Migliaia di moduli online con il ‘trucco’: raccolgono i vostri dati anche se non finite di compilarli
Più che una scoperta è una conferma, ma una di quelle conferme che sarebbe stato meglio non avere. L’hanno fatta i ricercatori di tre università, una olandese, l’altra belga e l’ultima svizzera: online che noi si clicchi o non si clicchi sul pulsante “invio” dopo aver iniziato a compilare un modulo, chi sta dall’altra parte raccoglie comunque i nostri dati e li usa o fa usare per far pubblicità. Ovviamente non è sempre così, verrebbe da aggiungere per fortuna ma il fenomeno ha, comunque, dimensioni vastissime e riguarda grandi e piccoli fornitori di servizi digitali e non digitali in molti casi insospettabili e dai quali ci si aspetterebbe maggiore attenzione alla privacy di utenti e consumatori. I ricercatori hanno analizzato quasi tre milioni di pagine web relative a circa centomila siti internet diversi e scoperto che quando un utente inizia a compilare un modulo online dall’Europa, in quasi duemila casi, anche se
Attacco hacker al sistema informatico degli ospedali Fatebenefratelli-Sacco: cartelle cliniche criptate da un ransomware
Un attacco hacker ai "servizi di base dell'infrastruttura" ha colpito l'intero sistema gestionale del pronto soccorso degli ospedali Fatebenefratelli e Sacco (anche le sedi Buzzi, Melloni e le altre 33 territoriali). Fuori uso sono anche il sito dell'Azienda socio sanitaria territoriale. La conferma di un "attacco ai sistemi informatici" è arrivata in mattinata dalla Regione Lombardia. Negli ospedali, nel frattempo, sono arrivati i servizi di sicurezza informatica delle Aziende socio-sanitarie territoriali, gli specialisti di Aria (l'Azienda regionale per l'innovazione e gli acquisti) e la polizia postale. Almeno fino al 3 maggio, gli ingressi dei pazienti saranno limitati e la sola modulistica accettata sarà quella cartacea. Come comunicato dalla Regione sul proprio sito istituzionale, si tratta di un'interruzione dei servizi "a protezione dell'intera infrastruttura e protezione dei dati", e “tutti gli specialisti competenti stanno operando per tentare un ripristino dei sistemi che, tuttavia, stante l’entità, la portata e l’estensione, non ha al momento
Videosorveglianza, solo l’8% delle telecamere sono segnalate da un regolare cartello
Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali. Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il via libera per accedere ai contributi economici dovranno affrettarsi a preparare i relativi progetti tecnici esecutivi in linea con tutte le prescrizioni delle leggi vigenti. Tra le normative da rispettare, i comuni dovranno prestare particolare attenzione a quelle riguardanti la tutela della privacy e la protezione dei dati
Sanzione per Informativa privacy formulata in maniera approssimativa e clienti profilati senza consenso.
Due sanzioni di 2 milioni e 120mila euro ciascuna sono state comminate dal Garante privacy a Uber B.V. (UBV), con sede legale ad Amsterdam, e a Uber Technologies Inc (UTI), con sede legale a San Francisco, ritenute entrambe responsabili delle violazioni commesse nei confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri. Informativa inidonea, dati trattati senza consenso, mancata notificazione all’Autorità sono le violazioni riscontrate dal Garante nel corso di accertamenti ispettivi effettuati presso Uber Italy srl a seguito di un data breach reso pubblico dalla capofila statunitense nel 2017. L’incidente di sicurezza, avvenuto prima della piena applicazione del Regolamento europeo (Gdpr), aveva coinvolto i dati di circa 57 milioni di utenti di tutto il mondo, ed era stato sanzionato dall’Autorità privacy olandese e da quella inglese sulla base delle rispettive normative nazionali. Le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto (nome,
Data Breach: alcune considerazioni sulla procedura
Il considerando 88 del GDPR richiede almeno una procedura per la notifica della violazione dei dati personali. Tale richiesta, in una logica sistemica, deve considerare da un lato tutto il processo di gestione di un evento di Data Breach e non solo la gestione del singolo evento, e dall’altro non solo le situazioni di Data Breach ma anche quelle di potenziale evento che mina la sicurezza delle informazioni.A tal riguardo è evidente, anche alla luce delle definizioni, che gli eventi che minano o potenzialmente potrebbero minare la sicurezza delle informazioni, formano un insieme ben più ampio di quelli considerati come Data Breach, in altri termini un Data Breach è un particolare tipo di evento sulla sicurezza delle informazioni. La maggior parte delle procedure disponibili sul Data Breach tratta, spesso in modo egregio, del singolo evento. Ovvero documenta: tempi, modalità e responsabilità per la gestione di un evento di Data Breach tenendo conto
Aggiornamento NextWare Pro 2.9.9.6
