OSSERVATORIO VECOMP

Linee guida per la sicurezza e la protezione dei dati dei dispositivi iot
Il nuovo regolamento, che sarà presentato il 13 settembre, prevede multe fino al 2,5% del fatturato per le aziende che non rispetteranno i criteri di sicurezza o avvertiranno dell'incidente di sicurezza entro 24 ore.

L'obiettivo del regolamento è di aumentare la sicurezza dei dispositivi IoT, che includono prodotti di varie categorie merceologiche: grandi e piccoli elettrodomestici, citofoni intelligenti, sensori per la sicurezza domestica e altro ancora. Sono i dispositivi che più di frequente non ricevono aggiornamenti di sicurezza e le cui vulnerabilità restano esposte per lungo tempo. Il rischio è più grande soprattutto per le imprese, che possono essere colpite da un ransomware, che blocca i dati aziendali dietro al pagamento di un riscatto.
L'attuale versione del regolamento, chiamato Cyber Resilience Act, prevede che i produttori hardware debbano rispettare determinati criteri di sicurezza e che effettuino delle specifiche valutazioni per identificare i problemi e agiscano per correggerli.
Inoltre, eventuali incidenti di sicurezza dovranno essere notificati all'agenzia dell'Unione Europea per la cybersicurezza (ENISA) entro 24 ore dal momento in cui sono stati scoperti e gli importatori e i distributori dovranno assicurarsi che i prodotti rispettino le nuove regole europee.
 
Data: 9 settembre 2022
Fonte

Decreto Trasparenza: impatti sulla privacy
Il 13 agosto 2022 è entrato in vigore il Decreto Trasparenza che introduce una serie di obblighi informativi per il datore di lavoro con chiare implicazioni in materia di privacy. Vediamo quali.
 
La nuova disposizione normativa si applica a tutti i rapporti di lavoro subordinato, anche con tipologie contrattuali non standard (collaborazione coordinata e continuativa, prestazione occasionale, lavoro intermittente, lavoro somministrato, etc.), a meno che la durata media del rapporto di lavoro non sia inferiore a 3 ore settimanali. 
Le implicazioni in materia di privacy sono contenute nel nuovo articolo 1-bis del Decreto Legislativo n. 152/1997 che obbliga il datore di lavoro a “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori“.

Nell’articolo si fa riferimento all’utilizzo di strumenti utili al datore di lavoro nella fase di recruiting, fino alla gestione del rapporto di lavoro e alla sua cessazione (nel perimetro di questi sistemi rientrano quindi anche i sistemi utilizzati per la valutazione dei propri dipendenti).
Nel caso in cui il datore di lavoro faccia uso di tali sistemi, al lavoratore devono essere fornite anche le seguenti informazioni:

• gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi decisionali o di monitoraggio;
• gli scopi e le finalità di tali sistemi;
• la logica e il funzionamento di tali sistemi;
• le categorie di dati e i parametri principali utilizzati per programmare o addestrare tali sistemi, inclusi i meccanismi di valutazione delle prestazioni;
• le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
• il livello di accuratezza, robustezza e cybersicurezza di tali sistemi, le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Esistono diverse modalità per adempiere all’obbligo di informazione introdotto dal Decreto:

1. la consegna delle informazioni all’atto dell’instaurazione del rapporto o prima dell’inizio dell’attività lavorativa, all’interno del contratto o con la comunicazione di assunzione inviata ai sensi del D.lgs. 510/1996.
2. Se però le informazioni richieste dal Decreto trasparenza non fossero disponibili in questi documenti, il datore di lavoro potrà fare ricorso alle norme del comma 3 del modificato art. 1 del Decreto trasparenza, che consente di comunicare la gran parte delle informazioni mediante comunicazione scritta da consegnare entro i sette giorni successivi all’inizio della prestazione lavorativa e per un altro gruppo di informazioni di far ricorso a un periodo di dilazione più lungo, fino a un mese.

Infine, allo scopo di mantenere un’adeguata compliance, stante l’introduzione delle attività di sorveglianza e monitoraggio indicate, sarà necessario aggiornare le informative (art. 13 GDPR), le lettere d’incarico (art. 24 GDPR), il registro dei trattamenti (art. 30 GDPR) e revisionare, se del caso, la valutazione dei rischi (art. 32 GDPR) e l’eventuale valutazione d’impatto (art. 35 GDPR).

