Dovrà trascorrere i prossimi cinque anni agli arresti domiciliari nella propria abitazione Reyes Daniel Ruiz, l’ex dipendente guardone di 34 anni residente in California che aveva violato gli account di 6.000 donne in cerca di foto e video sessualmente esplicite. La condanna stabilita dal giudice prevede anche il pagamento di una sanzione pecuniaria di 5.000 dollari e la restituzione a Yahoo per cui lavorava di una somma pari a 118.456 dollari.
Sono tre i filoni principali delle difese in caso di contestazioni di violazioni della privacy: l'illecito non è sanzionabile; la mancanza commessa merita un ammonimento e non una sanzione pecuniaria; ci sono ragioni per cui la sanzione deve essere mantenuta su livelli più bassi. Vediamo, dunque, come potersi muovere e quali specifiche motivazioni si possono inserire negli atti difensivi.
Troppo salate le sanzioni privacy calcolate sul fatturato aziendale delle imprese. Per le imprese, che fanno parte di un gruppo, si deve tenere conto del fatturato globale di gruppo, solo quando la violazione della privacy è frutto di una strategia di gruppo. Sono queste le conclusioni dell’avvocato generale della corte di giustizia dell’Ue (Cgue), presentate il 12/9/2024 nella causa C-383/23.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Da gennaio a marzo in Italia si sono registrati 349 eventi tra cyber-attacchi, incidenti e violazioni della privacy, con una crescita del 47% sul trimestre precedente e ben sette volte di più rispetto ai primi tre mesi del 2020. Continua a crescere, quindi, il trend degli attacchi informatici, come confermato dal primo Exprivia Threat Intelligence Report del 2021 elaborato dall'Osservatorio cybersecurity di Exprivia.
L'autorità di controllo per la protezione dei dati danese ha recentemente rilevato che due comuni, quello di Gladsaxe e quello di Hørsholm non garantiscono un livello adeguato di sicurezza dei dati come richiesto dal Gdpr, a seguito della notifica di due rispettivi data breach rischiamo adesso di essere sanzionati.
Negli ultimi mesi abbiamo assistito sulle pagine di cronaca a un susseguirsi di notizie su furti di dati, attacchi hacker e divulgazioni di database pieni di password. Di conseguenza è aumentata come mai prima la percezione e di conseguenza il timore che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. In altre parole, che accada quello che il GDPR 16/679 definisce data breach o più semplicemente in italiano una violazione dei dati personali.
Al via il modello del Garante per la segnalazione degli incidenti, informatici e no, da cui sia derivata una violazione della privacy: dai virus più o meno sofisticati alle perdite di dispositivi, dalle sottrazioni di banche dati alle alterazioni di file, dai furti di password ai ricatti online e così via.
A quattro mesi dalla piena operatività del Regolamento Generale per la Protezione dei Dati (Gdpr), in Europa è già iniziata la corsa alle segnalazioni che riguardano casi di violazioni dei dati personali. Così anche in Italia, dove dal 25 maggio - giorno zero per l’applicazione del Gdpr - a oggi, sono almeno un milione i cittadini i cui dati sono stati persi, modificati o divulgati senza autorizzazione. Ma la cifra, che fa riferimento solo alla metà delle 305 notificazioni ricevute dall’ufficio del Garante per la protezione dei dati, Antonello Soro, è ampiamente sottostimata. Infatti non c’è obbligo da parte dei titolari di un trattamento di dati di informare l’Autorità sulla quantità di profili coinvolti. Informazione che in alcuni casi loro stessi non sono in grado di conoscere.
Nel caso di violazioni dei dati personali il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista) senza indebiti ritardi e, se possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il Gdpr prevede un'ammenda salata per gli enti che subiscono attacchi premeditati di cybercriminali. E se non è causa espressa di esonero da responsabilità l'azione dolosa del terzo, non lo è neppure l'assenza di danni per gli interessati a seguito dell'illecita intrusione. È quanto si desume dall'ingiunzione del Garante dell'11 aprile 2024 n. 198.
Per leggere questo articolo devi essere registrato ed effettuare il login!