Rilasciato il nuovo aggiornamento del NextwarePro, il sistema di gestione sviluppato per il Non Profit e con il Non Profit. Calcolo ritenuta d’acconto Da questa release è possibile indicare la percentuale da applicare sul compenso per determinare la base di calcolo della ritenuta d’acconto. Stampa ricevute donazioni E’ stata implementata la possibilità di stampare la lettera di ringraziamento contestualmente alla ricevuta. Chiusura e riapertura cassa e banca E’ stata implementata la procedura di chiusura dei conti di cassa e banca specifica per coloro che utilizzano la contabilità di cassa. NextWarePro 2.9.9.6
Criteri di valutazione dinamica del responsabile del trattamento
I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo l’art. 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo; questo articolo tratta delle modalità attraverso le quali il Titolare del trattamento può effettuare quest’ultimo tipo di valutazione. Aspetti generali della valutazione dei Responsabili del trattamento - Incaricando un “Responsabile del trattamento”, lo si autorizza a trattare una serie di dati che possono appartenere al Titolare o ad un Titolare diverso da quello che contrattualizza il rapporto con il Responsabile, configurandosi così il caso di affidamento ad un sub-Responsabile. Il Titolare deve quindi assicurarsi della capacità del suo fornitore di adempire a quanto previsto contrattualmente. Oltre alla valutazione iniziale, deve essere effettuata la valutazione cosiddetta “dinamica – ad intervalli”, che deve anche essere aggiornata ogni qualvolta si verifichi un evento, come ad esempio un data breach, che
Il Modello Organizzativo Privacy come misura di accountability per la compliance al Gdpr
Frequentemente viene citato, come misura di accountability, il “MOP”, acronimo di “Modello Organizzativo Privacy”, che alcuni indicano anche come “Manuale Operativo Privacy”. Si tratta di un documento che ha la finalità primaria di dare evidenza delle azioni poste in atto da un’organizzazione per far fronte agli adempimenti in materia di protezione dei dati. In realtà tale documento potrebbe avere scopi ben più ampi, come viene illustrato nell’articolo. Il Modello Organizzativo Privacy - La finalità primaria del MOP è quella di condensare in un unico testo, a favore di tutte le parti interessate, una serie di documenti che altrimenti potrebbe essere difficile inventariare e tenere sotto controllo, in particolare per realtà a complessità medio- alta, nelle quali la documentazione afferente alla protezione dei dati tende a proliferare. Il MOP contiene o fa riferimento a procedure, istruzioni, modelli ed altri documenti che l’organizzazione potrebbe aver predisposto per dare evidenza della applicazione della normativa. Ciò in
L’esercizio dei diritti in materia di protezione dei dati personali tra formalismo e sostanza
La possibilità di esercitare i propri diritti è sempre stato un nodo centrale per il corretto svolgimento della vita sociale. L’impossibilità o la difficoltà di accedere a quello che l’ordinamento ci assicura come una nostra prerogativa, è invero causa di profonda frustrazione. La materia del trattamento dei dati personali non fa ovviamente eccezione e ce ne rendiamo conto ogni volta che un contact center illegale ci telefona e non riusciamo ad ottenere nulla dall’operatore con cui parliamo, né a rintracciare la fonte della telefonata. Ma, come diceva qualcuno, il telemarketing è solo la puntura di spillo in un campo sterminato di situazioni in cui l’orecchio di chi dovrebbe ascoltare la nostra istanza è lontano e spesso difficile da raggiungere. Le Linee Guida 01/2022 sui diritti degli interessati – diritto di accesso dello EDPB, ancora in consultazione, hanno chiarito che i titolari devono agevolare l’esercizio dei diritti degli interessati – o di coloro che,
Dati sull’HIV e altre informazioni sulla salute diffuse online.
Quasi mezzo milione di pazienti avevano visto svanire in un attimo tutte le speranze di mantenere la privacy sul proprio stato di salute con le proprie informazioni mediche che erano state diffuse su internet, tra cui dati particolarmente delicati su sieropositività Hiv, tumori, malattie genetiche, gravidanze, e anche trattamenti farmacologici e dati genetici, in un massivo data breach che aveva coinvolto la Dedalus nel febbraio 2021. A distanza di circa un anno, arriva una sanzione da 1,5 milioni di euro per la nota società informatica che è il principale fornitore di software sanitari e diagnostici in Europa e uno dei maggiori nel mondo. Fin dall’inizio, il garante della privacy francese (Commission Nationale de l'Informatique et des Libertés) era intervenuto per indagare sull’accaduto effettuando vari controlli, e facendo anche bloccare l'accesso al sito su cui erano stati pubblicati i dati trapelati per cercare di limitare le conseguenze per le persone coinvolte. Tra le varie violazioni