La privacy non è un diritto assoluto del lavoratore ma il trattamento dei suoi dati personali deve essere ridotto al minimo necessario
Con riferimento alla materia del lavoro, la disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1 del Regolamento UE 2016/679), dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 4, e 88 del GDPR). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento” ovvero, quando “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del
Google ammette di tracciare gli utenti anche nella navigazione in incognito con il browser Chrome
Google sembra finalmente aver ammesso di tracciare gli utenti anche quando utilizzano la modalità di navigazione in incognito del browser Chrome. Pur non avendolo annunciato esplicitamente, di recente il colosso tecnologico ha modificato nel canale sperimentale Canary di Chrome il disclaimer che viene visualizzato dagli utenti quando aprono una nuova finestra nel browser. “Gli altri che utilizzano questo dispositivo non vedranno la tua attività, quindi potrai navigare in modo più privato - recita il nuovo messaggio - Ciò non modificherà il modo in cui i dati vengono raccolti dai siti web visitati e dai servizi che utilizzano, incluso Google. I download, i segnalibri e gli elementi dell'elenco di lettura verranno salvati”. Una modifica sostanziale, considerando che attualmente il browser Chrome restituisce questo messaggio a chi decide di attivare la navigazione in incognito: “Ora puoi navigare in privato. Le altre persone che usano questo dispositivo non vedranno le tue attività, ma i download, i preferiti
Frodi informatiche in aumento per il 73% delle imprese
Le perdite derivanti da frodi informatiche sono aumentate nel 2023, rispetto all'anno precedente, per il 73% delle imprese a livello globale, in particolare nel settore dei servizi finanziari in cui la percentuale delle organizzazioni che ha segnalato un aggravarsi della situazione sale al 78%. In Italia la percentuale di imprese che segnala un aumento delle frodi arriva all'80% ed è soprattutto il settore delle telecomunicazioni a soffrirne. A rilevarlo è il report di Experian “Forrester Fraud Research Report 2023” che raccoglie le opinioni di 308 responsabili della gestione delle frodi presso aziende attive nei settori dei servizi finanziari, delle telecomunicazioni e dell'e-commerce in dieci paesi. Inoltre, secondo lo studio “AI research survey” condotto da Onfido, il 61% dei responsabili aziendali in Italia è convinto che le frodi informatiche aumenteranno nell'immediato futuro. I risultati del report stilato da Forrester Consulting per conto di Experian, società che fornisce servizi di informazione globale, rivelano che i fattori alla
I consigli del Garante per tutelare la propria privacy quando si usano app e dispositivi per il fitness
App e dispositivi fitness tracker sanno tanto di noi: il ritmo cardiaco durante la lezione di spinning; il tragitto della corsetta giornaliera; gli appuntamenti in palestra e il numero di addominali, flessioni e salti che facciamo durante la settimana; e poi ancora il nostro peso, la nostra altezza, quello che mangiamo, perfino il livello di stress e le ore di sonno. Sono tanti i dati che questi strumenti possono raccogliere e trattare e che spesso concediamo con troppa poca attenzione. Va detto che in generale si tratta di strumenti utili per tentare di mantenere un buono stato di forma o per migliorare le performance sportive, ma si tratta pur sempre di strumenti che vanno usati con la consapevolezza e la cautela necessarie a garantire una adeguata protezione della propria riservatezza e dei propri dati personali. Ad offrire suggerimenti, spunti di riflessione e indicazioni in merito è il Garante per la Protezione
Monitoraggio invasivo delle performance dei lavoratori, sanzione da 32 milioni di euro ad Amazon
La Francia multa Amazon per 32 milioni di euro per il “monitoraggio eccessivamente invasivo del personale del magazzino”. La sanzione è stata emessa il 27 dicembre scorso e pubblicata pochi giorni fa dalla Commissione nazionale dell’informatica e delle libertà (CNIL), l’autorità francese incaricata di assicurare la tutela dei dati personali in Francia. Secondo la CNIL, Amazon France Logistique esercitava un “eccessivo controllo delle performance” nella raccolta dei dati. Il monitoraggio dei dipendenti portava alla violazione delle norme sulla privacy dell’Unione Europea. In particolare, il controllo poteva determinare se il pacco veniva scansionato troppo velocemente (in meno di 1,25 secondi), il numero di volte in cui lo scanner rimaneva inattivo per più di 10 minuti, il tempo passato fra il momento in cui un lavoratore timbrava il cartellino all’inizio del turno e il primo pacco scansionato. Il sistema era utilizzato, quindi, per misurare la produttività dei dipendenti, gestire l’attività e raggiungere obiettivi prestazionali, ma questo viola
Call Center ignora le richieste del Garante della privacy sanzionato due volte dall’Autorità
