Ritrova i propri dati personali pubblicati online sul Corriere della Sera, interviene il Garante della Privacy e sanziona la testata
Ritrova i propri dati personali pubblicati su un quotidiano online in una foto che riprende il testamento olografo di una celebre attrice, da poco scomparsa, alla quale aveva fatto da testimone. Non riuscendo ad ottenerne la cancellazione, si rivolge al Garante che sanziona la testata. La foto si trovava a corredo di un articolo che riportava le ultime volontà dell’attrice e le dispute per l’eredità. A seguito della pubblicazione online, l’operatore sanitario era stato riconosciuto e, nei giorni a seguire, contattato da conoscenti e giornalisti che volevano informazioni sulla vicenda. Nel testamento pubblicato online risultavano, in effetti, ben visibili i dati personali (nome, cognome, data di nascita, indirizzo di residenza, qualifica di testimone) dell’interessato ed erano riconoscibili anche i dati personali di un secondo testimone presente alla stesura dell’atto. A seguito del reclamo dell’operatore sanitario la testata aveva risposto che le generalità dei testimoni costituivano parte integrante del testamento e che, comunque, l’interesse pubblico
Senza cybersecurity non può esserci né privacy né conformità al GDPR
A 5 anni dall’introduzione del Regolamento europeo sulla protezione dei dati personali un sondaggio condotto dall’Osservatorio di Federprivacy ha rivelato che il 78% delle aziende italiane considerano ancora il rispetto del GDPR come una mera burocrazia. A farne le spese con un pericoloso effetto boomerang sono spesso le stesse aziende, che concentrandosi sugli aspetti formalistici della privacy finiscono per trascurare la sostanza della protezione dei dati, e le oltre 100.000 notifiche di data breach che sono state trasmesse lo scorso anno alle autorità di controllo europee sono un preoccupante indice che non può passare inosservato. Le conseguenze dell’approccio burocratico alla privacy possono essere infatti disastrose per le organizzazioni che non hanno fatto niente altro che produrre documentazione in materia di GDPR che, anche se potrebbe dare una sensazione di illusoria conformità, servirà poi a ben poco se non vi è stato dato seguito con delle azioni concrete per mettere effettivamente in sicurezza i
L’80% delle scuole è vittima di almeno un attacco ransomware
“The State of Ransomware in Education 2023” pubblicato dall’agenzia di sicurezza informatica Sophos, lo scorso anno le scuole, sia superiori che inferiori, hanno assistito ad un imponente aumento delle violazioni. L’indagine rivela che il 79% delle scuole superiori e l’80% delle scuole inferiori in Europa, Asia e America, nel 2022 ha subito almeno un attacco di ransomware. Queste cifre rappresentano un notevole incremento rispetto al 64% e 56% del 2021. Più della metà delle scuole superiori (56%) e quasi la metà delle scuole inferiori (47%) hanno acconsentito al pagamento del riscatto richiesto dagli hacker. Tuttavia, questo ha avuto come conseguenza un notevole aumento dei costi di ripristino. Ad esempio, le scuole superiori che hanno pagato il riscatto hanno sostenuto danni per 1,31 milioni di dollari, rispetto ai 980.000 dollari di chi ha recuperato dai backup. Per le scuole inferiori, la differenza è stata ancora più marcata: 2,18 milioni di dollari contro 1,37 milioni. Nel contesto
Proteggere la vostra privacy è un incubo se possedete un’auto costruita di recente
Se possedete un’automobile costruita negli ultimi anni, la vostra vettura potrebbe spiarvi e raccogliere i vostri dati personali, compreso il vostro peso, sapere se rispettate il codice della strada allacciandovi le cinture di sicurezza e con quanta forza premete sui freni, e conoscendo perfino dati sensibili sulla vostra “razza” e sulla vostra attività sessuale. L'organizzazione no-profit statunitense ha infatti scoperto che tutte le 25 case automobilistiche prese in esame non rispettano i più basilari standard di privacy e sicurezza nei nuovi modelli connessi a internet, raccogliendo tutta una serie di informazioni di conducenti e passeggeri, e ben l’84% di esse vende o condivide tali dati personali con i propri partner o altre terze parti. Le automobili moderne sono sempre più dotate dei più recenti gadget elettronici, e nel bene e nel male non sono più un semplice mezzo di trasporto, ma sono spesso collegate al sistema di navigazione GPS che ne geolocalizza la
In Italia gli attacchi ransomware sono aumentati del 34,6%, e l’80% delle vittime sono Pmi
Nel secondo trimestre 2023, il fenomeno del ransomware è cresciuto del +34,6% in Italia e del +62% a livello globale rispetto al trimestre precedente. A rilevarlo è l'ultimo report “Threatland” curato dal Security Operation Center (SOC) e dal Team di Cyber Threat Intelligence di Swascan. Il numero delle aziende vittime delle gang ransomware è aumentato del 185% dall'inizio dell'anno e del 105% rispetto al secondo trimestre del 2022. In Italia, l'80% delle vittime colpite sono Pmi e il 91% sono aziende con fatturato inferiore ai 250 milioni di euro. Secondo il report che analizza i principali rischi informatici (ransomware, phishing e malware) tra aprile e giugno scorsi in Italia si sono registrati numerosi attacchi informatici che hanno coinvolto soprattutto aziende di servizi. Circa 190 mila i dispositivi compromessi in Italia. La cyber-gang “Monti” quella più attiva nel nostro Paese. Stando al rapporto di Swascan, sono state 1451 le vittime (colpite e soggette a pubblicazione di
Neanche gli utenti di Linkedin si salvano dalle truffe online
