16 Dic 2018

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

 

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?
La notifica deve contenere almeno le informazioni sinteticamente riportate in questa pagina (art. 33, par. 3 del Regolamento (UE) 2016/679):

– una descrizione della natura della violazione dei dati personali, che comprenda, se possibile:

a) le categorie e il numero approssimativo di persone interessate;

b) le categorie e il volume approssimativo di dati personali interessati;

– il nome e i riferimenti di contatto del responsabile della protezione dei dati (se designato dal titolare) o comunque di un referente competente a fornire informazioni;

– una descrizione delle possibili conseguenze della violazione dei dati personali;

– una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per mitigare eventuali effetti negativi;

SOLO in caso di notifica effettuata oltre il termine prescritto di 72 ore, una descrizione dei motivi del ritardo.

La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

(Fonte Garante Privacy)

16 Dic 2018

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

Il Garante privacy ha affermato, a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale, che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili – ha osservato l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso, invece, l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

….

In base alla disciplina di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, di seguito Codice) vigente all’epoca cui si riferiscono i fatti oggetto dei reclami, si osserva quanto segue.

Le informazioni relative all’adesione sindacale costituiscono dati sensibili cui trovano anzitutto applicazione gli artt. 3, 11 e 20 e 112 del Codice (art. 4, comma 1, lett. d), del Codice). …..

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.

L’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

 

(Fonte Garante Privacy)

2 Dic 2018
27 Ott 2018

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti.

La violazione contestata, parte dall’installazione di un sistema di raccolta di dati biometrici della mano per rilevare le presenze dei dipendenti, installata da una società che opera nel settore dei servizi ambientali. La società era stata condannata a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali.

I giudici di prima istanza, però, accolgono il ricorso della società in quanto riteneva che le apparecchiature non prelevavano e non trattavano dati, utilizzati come «individualizzanti e non come identificanti». In più, non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. Sulla base di questo il Tribunale aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata.

La Cassazione è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo. Con il sistema utilizzato il dato biometrico relativo alla mano del lavoratore viene trasformato in un modello di riferimento, consistente in un codice, che consentirebbe l’identificazione personale attraverso operazioni di confronto tra codice numerico ricavato da ogni accesso e quello originariamente raccolto.

Pertanto, ad ogni utilizzo del “badge” il sistema è in grado di verificare che il cartellino che si sta usando è della stessa mano utilizzata per configurarlo.

In questo contesto sbaglia il Tribunale ad affermare che il dipendente non viene identificato attraverso i suoi dati, ma tramite il badge il cui uso non è stato contestato. La Suprema corte ricorda che il Codice definisce “trattamento”, qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati». “Dato personale” è «qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». Sono dati identificativi tutti quelli che permettono di “riconoscere” direttamente l’interessato.

La norma considera, espressamente, irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea». Ad escludere il trattamento non basta che il modello archiviato consista in un numero non associabile al dato fisico, né che partendo dal numero, non sia possibile ricostruire l’immagine della mano perché l’algoritmo è unidirezionale e irreversibile. Quello che importa è che attraverso la conservazione dell’algoritmo, si può risalire al lavoratore e quindi di identificarlo.

Sulla base di queste considerazioni la società tratta dati biometrici e ciò comporta la notificazione al Garante.

(CORTE DI CASSAZIONE, SEZ. II CIVILE – ORDINANZA 15 ottobre 2018, n.25686)

9 Ott 2018

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

(Fonte Garante Privacy)

27 Ago 2018

La messa in rete su un sito Internet di una fotografia, liberamente accessibile su un altro sito Internet con l’autorizzazione dell’autore, necessita di una nuova autorizzazione da parte di tale autore.

Infatti, con siffatta messa in rete, la fotografia viene messa a disposizione di un pubblico nuovo.

La corte di Giustizia Europea con sentenza del 7 agosto 2018 resa nella causa C-161/17, ha fornito la corretta interpretazione della nozione di “comunicazione al pubblico”, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29/CE sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione.

La messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet, va qualificata come “messa a disposizione” e, di conseguenza, come “atto di comunicazione”. Pertanto necessita di una nuova autorizzazione dell’autore.

La domanda di pronuncia pregiudiziale sottoposta ai giudici europei è stata presentata nell’ambito di una controversia che vedeva coinvolto un fotografo che aveva autorizzato i gestori di un sito Internet dedicato ai viaggi a pubblicare sul loro sito una delle sue foto. Un’alunna di un istituto scolastico, ha scaricato la foto in oggetto a partire da tale sito (dove essa era liberamente accessibile) per illustrare un progetto scolastico. Quest’ultimo è stato in seguito pubblicato sul sito Internet della scuola.

