Data Breach: Quale è la differenza tra un incidente di sicurezza e una violazione dei dati personali?
In molti casi l’attivazione della procedura di data breach da parte del titolare del trattamento con relativa notifica all’Autorità Garante ai sensi dell’art. 33 del GDPR può comportare come conseguenza l’applicazione di determinate sanzioni amministrative, anche pecuniarie, da parte dell’Autorità. Non è assolutamente una regola, ma la probabilità è alta. Si pensi, ad esempio, ai recenti provvedimenti richiamati dove il Garante, con riferimento alle strutture sanitarie, nell’irrogare la sanzione ha ricordato che i titolari del trattamento devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati degli interessanti siano comunicati per errore ad altre persone. Difatti, non sempre le violazioni di dati personali sono causate da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale. Credo che questo sia un aspetto molto importante da sottolineare, in quanto al fine di porre rimedio a una violazione occorre innanzitutto che il titolare del trattamento sia
Il nuovo numero di Privacy News: Diffusione gratuita di 10.000 riviste
Disponibile primo numero del 2021 del magazine Privacy News, che dedica la copertina di questa nuova edizione alla trasparenza sul web, mettendo l’accento sulla necessità di etica da parte delle piattaforme online per guadagnare la fiducia degli utenti e favorire lo sviluppo del mercato digitale. Con una tiratura di 10.000 copie, nei prossimi giorni questo numero della rivista verrà spedito gratuitamente non solo a tutti gli associati, ma anche a tutti coloro che ne fanno richiesta tramite l'apposito form online fino ad esaurimento delle copie disponibili. Inoltre, per favorirne una larga diffusione, nel frattempo la versione digitale di questo numero è liberamente sfogliabile online. Il magazine trimestrale di Federprivacy, è una rivista focalizzata sui temi salienti della privacy, che veicola i più importanti aggiornamenti normativi, tratta approfondimenti da parte di esperti della materia, si avvale dell'osservatorio di Federprivacy per dare rilievo a temi caldi e notizie di attualità del settore, dà
Noto Studio Legale Americano colpito dagli hacker
Lo studio legale Jones Day è stato vittima di un attacco ransomware e i pirati stanno pubblicando i dati rubati. L’origine potrebbe essere il data breach di Accelion. Anche i documenti riservati sulla battaglia legale portata da Donald Trump per poter sovvertire il risultato delle recenti elezioni presidenziali negli USA sarebbero finiti sul Dark Web. La fonte del leak, stando a quanto riporta DataBreaches.net, sarebbe quindi Jones Day, uno dei più grandi studi internazionali da oltre 2 miliardi di dollari di fatturato annui che ha sedi in tutto il mondo e che rappresenta numerosi personaggi pubblici tra cui l’ex presidente degli Stati Uniti. Anche se la notizia è stata pubblicata sulle principali testate statunitensi, tra le quali anche il Wall Street Journal, al momento lo studio legale non ha né confermato né smentito l'attacco informatico, e non è stata pubblicata alcuna dichiarazione ufficiale riguardante interruzioni di servizi o avvisi di data breach sul sito
Dati personali: Siamo sicuri di saperli cancellare?
Il diritto all’oblio è uno dei principali diritti difesi dal regolamento europeo sulla protezione dei dati personali (vedi in particolare articolo 4, articolo 17, articolo 30 e articolo 70). Ciò significa che, una volta che sia esaurita la finalità per la quale un dato personale è stato raccolto, esso deve essere cancellato o distrutto. Ad esempio, quando l’impianto di videosorveglianza viene utilizzato, in una banca, per finalità di sicurezza antirapina, è evidente che, se la rapina non si è materializzata nell’arco di 24 ore, non vi è motivo di mantenere una copia delle video registrazioni. Parimenti, quando i dati vengono raccolti per effettuare una indagine di mercato, al termine dell’indagine i dati possono essere cancellati o resi anonimi, in quanto l’obiettivo della raccolta era quello di avere a disposizione elementi statistici afferenti al gradimento della clientela, ad esempio, piuttosto che non avere a disposizione il nome e cognome del soggetto interviste
Consiglio d’Europa: linee guida sul riconoscimento facciale
ll Consiglio d’Europa ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale. Il 28 gennaio 2021, nella Giornata europea per la protezione dei dati, il Comitato Consultivo della Convenzione 108, istituito presso il Consiglio d’Europa, ha adottato linee guida in materia. Le linee guida, che si fondano sui principi della Convenzione 108 modernizzata, forniscono una serie di misure di riferimento che governi, sviluppatori di sistemi di riconoscimento facciale, produttori, aziende e pubbliche amministrazioni dovrebbero adottare per garantire che l’impiego di queste tecnologie non pregiudichi la dignità della persona, i diritti umani e le libertà fondamentali. Il Comitato riconosce infatti i pericoli che possono derivare da tecniche particolarmente invasive e richiama la necessità di un dibattito pubblico e di un approccio precauzionale. Il documento esprime particolare preoccupazione riguardo ai rischi derivanti dal riconoscimento facciale volto a rilevare
