Flussi esteri di dati: le nuove SCC

Nel giro di pochi giorni sono state date risposte, ancorchè non definitive, alle stringenti attese che hanno fatto seguito alla decisione della CGUE sul caso Schrems II. La decisione della Corte, come noto, ha invalidato l’accordo del Privacy Shield e ha ritenuto le clausole contrattuali

Leggi di più »

By design e by default – Prima parte

Il Comitato europeo (EDPB), trascorso il periodo di consultazione pubblica, ha adottato il 20 ottobre 2020 in via definitiva le linee guida n. 04/2019 sull’articolo 25 del GDPR. Questa disposizione disciplina il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e

Leggi di più »

Per oltre 4 anni un malware indisturbato

Che un malware possa agire indisturbato all’interno di un network aziendale per oltre quattro anni la dice lunga sulla capacità di un gruppo internazionale in termini di incident prevention e incident detection. Purtroppo non si tratta di un caso isolato, come si è visto dall’analisi

Leggi di più »

ENISA Scenario delle minacce

L’Agenzia sulla cyber sicurezza dell’UE (ENISA) ha pubblicato lo scenario delle minacce 2019-2020. Si tratta dell’ottava edizione ma anche la prima dopo l’entrata in vigore del Cybersecurity Act che ha rinforzato il ruolo e le competenze dell’agenzia conferendole un mandato permanente. Tra i punti di

Leggi di più »

ICO riduce la sanzione a British Airways

A seguito di un importante incidente di sicurezza che aveva causato la violazione di delicati dati personali di oltre 400.000 individui (passeggeri), l’Information Commissioner inglese (“ICO”)  l’08/07/2019 aveva comunicato alla compagnia aerea l’intenzione di sanzionarla per la significativa cifra di 183,39 milioni di sterline (€204M)

Leggi di più »

Monitoraggio dei lavoratori e sanzioni

La vicenda che ha riguardato la casa di abbigliamento svedese H&M è di particolare gravità tale da configurarsi come un caso di spionaggio – piuttosto che di monitoraggio – della vita dei propri dipendenti. La casa madre è corsa immediatamente ai ripari ed ha fattivamente cooperato con

Leggi di più »

Le principali regole riguardo ai cookie

Le regole riferite ai cookie, in realtà, si estendono a qualsiasi tecnologia o metodo che determina l’accesso o l’inserimento alle informazioni presenti nel dispositivo dell’utente oppure che realizza il tracciamento della navigazione in rete; come i “Local Shared Objects” (chiamati anche “Flash cookies”), “local storage”

Leggi di più »

Contitolarità

Uno dei profili su cui il Comitato europeo (EDPB) si è maggiormente intrattenuto nelle sue linee guida 07/2020 e 08/2020 è stato quella della contitolarità. Sebbene i documenti citati siano tuttora sottoposti a consultazione pubblica, riteniamo che i concetti ivi espressi possano considerarsi definitivi e

Leggi di più »

Linee guida 07/2020: rilievi sul titolare

Le linee guida dell’EDPB n. 07/2020 contengono interessanti spunti sui ruoli di titolare, responsabile e contitolare, insieme alle coeve n. 08/2020 che affrontano nello specifico le attività di targeting svolte sui social media.  In questa tornata riportiamo alcuni passi in relazione al ruolo di titolare

Leggi di più »

EDPB sui ruoli privacy, gli impatti dei social e di Schrems II

Nella trentasettesima riunione del 2 settembre il Comitato ha adottato importanti linee guida sui concetti dei ruoli legali di titolare, contitolare e responsabile del trattamento nonchè linee guida rivolte agli utenti che utilizzano social media. L’EDPB si è anche interessato – a seguito degli esiti della sentenza della CGUE Schrems

Leggi di più »

Legge privacy in Brasile

210 milioni di brasiliani si aggiungono alle centinaia di milioni che sul globo sono già tutelati da una legge sui dati personali. Promulgata nel 2018 sarebbe dovuta entrare in vigore dopo 18 mesi, ma ha subito proroghe. Ieri (26/8) il Senato ha respinto l’ultimo emendamento

Leggi di più »

Esercizio dei diritti privacy

I provvedimenti delle autorità di supervisione, insieme a linee guida e pareri dell’EDPB, se letti in filigrana consentono di desumere importanti indicazioni su come operare nelle organizzazioni al fine di rispondere adeguatamente al principio di accountability. Gli ultimi interventi sanzionatori del Garante privacy sono ricchi

Leggi di più »

Schrems II

Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha emesso l’attesa decisione sulla pronuncia pregiudiziale nel caso noto come Schrems II (C-311/18) che ha ritenuto invalido lo strumento del Privacy Shield, con effetto immediato ed ha chiarito alcuni aspetti riguardo all’ambito di validità