Per questa ragione il fotografo ha intrapreso un’azione dinanzi ai giudici tedeschi per vietare di riprodurre la sua foto. Altresì, ha reclamato il pagamento di una somma di € 400 a titolo di risarcimento danni.

A tale riguardo, il fotografo ha sostenuto di aver concesso un diritto d’uso solamente al gestore del sito Internet di viaggio e ha affermato che la messa in rete della fotografia sul sito Internet della scuola, costituisce una violazione del suo diritto d’autore. In tale contesto, il Bundesgerichtshof (Corte federale di giustizia, Germania) ha chiesto alla Corte di giustizia di interpretare la direttiva sul diritto d’autore, ai sensi della quale l’autore di un’opera ha, in linea di principio, il diritto esclusivo di autorizzare o vietare la comunicazione dell’opera al pubblico.

Innanzitutto, la Corte ricorda che una fotografia può essere protetta dal diritto d’autore alla condizione che essa costituisca una creazione intellettuale dell’autore, che ne rifletta la personalità e si manifesti attraverso le scelte libere e creative di quest’ultimo nella realizzazione di tale fotografia.

Quindi, ogni utilizzazione di un’opera effettuata da un terzo in assenza del previo consenso dell’autore deve essere considerata lesiva dei diritti dell’autore di detta opera.

Il problema nel caso in esame è se la messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet (la fotografia era stata copiata, tra i due caricamenti in rete, su un server privato), deve essere qualificata come «messa a disposizione» e, di conseguenza, come «atto di comunicazione».

La messa in rete di un’opera protetta dal diritto d’autore su un sito Internet diverso da quello sul quale è stata effettuata la comunicazione iniziale con l’autorizzazione del titolare del diritto d’autore, nelle circostanze come quelle di cui trattasi, dev’essere qualificata come messa a disposizione di un pubblico nuovo. Il pubblico preso in considerazione dal titolare del diritto d’autore nel momento in cui ha autorizzato la comunicazione della sua opera sul sito Internet sul quale quest’ultima è stata inizialmente pubblicata, è costituito dai soli utilizzatori di detto sito, e non dagli utilizzatori del sito Internet sul quale l’opera è stata successivamente messa in rete senza l’autorizzazione di detto titolare e dagli altri internauti.

Un sito differente si rivolge ad un pubblico differente, anche se i mezzi tecnici di comunicazione sono i medesimi.

Cosa diversa sarebbe stato se l’alunna avesse utilizzato solo un collegamento ipertestuale (un link) che avesse rimandato direttamente alla fotografia. In questo modo, i diritti del titolare sarebbero stati tutelati.

Infine, il fatto che il titolare del diritto d’autore non avesse posto restrizioni alle possibilità di utilizzo della fotografia da parte degli internauti non è rilevante.

(Corte di Giustizia UE, Seconda Sezione, sentenza 7 agosto 2018, causa C-161/17)