Spotify vuole registrarci per proporre le canzoni più adatte
Spotify vuole conoscerci al meglio. E per farlo vuole capire cosa succede attorno a noi mentre ascoltiamo le nostre canzoni preferite. Il colosso svedese dello streaming sta studiando un sistema per catturare le informazioni sonore attraverso i dispositivi in cui è in uso la sua app. L’obiettivo ufficiale è decifrare emozioni e situazioni dell’utente in un preciso momento per affinare l’algoritmo che seleziona tracce, album, artisti e playlist da suggerire. In sintesi, tracciare un identikit più preciso. Con tutti i dubbi del caso in merito alla privacy di chi preme il pulsante “play”. Il primo passo in questa direzione Spotify l’ha già fatto. La testata online Music Business Worldwide ha infatti rivelato che il 12 gennaio l’azienda ha ottenuto la concessione per un brevetto presentato nel 2018 negli Stati Uniti. Dal titolo, “Identificazione degli attributi di gusto da un segnale audio”, già si intuisce il contenuto. In uno dei punti delle carte, pubblicate dalla
Comunicano informazioni sulla salute alle persone sbagliate: strutture sanitarie sanzionate
Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone. Lo ha ricordato il Garante per la privacy nel sanzionare due ospedali e una Asl per le violazioni di dati personali causati non da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale. Un ospedale toscano ha ricevuto la sanzione di 10.000 euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia. Anche un ospedale dell’Emilia-Romagna ha ricevuto la sanzione di 10.000 euro per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore. In entrambi i casi le sanzioni sono state calcolate tenendo conto che le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante e che
Allerta privacy nel week end di San Valentino
I maggiori rischi durante il picco di utenti online alla ricerca dell'anima gemella o di scappatelle nella giornata degli innamorati. Tra i principali pericoli gogna online, ‘sextorsion’ e trattamenti illeciti di dati sensibili Si avvicina la ricorrenza di San Valentino, e in questo week end è previsto il massimo picco di milioni di utenti online in cerca dell’anima gemella o di nuove relazioni sentimentali a distanza. E con i problemi ad incontrarsi durante la pandemia, sono molti anche quelli che saranno costretti a condividere il giorno degli innamorati con il loro partner attraverso uno schermo del computer. Ad esempio, solo negli USA sono 14 milioni le coppie (pari al 4% della popolazione) che in questo periodo si devono accontentare di incontrarsi online. Da qui al 14 febbraio cresce quindi anche il livello di allerta per i pericoli derivanti dagli incontri online, specialmente quando si usano app o siti web specializzati nel dating
Allarme minori su social e web: Aumentano le vittime del Cyberbullismo
Allarme Internet per i minori in rete: il 68% dei ragazzi, dai 13 ai 23 anni, dichiara di aver assistito ad episodi di bullismo o cyberbullismo, mentre ne è vittima il 61%. Ragazzi e ragazze esprimono sofferenza per episodi di violenza psicologica subita da parte di coetanei (42,23%). Tra i partecipanti alla rilevazione 6 su 10 dichiarano di non sentirsi al sicuro online e, tra i rischi maggiori, sia i maschi che le femmine, pongono al primo posto il cyberbullismo (66,34%). Questi sono alcuni dei numeri forniti dall’Osservatorio Indifesa in occasione del Safer internet Day. Inoltre, il 30,5% degli utenti delle linee di ascolto e consulenza di Telefono Azzurro che riporta problematiche relative all’area internet riferisce anche sofferenze legate all’area della salute mentale: in particolare questi utenti riferiscono di aver provato atti autolesivi (13%), tentativi di suicidio (5%) e di ideazione suicidaria (13%). In breve, nel 31% dei casi, criticità legate
Il riconoscimento facciale e gli aspetti più problematici
Il riconoscimento facciale come tutte le tecniche di intelligenza artificiale indubbiamente presenta serie problematiche in materia di privacy poiché vengono trattati dati di natura biometrica estremamente delicati. Nello specifico tale tecnica comporta l’applicazione di un software biometrico in grado di identificare in modo univoco e verificare l’identità di una persona analizzandone le caratteristiche distintive del volto e confrontandole con quelle di altre immagini già acquisite. Difatti ognuno di noi ha dei tratti facciali unici. Questo tipo di software è in grado di analizzarli, confrontarli con le informazioni archiviate in un database e identificare la persona (se trova una corrispondenza). Riguardo il rapporto con lo specifico settore della protezione dei dati personali, come spesso accade nel campo delle nuove tecnologie, non si può parlare di assoluta incompatibilità, in quanto il trattamento dei dati se conforme a quei principi di legalità, necessità, proporzionalità e minimizzazione dettati dal Regolamento UE n. 2016/679 (GDPR) può essere