Per accedere alle Videoguide e alla documentazione in PDF scaricabile è necessario accedere con i dati forniti in fase di registrazione dal nostro staff.

La Francia multa Amazon per 32 milioni di euro per il “monitoraggio eccessivamente invasivo del personale del magazzino”. La sanzione è stata emessa il 27 dicembre scorso e pubblicata pochi giorni fa dalla Commissione nazionale dell’informatica e delle libertà (CNIL), l’autorità francese incaricata di assicurare la tutela dei dati personali in Francia. Secondo la CNIL, Amazon France Logistique esercitava un “eccessivo controllo delle performance” nella raccolta dei dati. Il monitoraggio dei dipendenti portava alla violazione delle norme sulla privacy dell’Unione Europea. In particolare, il controllo poteva determinare se il pacco veniva scansionato troppo velocemente (in meno di 1,25 secondi), il numero di volte in cui lo scanner rimaneva inattivo per più di 10 minuti, il tempo passato fra il momento in cui un lavoratore timbrava il cartellino all’inizio del turno e il primo pacco scansionato. Il sistema era utilizzato, quindi, per misurare la produttività dei dipendenti, gestire l’attività e raggiungere obiettivi prestazionali, ma questo viola

Nuovo intervento del Garante Privacy a tutela dei consumatori contro le telefonate indesiderate. L’Autorità ha irrogato una sanzione di 60mila euro ad un call center operante nel settore dei contratti di energia elettrica per trattamento illecito di dati personali. La società aveva già ricevuto una sanzione di 10mila euro per non aver risposto alla richiesta di informazioni dell’Autorità, che si era attivata dopo il reclamo di un utente che lamentava di aver ricevuto telefonate promozionali senza consenso. Dopo la sanzione per il mancato riscontro, l’Autorità ha avviato un accertamento ispettivo per verificare la liceità dei trattamenti effettuati dal call center. Dai controlli è emerso che la società aveva acquisito le anagrafiche del reclamante da un list provider con sede in Moldavia, dal quale aveva acquistato 100mila contatti utilizzati per effettuare oltre 32.600 telefonate. Le chiamate avevano portato alla sottoscrizione di circa 300 contratti. A seguito dell’attività ispettiva, il Garante ha riscontrato numerose violazioni. L’Autorità ha

Scopre che i propri dati personali e le informazioni relative alla salute e alle indagini giudiziarie riguardanti il figlio deceduto (biografia, perizie psichiatriche, anamnesi, medicinali assunti, reati per i quali era indagato) erano stati pubblicati online, tra i documenti di un corso formativo per medici psichiatri. Si rivolge al Garante Privacy che sanziona con una multa di 18mila euro la società organizzatrice del corso. I documenti facevano parte del materiale didattico utilizzato per illustrare ai medici la particolare patologia di cui soffriva il ragazzo. Il materiale - messo a disposizione dei partecipanti tramite un link inviato per email alla fine del corso - risultava inoltre accessibile online da chiunque conoscesse l’Url. Nel provvedimento sanzionatorio, il Garante, oltre a ribadire che ai dati delle persone decedute continuano ad applicarsi le tutele della normativa privacy, ha affermato che la società avrebbe dovuto mettere in atto misure tecniche, organizzative e di verifica adeguate a garantire

Il più grande operatore di app per parcheggi in Europa si è denunciato alle autorità di regolamentazione dell'informazione nell'UE e nel Regno Unito dopo che gli hacker hanno rubato i dati dei clienti. "Il 10 dicembre 2023 - informa la società sul sito italiano di Easy Park - abbiamo scoperto di essere stati vittime di un attacco informatico". L'attacco ha comportato la violazione di dati non sensibili dei clienti. "La sicurezza dei nostri clienti è per noi una priorità e desideriamo che tu sia pienamente informato relativamente a questo incidente. Ecco cosa abbiamo fatto. Abbiamo adottato misure per assicurarci la protezione dei tuoi dati; Abbiamo rapidamente preso le misure necessarie per fermare l'attacco informatico; Ci siamo assicurati che i nostri servizi continuassero a funzionare normalmente; Abbiamo informato le autorità competenti. EasyPark Group, proprietario di marchi tra cui RingGo e ParkMobile, ha affermato - secondo quanto riporta il Guardian - che nomi dei clienti, numeri di

I titolari del trattamento devono sempre consentire l’esercizio dei diritti previsti dalla normativa privacy. Il Garante ha sanzionato Autostrade per l’Italia e Amazon Italia Transport, rispettivamente per 100 mila e per 40 mila euro, per non aver dato tempestivo e motivato riscontro, neppure di diniego o di differimento, alle richieste di accesso ai propri dati personali presentate da alcuni dipendenti ed ex dipendenti. [VEDI doc. web n. 9960875 e 9960854] I titolari del trattamento devono sempre consentire l’esercizio dei diritti previsti dalla normativa privacy Il primo provvedimento trae origine dai reclami di 50 dipendenti che si erano rivolti ad Autostrade chiedendo di aver accesso ai propri fascicoli personali, alle buste paga e a una serie di informazioni relative al trattamento dei dati per il calcolo delle buste paga stesse senza ottenere alcuna risposta. Alla richiesta di spiegazioni del Garante, la società aveva risposto di non aver dato riscontro alle istanze per non compromettere