30 Lug 2018

Il Garante per la protezione dei dati personali ha presentato la Relazione sulle attività svolte nel corso del 2017.
Tra gli interventi su cui l’Autorità ha inteso dedicare un’attenzione maggiore ci sono, sicuramente, quello della protezione di dati on line e quello delle nuove tecnologie, che per la loro particolare invasività accrescono negli utenti l’esigenza di tutela delle proprie informazioni personali.
Nel 2017 si è andato consolidando il criterio per l’esercizio del diritto all’oblio e per una sua tutela anche al di fuori dei confini europei, dall’altro, si sono messe in luce – all’indomani di un’indagine internazionale a cui il Garante ha preso parte – le criticità legate alla mancanza di trasparenza nell’uso dei dati degli utenti da parte delle app in diversi settori, quali la vendita al dettaglio, finanza e banche, sanità, istruzione, viaggi, social network, gioco d’azzardo.
Sul cyberbullismo sono state predisposte misure e procedure per la rimozione dei contenuti offensivi, siglando un protocollo di intesa con la Polizia postale allo scopo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.
Sono state date le prime indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare dal ransomware. Per quanto riguarda i social network si è sottolineata l’impossibilità di provare la persistente natura “chiusa” di un profilo social e la sua accessibilità solo a un ristretto gruppo di “amici”.
Nel settore della sanitàil Garante è intervenuto per semplificare le procedure connesse ai nuovi obblighi sui vaccini e favorire lo scambio tra scuole e Asl, ha dato il via libera al sistema informativo dei trapianti, è intervenuto a ricordare le garanzie relative ai dati sull’Hiv, ha espresso parere favorevole sul registro dei tumori della Regione Lazio.
Sul fronte della disciplina in materia di lavoro, ha fissato le regole per l’uso delle nuove tecnologie dopo l’introduzione del Jobs Act, con particolare riguardo alla geolocalizzazione dei lavoratori, e ha vietato i controlli indiscriminati su mail e smartphone.
Muovendo, poi, in materia di trasparenza on line della pubblica amministrazione, l’Autorità “ha richiamato il Governo alla necessità di contemperare obblighi di pubblicità degli atti e dignità delle persone e ha fissato alcune regole per l’esercizio del diritto di accesso civico”, altresì intervenendo a bloccare la diffusione di dati sensibili su alcuni siti istituzionali di amministrazioni pubbliche.
In ambito pubblico, è stato affrontato il tema della sicurezza della Pa digitale e il rafforzamento delle garanzie per i cittadini nell’attuazione dello Spid. 
Sul nuovo Codice dell’amministrazione digitale (Cad), l’Autorità ha sollevato “la questione dell’accesso indiscriminato ai dati relativi al “domicilio digitale” dei cittadini e chiesto regole più specifiche per l’accesso ai servizi digitali delle PA e per l´utilizzo dei dati anagrafici”.
In tema di fiscalità, si è verificata la corretta “messa in sicurezza dello “Spesometro” contenente i dati fiscali di milioni di contribuenti” e sono state prescritte “misure tecniche riguardo all’accesso alla dichiarazione dei redditi precompilata da parte di interessati, Caf e soggetti autorizzati”. 
Grande attenzione è stata rivolta, poi, anche al sistema di banche dati pubbliche, tra cui quella dell’Anagrafe tributaria, stimolandone la messa in sicurezza.
Inoltre, “è proseguito l’impegno dell’Autorità sul fronte del telemarketing aggressivo intervenendo contro la prassi del cosiddetto “web scraping”, cioè la pratica di raccogliere in maniera automatica ed indiscriminata dati personali presenti in rete facendo girare appositi software alla ricerca di nomi, cognomi, indirizzi, numeri di telefono, mail per poi contattarli senza consenso”. 
Si è intervenuti contro l’invio senza acquisizione del necessario consenso dell’interessato di proposte commerciali attraverso indirizzi mail presenti sui social network.
In questo contesto, sono stati accertati rilevanti illeciti da parte di società di telefonia, sono state svolte ispezioni presso diversi call center e sono stati suggeriti al legislatore modifiche normative per rafforzare le garanzie dei cittadini.

Un po’ di cifre

Nel 2017 sono stati adottati 573 provvedimenti collegiali. L’Autorità ha fornito riscontro a circa 6.000 reclami e segnalazioni. Sono state effettuate 275 ispezioni.

Le sanzioni amministrative riscosse ammontano a circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016.

(Fonte Garante Privacy)

30 Lug 2018

Il Garante Privacy pubblica un vademecum su come difendere la propria privacy in vacanza. Informazioni su come utilizzare il proprio smartphone e tablet, social network e selfie in vacanza. Poche e semplici regole una vacanza a prova di privacy.

L’attenzione maggiore deve essere riservata ai minori e alle loro foto postate e condivise sui social.

9cab3966-1a69-aa8d-d729-6641937010b6.jpg

1. Sotto il sole estivo, non esporsi troppo con selfie e foto: protezione alta soprattutto per i minori. Non tutti vogliono apparire on line, essere riconosciuti o far sapere dove e con chi si trovano durante le ferie estive. Se si postano foto o video in cui compaiono altre persone, è sempre meglio prima accertarsi che queste siano d’accordo, specie se si inseriscono anche dei tag con nomi e cognomi. E’ abitudine diffusa condividere foto e video dei propri figli. E’ bene essere sempre consapevoli che le immagini dei minori pubblicate on line possono finire anche nelle mani di malintenzionati: meglio quindi evitare di “postarle”, oppure almeno utilizzare alcune accortezze, come rendere irriconoscibile il viso del minore (ad esempio, utilizzando progammi di grafica per “pixellare” i volti, semplici da usare e disponibili anche gratuitamente online, o posizionando semplicemente sopra una “faccina” emoticon), oppure limitare le impostazioni di visibilità delle immagini solo alle persone fidate.

2. Geolocalizzati anche in ferie? Per gli amanti della riservatezza che non vogliono far sapere dove sono durante le vacanze estive, il suggerimento è disattivare le opzioni di geolocalizzazione di smartphone e tablet (se non indispensabili per specifici servizi), oltre a quelle dei social network utilizzati.

3. I “social-ladri” non vanno in vacanza. Postando sui social network informazioni sulle vacanze si potrebbe far sapere ad eventuali malintenzionati che la propria casa è vuota.