Leggi di più »

Commissione UE: Prima relazione sul GDPR

In adempimento all’articolo 97 del regolamento, la Commissione dell’Unione europea ha pubblicato la prima relazione sull’esito dei suoi primi due anni di applicazione. La relazione tiene in considerazione anche i contributi dei co-legislatori europei (Consiglio e Parlamento), dell’EDPB, delle autorità di controllo, del gruppo multilaterale

Leggi di più »

Corte dà ragione al Bundeskartellamt contro Fb

L’Antitrust tedesco aveva considerato con propria decisione, un abuso di posizione dominante la pratica di Facebook consistente nel vincolare alla registrazione dell’account alla propria piattaforma, il consenso all’uso da parte sua dei dati dei propri utenti anche se generati da attività da essi svolte su

Leggi di più »

Sanzione a Unicredit a seguito di data breach

La vicenda oggetto dell’ordinanza ingiunzione del Garante privacy riguarda un fatto avvenuto prima della piena applicazione del GDPR, per cui ad esso trova applicazione il codice privacy previgente. Dopo una complessa istruttoria, attraverso la quale sono state rilevate violazioni all’adozione delle misure minime di sicurezza

Leggi di più »

GDPR: reclami e azioni civili

Il soggetto cui si riferiscono i dati personali (interessato) può agire, sia dinanzi all’autorità di controllo, sia di fronte al giudice ordinario; in questa seconda ipotesi anche per risarcimento dei danni causati dal trattamento; l’interessato può anche dare mandato a una onlus di presentare un

Leggi di più »

Privacy e consumo

La disciplina sulla protezione dei dati personali non è l’unica a regolare l’uso dei dati personali. Quando viene preso in considerazione il valore economico insito nelle informazioni personali può entrare in gioco anche il codice del consumo. GDPR e consumo Il regolamento generale sulla protezione

Leggi di più »

Consenso e “scrolling”

Le linee guida 5/2020 dell’EDPB sostituiscono le precedenti wp258 rev.01 sul consenso, emesse dal Gruppo di lavoro dell’articolo 29, anche se abbastanza recenti e già fatte proprie dal Comitato. Operazione chirurgica quasi più di stampo politico che giuridico, un “mettere le mani avanti”, considerato che

Leggi di più »

L’indagine app COVID-19 di House of Data Imperiali

L’indagine app COVID-19 di House of Data Imperiali Secondo un campione di esperti servono garanzie su app e utilizzo dei dati Poca affidabilità e rischi. Ecco cosa emerge dall’indagine su un gruppo di esperti realizzata dall’Osservatorio Data Protection riguardo al sistema pubblico che gestirà i

Leggi di più »

OdV231 autorizzato al trattamento?

In risposta a una specifica richiesta circa il ruolo soggettivo da assegnare all’Organismo di Vigilanza 231 in base alla disciplina sulla protezione dei dati personali, il Garante privacy ha rilasciato un parere in data 12 maggio 2020, pervenendo a conclusioni che suscitano perplessità. Sintesi La

Leggi di più »

Il conflitto d’interessi del DPO interno

Una delle regole fondanti per l’indipendenza del Responsabile per la protezione dei dati (DPO) è che esso non sia in conflitto d’interessi. Le linee guida wp243 rev.01 hanno precisato che il conflitto sussiste se e nei limiti in cui il DPO adotti decisioni in merito

Leggi di più »

Data breach: costi ed esperienze

Garante e IBM hanno prodotto due documenti riguardanti i data breach che forniscono interessanti suggerimenti tratti da esperienze ed offrono valutazioni degli impatti economici che conseguono alle violazioni di dati. La scheda informativa del Garante si concentra sul ransomware – «il programma che prende “in

Leggi di più »

Linee guida EDPB su app e localizzazione

L’emergenza COVID-19 ha concentrato su questo tema anche le attività del Comitato europeo che, nello spazio di pochi giorni: ha rilasciato il 14 aprile un proprio parere alla Commissione in merito al progetto di Linee-guida in materia di app a supporto della lotta contro la

Leggi di più »

App anti-COVID secondo la UE

Molto si discute sull’uso delle applicazioni mobili a supporto delle misure anti-contagio da COVID-19 e già sono state annunciate iniziative a livello sia nazionale (Immuni) sia regionale (AllertaLOM della regione Lombardia). Le app sono particolarmente rilevanti specie nella cosiddetta “fase 2”, man mano che sempre

Leggi di più »

