GARANTE IRLANDESE MULTA LINKEDIN PER OLTRE 300 MILIONI
Il Garante irlandese ha multato LinkedIn, con sede a Dublino, per 310 milioni di euro, per la violazione di molti aspetti della normativa europea sulla privacy. Secondo l’indagine infatti il portale di lavoro di proprietà di Microsoft non ha rispettato le regole europee sulla Privacy, a partire dal GDPR (General Data Protection Regulation) in vigore dal maggio 2018. L’indagine è durata sei anni grazie alla denuncia di una ong francese, La Quadrature du Net, nell’agosto 2018. I punti critici sono prima di tutto relativi alla profilazione non autorizzata dei clienti/interessati: di fatto la piattaforma desume dati sul comportamento online e indirizza pubblicità mirate o aggregate a scopi pubblicitari oppure invia della pubblicità targhettizata, in base alle informazioni rilasciate dagli interessati. Tutto questo senza che LinkedIn abbia un consenso per il trattamento dei dati di terze parti, quindi senza avere il consenso al trasferimento dei dati a terzi. Inoltre non sussiste un legittimo interesse dell’azienda sia per i dati forniti direttamente dagli utenti che per quelli di analisi comportamentale e pubblicità mirata. Infine mancano delle Informative adeguate agli utenti sull’utilizzo dei loro dati. La sanzione di 310 milioni di euro è la quinta più alta tra quelle comminate nella Ue. Microsoft era preparata alla multa, tanto che ha annunciato di aver messo da parte già un terzo in più della sanzione effettivamente comminata. L’annuncio ovviamente arriva per evitare ricadute sul titolo azionario in borsa. L’indagine è stata piuttosto lunga perché ha coinvolto diversi paesi Ue e sono girate anche delle bozze, per cui si è appreso che Microsoft ha potuto accedere al testo in maniera non autorizzata.
CONTRO SPIONAGGIO DATI BANCARI IL GARANTE CREA TASK FORCE
E’ una task force interdipartimentale quella creata dal Garante per la protezione dei dati personali per contrastare il fenomeno dello spionaggio di dati bancari di ignari cittadini o politici. Il fenomeno è venuto alla luce in maniera ecclatante dopo che sono finiti di mezzo il premier Giorgia Meloni e molti altri politici in carica. In sostanza dipendenti di istituti bancari hanno rivenduto i dati di clienti della banca a terzi. Il Presidente dell’Authority italiana Pasquale Stanzione ha sottolineato che da diversi anni lo spionaggio di dati bancari è sotto osservazione e ha annunciato una nuova collaborazione dell’Authority con altri ministeri. Sono in corso ispezioni nelle società private di investigazione che vendono anche spionaggi sulle entrate e le uscite di denaro, ovviamente a insaputa dell’interessato. Il dato bancario è considerato un dato comune ai sensi del GDPR, non un dato particolare (genetico, sulla salute, biologico o relativo a condanne), tuttavia è evidente che possono emergere dai dati bancari diversi aspetti sulle abitudini e i consumi delle persone anche sul loro stato di salute.
