Interessante decisione dell'ABF, che sembra discostarsi per alcuni aspetti dalla prevalente giurisprudenza del suddetto organismo in un caso di frode, denominato "caller Id spoofing", emessa in data 5 maggio 2021. Un correntista di una primaria banca italiana venne contattato dal numero verde della banca stessa, ma non riuscì a prendere la chiamata. Pochi minuti dopo, venne contattato da un numero di cellulare sconosciuto. Egli rispose quindi al telefono e chi chiamava si identificò come operatore della banca, comunicandogli che stava avvenendo una operazione di hackering ai suoi danni, per cui lo sollecitava a rispondere alla chiamata del numero verde della banca. Il cliente riagganciava e il numero verde della banca richiamò immediatamente. 

A giugno torna Alta Formazione DPO, il corso di formazione specialistico dedicato ai DPO, patrocinato dal Garante della Protezione dei dati personali e organizzato dall’organismo di certificazione e GDPR training center Inveo. Giunto alla quinta edizione il corso extra accademico, è stato studiato e progettato per fornire ai DPO conoscenze avanzate in tema di normazione e standard ISO al fine di consolidare le loro capacità di analisi e vigilanza.

Il Codice di Condotta CISPE (Cloud Infrastructure Services Providers in Europe) è stato approvato dall’European Data Protection Board (EDPB). A renderlo noto con un comunicato stampa è Aruba, che è tra i membri fondatori del CISPE. Alla luce dell’approvazione, il CISPE è quindi il primo codice paneuropeo nato per uniformare la regolamentazione in ambito cloud, in conformità con il GDPR, con l’obiettivo principale di permettere ai cittadini e alle imprese europee di proteggere i propri dati personali all’interno dello Spazio economico europeo.

È necessario prestare particolare attenzione a pubblicazioni o divulgazioni scientifiche di studi clinici, accertandosi che il paziente sia stato preventivamente informato, abbia dato il suo consenso e che i suoi dati siano stati opportunamente anonimizzati. Lo ha ricordato il Garante per la protezione dei dati personali nel sanzionare, in tre diversi provvedimenti, un dottore, una Ausl e un’associazione di medici chirurghi coinvolti nella pubblicazione on-line di documenti sulla salute di un paziente. Il caso di violazione dei dati personali (data breach) era stato segnalato al Garante da una Azienda sanitaria locale chiamata in causa da un paziente che, dopo essersi curato presso la struttura, aveva trovato fotografie e altre informazioni riferibili alla sua salute pubblicate sul sito di un’associazione medica. Tali documenti erano reperibili anche tramite comuni motori di ricerca.

Il ramo AXA dislocato in oriente (Thailandia, Malaysia, Hong Kong e Filippine) è stato colpito da un nuovo, ennesimo, attacco ransomware di grave impatto tanto economico quanto organizzativo. 3TB di dati sarebbero andati perduti sotto i colpi del team Avaddon e, come se non bastasse, l'azienda sarebbe anche oggetto di un massiccio attacco DDoS a livello globale. Ma c'è qualcosa di particolare a rendere questo attacco peggiore degli altri: il suo significato.

La condizione di fragilità economica va tutelata anche sul piano della riservatezza e il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati fin dalla progettazione dei sistemi e per impostazione predefinita. E’ quanto ha ribadito il Garante per la privacy nel sanzionare il Comune di Palermo per 40.000 euro per non aver protetto adeguatamente i dati personali dei cittadini che richiedevano sussidi alimentari.

Il Garante della privacy, con il documento diffuso il 14 maggio scorso, detta regole per le vaccinazioni in azienda che rischiano di rendere molto complicate le iniziative vaccinali che molte aziende si erano già dichiarate disponibili a intraprendere. La questione di fondo riguarda la possibilità che il datore di lavoro, anche indirettamente o accidentalmente, venga a conoscenza dell’adesione o meno del lavoratore alla campagna vaccinale.

Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy.

Va bene allargare la partecipazione dei cittadini al governo della città ma per non incorrere in sanzioni meglio evitare di diffondere sul web tutti i dati dei soggetti ammessi alla discussione. Lo ha chiarito il Garante per la protezione dei dati con l'ordinanza n. 73 del 25 febbraio 2021. Un comune ha allargato la partecipazione democratica introducendo nel proprio ordinamento un nuovo istituto che permette alle persone di proporre osservazioni direttamente al consiglio comunale.

Il Garante per la protezione dei dati personali ha approvato la versione definitiva del Codice di condotta sulle informazioni commerciali, elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (Ancic). Il Codice è stato opportunamente aggiornato e integrato dopo la conclusione dell’iter di accreditamento dell’Organismo di monitoraggio (OdM).