece Google continuava a geolocalizzarli raccogliendo questo tipo di informazioni. E adesso il colosso tecnologico della Silicon Valley dovrà pagare un maxi risarcimento di 392 milioni di dollari. Come riporta il New York Times, a seguito di un'indagine durata quattro anni, adesso Google ha infatti concordato il risarcimento record con una coalizione di procuratori generali di 40 stati americani, assumendosi anche l’impegno di rendere finalmente più chiare le informazioni sul tracciamento della posizione a partire dal 2023. Da tempo le associazioni per la tutela della privacy dei consumatori protestavano sul fatto che il rilevamento dei dati sulla geolocalizzazione degli utenti persistesse anche dopo la disattivazione della funzione e potesse rivelare la loro identità benché le aziende tecnologiche affermassero che invece
Regolamento aziendale sull’uso degli strumenti di lavoro e codice disciplinare
Il proposito di questo articolo è precisare la relazione tra il regolamento interno (aziendale) che abbia ad oggetto l'uso di beni e strumenti di lavoro (ed il controllo a distanza, se del caso), da un lato, e il codice disciplinare, dall'altro. La fissazione da parte datoriale di regole mirate a stabilire limiti e modalità d'uso di beni/strumenti in dotazione ai lavoratori per lo svolgimento delle mansioni è cruciale rispetto agli obiettivi di efficienza e di sicurezza delle attività, ovviamente anche di trattamento dei dati personali. D'altro canto, l'adozione del regolamento è elemento di garanzia per i lavoratori stessi, i quali potranno confidare nella correttezza delle condotte che siano conformi alle prescrizioni in esso contenute. Insomma, i limiti formalizzati nel regolamento saranno tali, specularmente, anche per il datore. Alla disciplina dell'utilizzo di beni/strumenti aziendali debbono essere associate, ove ne ricorrano i presupposti, le informative agli interessati sulle modalità dei controlli a distanza, assieme
Il Garante della Privacy multa Vodafone: il call center deve dare informazioni comprensibili
No a messaggi incomprensibili e a contatti promozionali indesiderati per spingere gli utenti telefonici, specialmente gli anziani, a sottoscrivere nuovi contratti. Lo ha ribadito il Garante privacy che ha sanzionato per 500 mila euro Vodafone Italia in seguito al reclamo presentato da una signora ultraottantenne, che si era vista trasferire, contro la sua volontà, la propria utenza telefonica da un altro operatore a Vodafone stessa. La società dovrà inoltre controllare il corretto operato dei call center esterni utilizzati per campagne di telemarketing, in particolare nel momento dell’acquisizione del consenso per finalità pubblicitarie e nella registrazione vocale dei contratti. Nel corso dell’istruttoria del Garante, la società si era difesa affermando che l’anziana utente aveva volontariamente contattato un call center albanese per farsi proporre un contratto alternativo e che la stessa aveva poi confermato di voler sottoscrivere il nuovo contratto direttamente al telefono tramite i cosiddetti “vocal order”. L’Autorità, riascoltando la registrazione del colloquio con il call
Un italiano su tre non si fida più di come le aziende trattano i dati personali dopo la pandemia
Una popolazione informata e preoccupata. Questa è la fotografia che emerge sul sentiment degli italiani in materia di privacy e di trattamento dei dati personali e soprattutto sensibili, condivisi negli anni 2020 e 2021, quando a causa dell’emergenza pandemica, c’è stata la grande diffusione dello smart working. A rivelarlo è la ricerca di OpenText, azienda che si occupa di soluzioni e software di enterprise information management, condotta da 3Gem a marzo 2022 su un campione di 27.000 consumatori distribuiti tra Italia, Regno Unito, Stati Uniti, Germania, Spagna, Francia, Australia, Canada, Singapore, India, Brasile e Giappone. Dalle risposte delle 2.000 persone intervistate in Italia, viene fuori una generale mancanza di fiducia nei metodi di gestione dei dati sensibili da parte delle aziende, unita a una scarsa conoscenza dei dati stessi e dei fini per cui vengono archiviati. Con il nuovo modello di lavoro ibrido che continua a prevedere una parte in smart
Il 98% dei siti web non tiene conto dei diritti privacy degli utenti svantaggiati
Il GDPR richiede che tutti gli interessati debbano essere informati in modo facilmente accessibile su come vengono trattati i loro dati personali, ma la maggioranza dei siti italiani tralascia le categorie svantaggiate. Solamente nell’1,3% dei casi i contenuti delle informative privacy sono messi a disposizione sotto forma di video, audio, icone ed altre modalità alternative per agevolare i meno fortunati. Lo studio su 400 siti condotto dal Gruppo di Lavoro di Federprivacy, che ha stilato anche un vademecum per supportare gli addetti ai lavori nel mettere a punto siti web più inclusivi Firenze, 24 novembre 2022 – Il Regolamento europeo sulla protezione dei dati personali richiede che gli utenti che visitano un sito web possano consultare la relativa informativa sulla privacy in modo “facilmente accessibile”, e il considerando 59 dello stesso GDPR incoraggia i titolari del trattamento a prevedere modalità volte ad agevolare l'esercizio dei diritti che la normativa riconosce agli interessati,