CONTINUA IL TOUR PRIVACY CON NAPOLI, ORO AL SERIO E ANCONA
Nel mese di novembre continua il ‘Privacy Tour 2024’, una manifestazione promossa dal Garante insieme a realtà locali, private e pubbliche, in centri medio-piccoli e al Sud e nelle Isole. Le prossime tappe sono il 12 novembre a Napoli incentrato sui dirittti digitali e l’uso consapevole dei servizi e delle piattaforme online; Oro al Serio (Bergamo) il 28 novembre e Ancona il 29. Gli incontri spesso sono organizzati da associazioni con la collaborazione degli enti locali e prevedono sale da almeno 100 persone. Per informazioni: https://www.gpdp.it/privacytour2024
900 MILA EURO DI MULTA A POSTEL SPA PER DEBOLEZZA SERVER
Il Garante Privacy ha sanzionato Postel Spa per non aver rafforzato i suoi sistemi informatici a seguito di un data breach subito nell’agosto 2023 che bloccò i server e alcune postazioni di lavoro con l’esfiltrazione dei dati di 25 mila interessati fra dipendenti, ex dipendenti, parenti, titolari di cariche societarie, candidati che avevano inviato cv e rappresentanti di imprese che hanno rapporti commerciali con Postel. Allora furono hackerati dati anagrafici e di contatto, dati di accesso e indentificazione, dati sui pagamenti, dati particolari relativi a condanne o reati e quelli sull’appartenenza a sindacati o relativi alla salute (altre due categorie di dati particolari e quindi sottoposti a maggior tutela). Dopo la denuncia al Garante della violazione dei dati avvenuta, l’azienda non è intervenuta per correggere la vulnerabilità dei propri sistemi, lasciando quindi i server nuovamente a rischio. L’aspetto surreale della vicenda è che il produttore del software stesso aveva messo a disposizione di Postel Spa ed altre aziende clienti, un aggiornamento del software già a settembre 2022, quindi un anno prima dell’attacco informatico. Ma Postel non ha fatto l’aggiornamento. A novembre 2022 anche l’Agenzia per la cybersicurezza nazionale aveva caldeggiato gli aggiornamenti dei software. Il Garante nel Provvedimento per la multa ora in corso specifica che già la comunicazione del data breach subito nel 23 non conteneva le misure di mitigazione del rischio e che da allora Postel non ha provveduto ad aggiornare i propri sistemi. Quindi oltre alla multa di 900 mila euro, Postel è ora obbligata a fare “un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio”. Questa sanzione evidenzia come sia importante, anche alla luce della Direttiva UE NIS2, che le aziende siano sempre più forti sulla difesa dei propri sistemi informatici.
BLITZ DI EUROJUST CONTRO MALWARE RUBA DATI
L’Agenzia della Ue per la Cooperazione Giudiziaria Penale ha fatto un blitz in collaborazione con le autorità di Usa, Paese Bassi, Belgio, Portogallo, Gran Bretagna e Australia per chiudere i server di due malware utilizzati a livello globale per rubare dati personali. Grazie al malware as a Service RedLIne infostelear e al malware Meta infostealer, i malviventi rubavano dati da dispositivi infettati come nomi, cognomi, password, dati di moduli salvati automaticamente, numeri di telefono, portafogli di criptovaluta e cookie sulla navigazione web. I dati venivano poi rivenduti sul dark web. Grazie al blitz, tre server sono stati bloccati nei Paesi bassi, sono stati sequestrati due domini e in Belgio sono state anche arrestate due persone. Alle ricerche ha contribuito anche l’FBI statunitense. L’indagine ha portato a risalire alla rete dei clienti di RedLine e Meta e quindi a chi riutilizzava i dati rubati. Chi pensa di poter essere stato vittima di attacchi può anche eseguire un test dei suoi sistemi con un’azienda privata promossa a seguito dell’inchiesta. Info https://www.operation-magnus.com/
IN ITALIA CRESCE LA CONSAPEVOLEZZA SULLA PRIVACY: PIU’ DPO
Il Garante Privacy continua a ricevere comunicazioni sulla nomina di nuovi Responsabili della protezione dei dati o Data Protection Officer, che oggi sono 7.652. In concomitanza stanno crescendo anche le segnalazioni all’Autorità su violazioni di dati avvenute, – oggi sono 10.555 – e ci sono 263 mila reclami di interessati. Questi dati fanno emergere una crescente consapevolezza della necessità di proteggere adeguatamente i dati personali che vengono affidati alle aziende dagli interessati/clienti/pazienti.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). E’ nelle librerie e online il nostro ultimo volume “La Privacy del dato sanitario” per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. Con gli Avv. Amarù e Maschio abbiamo un progetto per un nuovo volume.
