Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi
La banca aveva spedito un plico tramite corriere, ma la corrispondenza contente dati personali del cliente era andata smarrita. Da una situazione apparentemente priva di grosse conseguenze, in questo caso però è intervenuta l’autorità per la privacy con una sanzione all’istituto bancario. I motivi? perché si trattava a tutti gli effetti di un “data breach” e l’adempimento dell’obbligo di notifica non viene meno per il fatto che non si siano effettivamente verificate conseguenze negative per il cliente, ma vi si deve comunque ottemperare per la semplice possibilità che esse si verifichino.
Sarà probabilmente capitato almeno una volta anche a voi di essere aggiunti a un gruppo di WhatsApp senza che nessuno ve ne chieda il permesso, e non sempre l’amministratore che vi include vi fa una gradita sorpresa. D’altra parte l’app di messaggistica di Facebook neanche vi facilita nell’evitare tali ingerenze nella vostra sfera privata che talvolta possono risultare pure fastidiose, perché per impostazione predefinita chiunque possieda il vostro numero di telefono può aggiungervi in un gruppo da questo amministrato. Ma in certi casi chi vi inserisce nel proprio gruppo senza chiedervi il consenso può essere sanzionato per violazione della privacy.
Fin dall’introduzione della prima Legge n. 675/1996 sulla protezione dei dati personali, nella maggior parte delle aziende la più grande mole di informazioni da tutelare riguardava la gestione del personale. All’epoca, individuarne il perimetro e adottare le misure di sicurezza richieste era un compito di relativa difficoltà, perché i dati si presentavano perlopiù in forma cartacea, spesso riposti in archivi fisici.
Quotidiani e siti on line riportano notizie di iniziative promosse da gruppi No Vax che, su chat e social media, diffondono e invitano a diffondere indirizzi e cellulari di medici, giornalisti, rappresentanti delle istituzioni, politici. E' vero che tutti hanno diritto di manifestare liberamente il proprio pensiero, ma ciò deve sempre avvenire nel rispetto delle leggi vigenti. Protestare è quindi un diritto sacrosanto, ma calpestare la privacy delle persone che la pensano diversamente da noi non lo è.
Il garante per la privacy spagnolo (AEPD) ha sanzionato una catena di supermercati per 2,5 milioni di euro per uso illecito di un sistema di videosorveglianza dotato di riconoscimento facciale che identificava il volto dei clienti raccogliendo una serie di dati biometrici che venivano automaticamente confrontati con una banca dati per determinare se il cliente aveva pendenze con la giustizia, bloccandone in tal caso l’ingresso e facendo scattare un allarme per richiedere l’intervento del personale della sicurezza.
Per i furbetti del Green Pass non c’è bisogno di andare nel Dark Web o su qualche canale Telegram di truffatori per procurarsi un valido QR Code pagando centinaia di euro, perché si può comprare con pochi click a 9,99 euro su Alamy, noto sito di vendita online di immagini in stock.
Il Garante per la protezione dei dati personali della Repubblica di San Marino ha sanzionato Facebook per un totale di 5 milioni di euro per violazioni delle norme sulla protezione dei dati personali con due distinti procedimenti, il primo dei quali riguarda la sottrazione dei dati personali di migliaia di utenti sammarinesi, mentre nel secondo l’autorità ha contestato i criteri di accertamento dell'età dei minori che chiedono di iscriversi al social network.
L'Autorità per la protezione dei dati dei Paesi Bassi (Autoriteit Persoonsgegevens) ha inflitto una sanzione di 750.000 euro a TikTok per aver violato la privacy dei bambini a seguito di un'indagine su vasta scala avviata lo scorso anno. Il garante olandese aveva infatti preso di mira il noto social network cinese, che nei Paesi Bassi è una delle app più popolari con circa 3,5 milioni di utenti (molti dei quali minori) perché forniva le proprie informative sulla privacy solamente in inglese senza provvederle in lingua olandese, e quindi con maggiori probabilità che i bambini si iscrivessero al servizio senza comprendere appieno come l'app raccoglie, elabora e utilizza i loro dati personali o le implicazioni della condivisione di dati personali dati sui social.
La BEUC, (Bureau Européen des Unions de Consommateurs) che è l'organizzazione europea fondata nel 1962 che raggruppa 46 associazioni dei consumatori europee di 32 paesi (Altroconsumo per l’Italia), ha presentato una denuncia alla Commissione europea e alla rete europea delle autorità per i consumatori contro WhatsApp, accusando la nota app di messaggistica istantanea di proprietà di Facebook di aver esercitato continue e indebite pressioni sugli utenti per forzarli ad accettare nuovi termini sulla privacy che non sarebbero né comprensibili né trasparenti, e quindi in palese violazione dei diritti che il Gdpr riconosce agli interessati.
Le aziende investono sempre più risorse in cybersicurezza per proteggere i loro dati, ma non sempre chi li viola è un hacker, e non sempre chi se ne appropria è un malintenzionato che attacca dall’esterno. Anzi, più del 50% delle organizzazioni intervistate nell’ambito di uno studio di Cyber Security Researcher hanno confermato che gli attacchi che hanno subìto a danno dei propri sistemi informatici sono avvenuti dall’interno. Ne è un esempio il caso di un dipendente del reparto IT di un centro di ricerca clinica per la diagnosi di malattie genetiche rare, che prima di lasciare il suo posto di lavoro ha copiato tutte le informazioni sensibili di 10.000 pazienti sia adulti che bambini.