Google viola il Codice della Privacy ma non deve risarcire la moglie adulterina scoperta dal marito grazie a Street View
Google non deve risarcire la moglie adulterina costretta a confessare l’esistenza di un amante, cedendo alle pressioni del marito, che aveva visto la sua auto in una via “insolita” grazie a Google Maps. L’auto era infatti stata ripresa, senza targa oscurata con la funzione Street View, in assenza di qualunque avvertenza che su quella strada si stavano facendo delle riprese fotografiche. La donna aveva dunque chiamato in giudizio Google Italy, al quale attribuiva la fine del suo matrimonio. Ma per i giudici manca la prova che l’unione sia naufragata per colpa di Google. La Cassazione, con la sentenza 27224/2022 bolla come inammissibile il ricorso della signora. Nonostante l’azienda americana avesse effettivamente violato il Codice della Privacy omettendo di oscurare la targa dell’auto come avrebbe dovuto fare, si deve comunque dimostrare che il marito "si fosse accorto del parcheggio sospetto consultando Google Maps e che da tale scoperta fossero derivate poi le conseguenze descritte dalla
Il ruolo per i sindacati nell’assetto della privacy nelle aziende
Il Regolamento UE 2016/679 (GDPR) da tempo è entrato nella vita di chi vive in Europa (UE e SEE) e, sebbene alcuni facciano ancora difficoltà a comprenderne la portata di diritto di cittadinanza, tutti in genere vi poniamo più attenzione, sia nella veste di interessati, sia nella veste di attori nella gestione della privacy in organizzazioni del settore pubblico e privato. Quello che si intende qui iniziare ad approfondire è il ruolo che possono avere le organizzazioni sindacali con riguardo alla privacy. Non ci sono molte previsioni normative o di soft law che attengano a tale aspetto. Quelle che subito vengono in mente sono: - l’indicazione che il Garante fa in una delle Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato, laddove menziona espressamente i sindacati fra i titolari che sono tenuta alla nomina del RPD; - il D.Lgs. 104/2022 (Decreto Trasparenza) di recepimento della Direttiva (UE) 2019/1152, “relativa a condizioni
L’European Data Protection Board approva la certificazione di Europrivacy
Il 12 Ottobre l’European Data Protection Board ha adottato un proprio parere per l'approvazione dei criteri di certificazione di Europrivacy, organismo di certificazione lussemburghese. A distanza di oltre quattro anni dell’introduzione del GDPR, questo parere segna quindi l'approvazione del primo sigillo europeo sulla protezione dei dati da parte del Comitato Europeo per la Protezione dei Dati ai sensi dell'art. 42 (5) del Regolamento UE. Il meccanismo di certificazione di Europrivacy è uno schema generale che si rivolge a un'ampia gamma di diverse operazioni di trattamento eseguite sia dai titolari del trattamento che dai responsabili del trattamento di vari settori. Lo schema include criteri specifici che lo rendono scalabile e applicabile a specifiche operazioni di trattamento o settori di attività. Questa approvazione è un altro passo verso una maggiore conformità al GDPR. La certificazione con il sigillo di protezione dei dati ha validità in tutti i 27 stati membri dell'Unione Europea, e potrà consentire a molti titolari
L’investigatore privato deve rispettare il principio di minimizzazione del GDPR
Come noto i dati personali di natura sensibile possono essere trattati in presenza di idonee basi giuridiche. Inoltre, è dovere del titolare del trattamento omettere informazioni di dettaglio eccedenti la finalità della raccolta. In questi termini l’Autorità Garante ha ammonito una agenzia di investigazione privata che, incaricata di verificare la correttezza della condotta di una lavoratrice in merito alla fruizione di permessi retribuiti giustificati dalle condizioni di salute della madre, ha riportato nel rapporto investigativo l’indicazione della specifica malattia di cui presumibilmente quest’ultima era affetta. La vicenda è stata portata all’attenzione del Garante con un reclamo presentato dall’interessata ai sensi dell’art. 77 del GDPR. L’attività di investigazione privata, autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni) è, di per sé, lecita, ma deve essere esercitata nel rispetto delle norme che la disciplinano e delle disposizioni in materia di protezione dei dati