Nuovo intervento del Garante Privacy a tutela dei consumatori contro le telefonate indesiderate. L’Autorità ha irrogato una sanzione di 60mila euro ad un call center operante nel settore dei contratti di energia elettrica per trattamento illecito di dati personali. La società aveva già ricevuto una sanzione di 10mila euro per non aver risposto alla richiesta di informazioni dell’Autorità, che si era attivata dopo il reclamo di un utente che lamentava di aver ricevuto telefonate promozionali senza consenso. Dopo la sanzione per il mancato riscontro, l’Autorità ha avviato un accertamento ispettivo per verificare la liceità dei trattamenti effettuati dal call center. Dai controlli è emerso che la società aveva acquisito le anagrafiche del reclamante da un list provider con sede in Moldavia, dal quale aveva acquistato 100mila contatti utilizzati per effettuare oltre 32.600 telefonate. Le chiamate avevano portato alla sottoscrizione di circa 300 contratti. A seguito dell’attività ispettiva, il Garante ha riscontrato numerose violazioni. L’Autorità ha
Pubblicati online i dati sanitari di un ragazzo tra il materiale di un corso di formazione per medici psichiatri
Scopre che i propri dati personali e le informazioni relative alla salute e alle indagini giudiziarie riguardanti il figlio deceduto (biografia, perizie psichiatriche, anamnesi, medicinali assunti, reati per i quali era indagato) erano stati pubblicati online, tra i documenti di un corso formativo per medici psichiatri. Si rivolge al Garante Privacy che sanziona con una multa di 18mila euro la società organizzatrice del corso. I documenti facevano parte del materiale didattico utilizzato per illustrare ai medici la particolare patologia di cui soffriva il ragazzo. Il materiale - messo a disposizione dei partecipanti tramite un link inviato per email alla fine del corso - risultava inoltre accessibile online da chiunque conoscesse l’Url. Nel provvedimento sanzionatorio, il Garante, oltre a ribadire che ai dati delle persone decedute continuano ad applicarsi le tutele della normativa privacy, ha affermato che la società avrebbe dovuto mettere in atto misure tecniche, organizzative e di verifica adeguate a garantire
Attacco hacker a Easy Park, rubati i dati personali di migliaia di clienti
Il più grande operatore di app per parcheggi in Europa si è denunciato alle autorità di regolamentazione dell'informazione nell'UE e nel Regno Unito dopo che gli hacker hanno rubato i dati dei clienti. "Il 10 dicembre 2023 - informa la società sul sito italiano di Easy Park - abbiamo scoperto di essere stati vittime di un attacco informatico". L'attacco ha comportato la violazione di dati non sensibili dei clienti. "La sicurezza dei nostri clienti è per noi una priorità e desideriamo che tu sia pienamente informato relativamente a questo incidente. Ecco cosa abbiamo fatto. Abbiamo adottato misure per assicurarci la protezione dei tuoi dati; Abbiamo rapidamente preso le misure necessarie per fermare l'attacco informatico; Ci siamo assicurati che i nostri servizi continuassero a funzionare normalmente; Abbiamo informato le autorità competenti. EasyPark Group, proprietario di marchi tra cui RingGo e ParkMobile, ha affermato - secondo quanto riporta il Guardian - che nomi dei clienti, numeri di
Nessun riscontro a istanze dipendenti che volevano esercitare i loro diritti sulla privacy: il Garante multa Autostrade e Amazon
I titolari del trattamento devono sempre consentire l’esercizio dei diritti previsti dalla normativa privacy. Il Garante ha sanzionato Autostrade per l’Italia e Amazon Italia Transport, rispettivamente per 100 mila e per 40 mila euro, per non aver dato tempestivo e motivato riscontro, neppure di diniego o di differimento, alle richieste di accesso ai propri dati personali presentate da alcuni dipendenti ed ex dipendenti. [VEDI doc. web n. 9960875 e 9960854] I titolari del trattamento devono sempre consentire l’esercizio dei diritti previsti dalla normativa privacy Il primo provvedimento trae origine dai reclami di 50 dipendenti che si erano rivolti ad Autostrade chiedendo di aver accesso ai propri fascicoli personali, alle buste paga e a una serie di informazioni relative al trattamento dei dati per il calcolo delle buste paga stesse senza ottenere alcuna risposta. Alla richiesta di spiegazioni del Garante, la società aveva risposto di non aver dato riscontro alle istanze per non compromettere
Il sistema di gestione dell’intelligenza artificiale: la norma ISO/IEC 42001:2023
Il 18 dicembre 2023 è stata pubblicata la norma tecnica ISO/IEC 42001:2023 “Information technology Artificial intelligence - Management system” (AIMS). “Lo standard specifica i requisiti e fornisce indicazioni per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell'AI nel contesto di un'organizzazione che fornisce o utilizza prodotti o servizi che utilizzano sistemi di intelligenza artificiale. La finalità ultima dello standard è quella di supportare un’organizzazione a sviluppare o utilizzare i sistemi di AI in modo responsabile nel perseguire i propri obiettivi e soddisfare i requisiti normativi applicabili, gli obblighi relativi alle parti interessate e le aspettative da parte loro. Lo standard si applica a qualsiasi organizzazione, indipendentemente dalle dimensioni, dal tipo e dalla natura, che fornisce o utilizza prodotti o servizi che utilizzano sistemi di intelligenza artificiale.” Per quanto lievemente rivista, con questi termini la ISO introduce la pagina del suo sito web dedicata a tale norma. L’obiettivo di questo articolo è quello