Il 18 dicembre 2023 è stata pubblicata la norma tecnica ISO/IEC 42001:2023 “Information technology Artificial intelligence - Management system” (AIMS). “Lo standard specifica i requisiti e fornisce indicazioni per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell'AI nel contesto di un'organizzazione che fornisce o utilizza prodotti o servizi che utilizzano sistemi di intelligenza artificiale. La finalità ultima dello standard è quella di supportare un’organizzazione a sviluppare o utilizzare i sistemi di AI in modo responsabile nel perseguire i propri obiettivi e soddisfare i requisiti normativi applicabili, gli obblighi relativi alle parti interessate e le aspettative da parte loro. Lo standard si applica a qualsiasi organizzazione, indipendentemente dalle dimensioni, dal tipo e dalla natura, che fornisce o utilizza prodotti o servizi che utilizzano sistemi di intelligenza artificiale.” Per quanto lievemente rivista, con questi termini la ISO introduce la pagina del suo sito web dedicata a tale norma. L’obiettivo di questo articolo è quello

Il Garante privacy ha comminato una sanzione di 1.000 euro a un amministratore di condominio che aveva installato un sistema di videosorveglianza senza la delibera dell’assemblea condominiale. La delibera condominiale rappresenta infatti il presupposto di liceità del trattamento realizzato mediante telecamere. Nel caso oggetto del provvedimento, i condomini erano stati avvisati dell’installazione delle telecamere con una semplice email. Dall’istruttoria del Garante, avviata a seguito di un reclamo di un condomino, era risultato che presso il condominio era stato istallato un sistema di videosorveglianza composto da due telecamere, posizionate all’esterno dell’edificio, il cui angolo di visuale era esteso all’area destinata al parcheggio e al cancello di accesso, con parziale visione della strada pubblica. L’informativa che avvertiva della presenza delle telecamere per quanto fosse segnalata da alcuni cartelli era priva dell’indicazione del titolare del trattamento. Il dispositivo poi, oltre a riprendere le immagini, consentiva di visualizzarle mediante un telefonino in possesso dell’amministratore. Nelle sue

Sanzione di 40mila euro del Garante privacy ad una Asl per non aver configurato il dossier sanitario aziendale in modo tale da impedire al personale autorizzato di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura. L’Autorità – intervenuta a seguito del reclamo di un’infermiera, che era al contempo paziente e dipendente della Asl – ha infatti accertato che le responsabili dell’organizzazione dei turni del reparto dove lavorava, durante il lockdown, avevano avuto liberamente accesso al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid-19 e pianificare le presenze in ospedale. Secondo la Asl la pratica si era resa necessaria per sapere su quali risorse umane poter contare, considerato che, nel periodo della pandemia, gran parte del personale era in malattia contagiato dal Covid. Nel suo provvedimento il Garante ha messo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale

Chi opera nel settore sanitario deve sempre mantenere il segreto professionale e rispettare la privacy dei propri assistiti non rivelando all’esterno informazioni sulla salute acquisite nell’ambito del rapporto fiduciario medico - paziente. Lo ha ribadito il Garante privacy nell’ammonire un’osteopata che aveva violato la disciplina privacy e anche il codice di deontologia medica, riportando informazioni sullo stato di salute di una paziente all’interno della tesi redatta a conclusione di un corso di formazione. La violazione era stata segnalata all’Autorità dalla stessa paziente. Nella tesi, in particolare, era stato inserito un documento clinico contenente numerose informazioni sullo stato di salute dell’interessata, i cui dati anagrafici erano stati cancellati in modo approssimativo, tale da non impedire di risalire comunque al suo nome e cognome e di associare così le informazioni anagrafiche a quelle relative alla sua condizione fisica. Al riguardo, il Garante privacy ha ricordato che la procedura di cancellazione manuale non è idonea

Come deve agire il DPO nelle strategie di sicurezza, tenendo conto delle ulteriori funzioni che inevitabilmente sono coinvolte nella stessa? Di certo non può chiedersi a un professionista, o ad un ufficio, che agisca come one-man band ed estenda (o spesso, improvvisi) il proprio campo d’azione a tematiche così complesse come la sicurezza delle informazioni ed attendersi che tale azione possa essere efficace. Inoltre, è bene ricordare che la natura del profilo del DPO è eminentemente legale, ma questo già lo dice chiaramente la norma. Ben venga poi se ha competenze tecniche, ma queste devono essere funzionali all’attività di advisoring in quanto non può entrare nelle decisioni operative. Altrimenti, ne emergerebbe un quasi certo conflitto d’interessi e una conseguente inidoneità a svolgere tale ruolo. Ciò che più si avvicina al DPO, molto probabilmente, è il profilo di un auditor con competenze specifiche in ambito di normativa e prassi in materia di protezione dei