4. Non “abbandonare” la tua casa. Se sono presenti in casa prodotti e sistemi domotici, è importante ricordare che questi utili dispositivi – al pari di tutte le tecnologie connesse online – possono essere esposti ad attacchi informatici, virus e malware. Laddove possibile, è quindi bene assicurarsi che siano protetti, ad esempio impostando password sicure e aggiornando costantemente il software per garantire una maggiore protezione.

5. Metti anche la privacy in valigia. Anche in vacanza, è bene controllare le impostazioni privacy dei social network utilizzati, limitando magari la visibilità e la condivisione dei post ai soli amici. Altra buona regola è fare attenzione a non accettare sconosciuti nella cerchia di amicizie on line.

6. Attenzione ai “pacchi”. E´ bene fare attenzione a eventuali messaggi che contengono offerte straordinarie riguardo viaggi e affitti di case per le vacanze da ottenere,  ad esempio, cliccando su link che richiedono dati personali o bancari. Virus informatici, software spia, ransomware phishing possono essere in agguato.

7. App-prova di estate. In vacanza molti utenti di smartphone e tablet scaricano film, app per giochi, suggerimenti turistici, ecc.. Questi prodotti possono anche nascondere virus o malware (cioè,  software pericolosi). Per proteggersi, buone regole sono: scaricare le app dai market ufficiali; leggere con attenzione le descrizioni delle app (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare).

8. Per chi non può proprio vivere senza wi-fi. Se si usano le connessioni offerte da bar, ristoranti, stabilimenti balneari e hotel e non si è certi degli standard di sicurezza impostati per proteggere il wi-fi da virus e rischi di intrusione, meglio adottare alcune accortezze, come evitare di accedere a servizi online che richiedono credenziali di accesso (ad esempio, alla propria webmail, ai social network, ecc.), fare acquisti on line con la carta di credito oppure utilizzare il conto bancario on line.

9. Scegliere una protezione alta per non rimanere “scottati”. Aggiornamenti software costanti e programmi antivirus, magari dotati anche di anti-spyware e anti-spam, possono essere buone precauzioni per evitare furti di dati o violazioni della privacy.

10. Smartphone e tablet pronti a “partire”. Durante le vacanze, può purtroppo accadere che smartphone e tablet siano smarriti o vengano rubati: è quindi bene seguire alcune accortezze. In generale, è opportuno non conservare dati troppo personali sui device (ad esempio, password o codici bancari) e prendere altre piccole precauzioni, come quella di evitare che i browser e le app memorizzino le credenziali di accesso a siti e servizi (ad esempio, posta elettronica, social network, e-banking).

11. Per navigare tranquilli nel mare dei messaggi. Nel periodo estivo si utilizzano molto sms, chat e sistemi di messaggistica. Alcuni messaggi potrebbero però contenere virus, malware o esporre al rischio di spam. E´ quindi sempre bene fare molta attenzione prima di scaricare programmi, aprire eventuali allegati o cliccare su link che possono essere contenuti nel testo o nelle immagini presenti all´interno dei messaggi ricevuti.

12. Per chi porta il drone in vacanza. Se si fa volare a fini ricreativi un drone munito di fotocamera su una spiaggia o in un altro abituale luogo di vacanza, è meglio evitare di invadere gli spazi personali e l’intimità delle persone. La diffusione di riprese realizzate con il drone (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici.

13. Non lasciare a casa il buon senso. La miglior difesa anche nel periodo delle vacanze è usare con consapevolezza e attenzione le nuove tecnologie e gestire con accortezza i nostri dati personali, ricordando semplici regole che tutti possono mettere in campo.

(Fonte Garante Privacy)

7 Lug 2018

L’Autorità Garante della Protezione dei Dati ha pubblicato una scheda di sintesi per le aziende e gli enti.

Ecco i punti principali

Valutazione d’Impatto

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Il Registro dei trattamenti

Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.

Sicurezza dei dati

Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Il Responsabile della Protezione dei Dati (DPO)

La designazione (in vari casi obbligatoria) di un RPD riflette l´approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento.

 

Regolamento UE 2016 679. Una sintesi per aziende ed enti

30 Giu 2018

Una società di trasporto pubblico ferroviario  potrà dotare  di body cam (videocamere indossabili) gli addetti alla sicurezza e  i capitreno per contrastare e prevenire aggressioni furti e atti vandalici, in aumento negli ultimi anni. Ma dovrà adottare precise misure a tutela della riservatezza delle persone riprese [doc. web n. 8995107].

(Fonte Garante Privacy)