App anti-COVID in salsa UE

Vi è un grande discutere in ambito nazionale e internazionale sull’uso della tecnologia in funzione anti-contagio da COVID-19. La tecnologia svolge una molteplicità di funzioni di supporto. Vi è quella a fini repressivi, al fine di verificare il rispetto delle limitazioni di movimento e il

Leggi di più »

Le 6 regole per il data breach

Nell’Alert di settimana scorsa si è visto che l’opportunismo degli hacker si avvantaggia delle emergenze, come si registra in questi tempi di Coronavirus. Molti sono i profili di aumentata vulnerabilità in questo frangente: lavorare fuori dal contesto aziendale, dove il livello di protezione – fisico

Leggi di più »

Sicurezza delle informazioni nell’emergenza COVID-19

L’emergenza è una minaccia in sè per la sicurezza delle informazioni e dei dati personali per diverse ragioni: perchè il tasso di attenzione collettiva è appannaggio degli effetti e delle cause dell’emergenza, perchè gli hacker – da buoni opportunisti – approfittano di queste situazioni di

Leggi di più »

COVID-19 non è l’unica minaccia

Immaginate una famiglia con più figli, i maggiori di età sono robusti, determinati; il più giovane, invece, è più accondiscendente, si fa da parte quando gli altri fanno valere le proprie ragioni ma la sua non è remissività perchè comunque egli è attento a che

Leggi di più »

Whistleblowing: prima sanzione del Garante

A seguito di una notifica per data breach dovuta alla temporanea potenziale visibilità in Internet dei nominativi di due segnalanti che si erano avvalsi del canale riservato di comunicazione per le denunce di illeciti, il Garante ha sanzionato un’Università titolare del trattamento, per omesse misure

Leggi di più »

Il back end del GDPR

I provvedimenti dell’autorità, si sa, fanno rumore soprattutto se, tramite essi, vengono irrogate sanzioni di ingente importo. Spesso, tuttavia, essi sono ricchi di indicazioni che, se letti in filigrana, possono offrire importanti insegnamenti riguardo ai comportamenti virtuosi  da parte delle imprese per un’adeguata applicazione delle

Leggi di più »

EDPB: documenti e indicazioni dalla 17a plenaria

La 17a sessione plenaria dell’EDPB ha rilasciato linee guida, pareri e documenti rilevanti nella materia della protezione dei dati personali. Linee guida Le linee guida riguardano: le linee guida 3/2019 sulle apparecchiature di videosorveglianza, in versione finale a completamento della procedura di consultazione pubblica il

Leggi di più »

Responsabilità tra titolare e responsabile

La seconda sanzione milionaria irrogata dall’autorità di supervisione nazionale contiene anch’essa numerosi profili di compliance che meritano di essere esaminati. Sintesi Il Garante privacy italiano ha reso noto un ulteriore provvedimento col quale è stata irrogata una sanzione amministrativa di circa 28 milioni di euro

Leggi di più »

Antitrust e Facebook: secondo round

Nel novembre 2018 l’Antitrust italiana (AGCM) ha sanzionato Facebook per un importo complessivo di 10 milioni di Euro per pratica scorretta avendo indotto la propria clientela (gli utenti del social) a ritenere che il relativo servizio fosse a titolo gratuito anzichè di natura commerciale, in

Leggi di più »

Le sanzioni GDPR del Garante fanno rumore

Il Garante privacy ha diffuso con un comunicato stampa la notizia di due significative sanzioni irrogate applicando le pertinenti prescrizioni del GDPR. Si tratta di violazioni compiute in tema di telemarketing e teleselling indesiderato (provv. n. 232 dell’11/12/2019, doc. web n. 9244365) e contratti non

Leggi di più »

L’intricata vicenda sui cookies

Si può sostenere con fondamento che non vi sia operatore, economico o meno, privato o pubblico, che non abbia un proprio sito web, di tipo istituzionale o per l’erogazione di servizi in rete. Di conseguenza, la disciplina sui cookie e su analoghi strumenti di tracciamento,

Leggi di più »

Whistleblowing: direttiva UE e parere Garante

In una delle ultime puntate dell’anno appena concluso ci eravamo intrattenuti sulle nuove linee dell’ANAC e si era data notizia della nuova direttiva UE sul tema. Oggi torniamo su questo importante argomento perchè nel frattempo la direttiva è stata pubblicata sulla gazzetta ufficiale dell’Unione, entrando

Leggi di più »

Best of 2019: tra apprensioni e aspettative

Cosa è stato il 2019 per la protezioone dei dati personali? Un anno importante in cui ha preso le mosse, di fatto, la piena applicazione del GDPR. Sintesi GDPR: la legge dell’anno Il 2019 è stato l’anno di prima applicazione del Regolamento europeo noto come

Leggi di più »