Il Garante per la protezione dei dati personali ha ordinato a Vodafone il pagamento di una sanzione amministrativa di 800 mila euro per aver svolto attività di marketing in violazione della normativa antecedente al Regolamento europeo. L’ingiunzione fa seguito ad un precedente provvedimento con il quale il Garante aveva vietato all’operatore telefonico l’invio di sms e l’effettuazione di chiamate per finalità di marketing a chi non avesse manifestato uno specifico consenso o avesse addirittura chiesto di non essere più disturbato con offerte commerciali.

Il Garante privacy ha dato via libera allo schema di Linee guida del Comitato di indirizzo e coordinamento dell'informazione statistica (Comstat) per l’accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (Sistan), ma ha previsto misure che innalzano le tutele sui dati personali trattati.

I ricercatori dell’Israel Institute of Technology hanno identificato una vulnerabilità di sicurezza (CVE-2018-5383) in due funzionalità Bluetooth correlate. Le due funzioni sono Secure Simple Pairing e LE Secure Connections. I ricercatori hanno scoperto che le specifiche Bluetooth raccomandano, ma non richiedono, una particolare procedura di sicurezza per queste funzioni. Non è richiesto che un dispositivo che le supporti convalidi la chiave pubblica ricevuta over-the-air durante il pairing con un nuovo device.

Il Registro è il documento che contiene le attività di trattamento dei dati, redatto preferibilmente in formato elettronico (ad esempio su un foglio excel) per facilitarne l’aggiornamento periodico. L’obbligo di tenuta e di aggiornamento grava sulle organizzazioni medio-grandi, ossia quelle con 250 o più dipendenti (articolo 30 del regolamento 679/2016).

Gli Stati Uniti stanno preparando la propria risposta al GDPR europeo. Ad annunciare la novità è il Washington Post: negli USA è partito il processo che porterà ad una nuova normativa sulla gestione della privacy online, strada che potrebbe sortire i propri risultati già entro l’anno in corso.

Solo a maggio scorso, secondo quanto ha fatto sapere il Garante della Privacy, gli attacchi informatici in Italia sono stati 140. Non tutti vanno a segno, e non tutti sono di dimensioni internazionali, ma i data breach, le violazioni dei dati gestiti dalle aziende, sono un fenomeno diffuso.

E se la scatola nera venisse violata? Se il nostro computer, custode di appunti, email di lavoro, diari, foto, documenti, finisse nelle mani sbagliate? È questo che sta accadendo a centinaia di persone in tutta Italia in questi giorni, ricattate da hacker senza scrupoli che contattano le vittime tramite email e tentano di riscuotere il loro bottino in bitcoin. La lista dei colpiti vedrebbe coinvolti imprenditori, vertici di aziende pubbliche e private, figure istituzionali, professori universitari, tutti ricattati con una email che non lascia troppo spazio a fraintendimenti, che minaccia di divulgare informazioni privatissime a tutti i contatti social dell’utente. “Ho installato un malware sul video per adulti e tu hai visitato questo sito per divertirti (capisci cosa intendo)."

La corazza stavolta si è sgretolata. Non ha retto l'urto di uno scandalo – quello di Cambridge Analytica – che forse gli analisti hanno archiviato troppo in fretta. Dopo due anni di trimestrali a prova di proiettile, Facebook crolla sotto i colpi delle stime disattese. Gli utenti non crescono più come un tempo, i ricavi pubblicitari rallentano. E in borsa le reazioni sono state spietate, col titolo del colosso di Menlo Park che è precipitato al di sotto al -20%, bruciando qualcosa come 114 miliardi in poche ore. Ma cosa sta succedendo a Facebook? 

Il dipendente che si improvvisa investigatore e viola la legge per raccogliere prove di illeciti nell’ambiente di lavoro non può invocare la tutela del whistleblowing. La “protezione”, prevista dalla legge 179/2017, è destinata solo a chi segnala notizie di un’attività illecita, acquisite nell’ambiente e in occasione del lavoro. Senza che ci sia alcun obbligo in questo senso né, tantomeno, è ipotizzabile una tacita autorizzazione a improprie azioni di “indagine”, per di più illecite.

I consulenti del lavoro non sono obbligatoriamente responsabili esterni del trattamento. Questa l'indicazione del Consiglio nazionale dei consulenti del lavoro (circolare n. 1150 del 23 luglio 2018), in cui si affronta un problema posto dal Regolamento Ue sulla privacy (n. 2016/679). In effetti se un soggetto è «responsabile del trattamento», in base all'articolo 28 del regolamento, deve obbligatoriamente, a pena di sanzione amministrativa, sottoscrivere un contratto con il titolare del trattamento. Per questo motivo ai consulenti stanno arrivando richieste di firmare il contratto di responsabile esterno. Secondo la circolare le richieste possono essere respinte.