Nel corso di quest’anno, più della metà delle aziende prese in esame (il 56%) ha infatti subìto almeno una truffa su LinkedIn. Secondo l’analisi di NordLayer, ”le più colpite sono le grandi organizzazioni (65%)”, e ”come su qualsiasi altro social, gli aggressori e i truffatori cercano informazioni e denaro sotto minaccia di rovinare la reputazione delle vittime”. I dati della ricerca, in cui sono stati intervistati 500 utenti maggiorenni del social professionale in Canada, Regno Unito e Stati Uniti, rivelano che le offerte di lavoro fasulle (47%) rappresentano la truffa più comune ai danni delle aziende su LinkedIn. Tanti anche i tentativi di phishing (47%), le richieste di collegamento da parte di sconosciuti con un link sospetto nel messaggio (41%) e approcci di contatto da parte di finti team di supporto tecnico (38%), mentre sono i danni alla reputazione l'effetto più comune di truffe e frodi su LinkedIn (48%). Secondo il rapporto di NordLayer, ”il
Per like ed emoticon sui social offensivi o scritti durante l’orario di lavoro si può essere licenziati
Like, messaggi, emoticon e post sempre più al centro dei controlli datoriali. A dettare le “regole social” è soprattutto la giurisprudenza che negli anni ha scritto i confini della privacy in ambito lavorativo. Se in generale i messaggi scambiati in chat private sono coperti dal segreto della corrispondenza e quindi non possono, salvo eccezioni, fondare una responsabilità disciplinare, diverso è il caso dei post pubblici sui social network che, avendo una diffusività maggiore, possono addirittura giustificare il licenziamento. È successo a Catanzaro dove un’addetta alla mensa scolastica aveva criticato su Facebook la qualità del cibo somministrato, mettendo addirittura in dubbio l’onestà dei consiglieri comunali che avevano effettuato l’ispezione (Corte di appello di Catanzaro, sezione lavoro, sentenza 1352 del 28 dicembre 2021). Il datore di lavoro può controllare i profili social dei dipendenti e sanzionarli se i post sono offensivi o scritti durante l’orario di lavoro. Si tratta infatti di pagine pubbliche che possono
Whistleblowing: il valore aggiunto per il governo dei rischi organizzativi
Dal punto di vista delle organizzazioni, pubbliche e private, tenute a aggiornare o impiantare il processo per la gestione delle segnalazioni, si tratta di un costo certo: ma non solo di un costo se si inquadra il whistleblowing come un ulteriore tassello per il governo dei rischi. A livello micro, il WB permette di far emergere e intervenire su puntuali violazioni di norme dell’UE o nazionali lesive dell’interesse pubblico o l’integrità dell'amministrazione pubblica o dell'ente privato. Ma a livello macro, il whistleblowing costituisce uno strumento a completamento dei processi di gestione dei rischi per almeno quattro aspetti. 1.In primo luogo lo standard ISO 37002:2021 Whistleblowing management systems — Guidelines, ad adesione volontaria e non certificabile, offre molteplici indicazioni che possono essere utili nell’impianto del DLWB e nell’applicazione delle Linee guida definite dall’ANAC. Al riguardo secondo Wim Vandekerckhove, docente di etica aziendale e coordinatore del gruppo di lavoro ISO che ha sviluppato lo standard “La
I medici che condividono i dati dei-pazienti tramite whatsapp senza rispettare la privacy
Dati sensibili dei pazienti condivisi su WhatsApp da parte di almeno 26 membri del personale sanitario per più di 500 volte accertate. Attraverso l’app di Meta venivano inviati nominativi, indirizzi, immagini, video, e screenshot, che includevano informazioni cliniche dei diretti interessati. Ma anche divulgazione illecita di dati personali a un utente non autorizzato non appartenente allo staff medico che era stato aggiunto nel gruppo per errore. A renderlo noto è l’Information Commissioner’s Office (ICO), ovvero l’omologo inglese del nostro Garante per la privacy, che ha ammonito l’ente responsabile dell’assistenza sanitaria (NHS Lanarkshire) di oltre 652.000 persone che vivono nelle aree comunali del North Lanarkshire e del South Lanarkshire in Scozia. Anche se in Scozia WhatsApp è stato approvato per i dipendenti del servizio sanitario pubblico per scambiarsi comunicazioni di base, essi però non sono autorizzati ad usarlo per la condivisione di dati sensibili, tanto più quando si tratta di informazioni che riguardano lo
Valutazioni dei dipendenti inserite in una black-list istituita dal datore di lavoro, senza aver coinvolto il DPO
Da tempo molti dipendenti si lamentavano di umilianti violazioni della loro privacy e della invasiva sorveglianza a cui sarebbero stati sottoposti sul posto di lavoro, molestie che sarebbero sconfinate fino al divieto di andare alla toilette, e addirittura alla creazione di un registro in cui la società descriveva i propri dipendenti in modo denigratorio classificandoli come "critici" o "molto critici", e valutando tagli salariali in base alle informazioni riportate in tale black-list, che comprendeva anche dati sensibili "sulla salute dei singoli dipendenti o sul loro interesse in un comitato aziendale". La vicenda era finita perfino sulle pagine del quotidiano Der Spiegel, ed era praticamente divenuta di dominio pubblico, eppure il Data Protection Officer non era mai stato coinvolto dalla direzione aziendale. Fino a quando il Garante per la protezione dei dati e la libertà d'informazione di Berlino (BlnBDI), dopo aver analizzato le notizie pubblicate dai giornali e dopo aver ricevuto anche una denuncia personale da uno