Data: 29 luglio 2022
Decreto trasparenza

HISTORIES

Fototrappole: intervento del Garante
Anche quando le “fototrappole” servono per accertare violazioni della normativa sull’abbandono dei rifiuti bisogna fornire idonee informative.

Il Garante ha sanzionato il Comune di Policoro per aver effettuato - con le fototrappole - trattamenti dei dati in violazione della normativa privacy.
Tutto ha avuto inizio con il reclamo di un cittadino che è stato sanzionato per tre volte per abbandono abusivo di rifiuti solidi urbani dopo essere stato ripreso dalle fototrappole mentre commetteva il reato.  
Il reclamante ha lamentato che non erano stati installati dal Comune degli idonei cartelli contenti l’informativa privacy ai sensi degli art. 13 e 14 del GDPR e che i suoi dati personali erano stati conservati oltre il periodo consentito (oltre 6o giorni dalla registrazione).
Per quanto riguarda la conservazione delle immagini, il periodo è legittimo in quanto il controllo delle discariche dall’abbandono dei rifiuti viene accertato dalla polizia giudiziaria  nei termini previsti dalla apposita direttiva europea n. 2016/680 (e non il GDPR), la quale prevede diversi periodi di conservazione dei dati personali a seconda delle varie fattispecie di reato.
Per quanto concerne l’informativa privacy, il Garante ha ribadito che il Titolare del Trattamento è tenuto a rispettare i principi in materia di protezione dei dati personali, fra cui l’obbligo di fornire all’interessato tutte le informazioni previste dagli articoli 13 e 14 del GDPR in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro.
In sintesi, il Garante ha sanzionato il Comune con una sanzione amministrativa di €. 26.000, inoltre il Comune dovrà provvedere a dichiarare i tempi massimi di conservazione delle immagini nonché di fornire agli interessati una idonea informativa.
 
Data: 9 giugno 2022
Provvedimento

Vietata la diffusione di foto lesive della dignità
Il Garante sanziona il Ministero dell'Interno per aver diffuso immagini di persone tratte in arresto

Con i Provvedimenti n. 61 e 62 del 24 febbraio 2022 il Garante ha emanato due Ordinanze di ingiunzione nei confronti del Ministero dell’Interno, per un totale di 110.000 euro di sanzione, per aver illecitamente trattato le immagini di soggetti in stato di arresto, lenendone il diritto alla riservatezza e la dignità.
Il primo dei due episodi riguardava un video pubblicato su alcuni siti internet e testate giornalistiche che mostrava i volti e i nominativi di otto persone arrestate, nonché le immagini dei momenti in cui venivano condotte - in questo caso, con il volto coperto - dagli agenti di polizia nelle auto di servizio. Il video era rimasto visibile per oltre 5 anni sul profilo Facebook di una Questura, poi rimosso solo dopo l'intervento del Garante. Nell'irrogare la sanzione di 60.000 euro per questo episodio, l’Autorità ha affermato che le immagini sono caratterizzate da una elevata potenzialità offensiva della dignità umana sbilanciata rispetto alle esigenze di polizia che il Viminale aveva rivendicato per giustificare la diffusione.
Nel secondo episodio, invece, un’altra Questura aveva divulgato alla stampa, sempre senza che ve ne fosse alcuna necessità, le generalità e l’immagine in primo piano di una persona già in carcere per dare la notizia di un ulteriore provvedimento restrittivo emesso nei suoi confronti. Anche in questo caso, il Garante ha ritenuto illecita la divulgazione di dati personali e ha applicato al Ministero una sanzione pecuniaria di 50.000 euro.
Secondo l’Autorità di controllo, bisognava tenere conto del fatto che l’interessato era già detenuto che la diffusione delle immagini e non considerava adeguatamente le esigenze di tutela della dignità, della sfera privata e di protezione dei dati personali.
 
Data: 24 febbraio 2022
Ordinanza n.61
Ordinanza nr. 62

 

IL CASO

Instagram: sanzione da 405 milioni di euro
Maxi sanzione inflitta a Meta, società con sede negli Stati Uniti proprietaria del noto social network che vanta oltre un miliardo di utenti nel mondo, tra cui 25,6 milioni solo in Italia, dei quali più del 50% under 35.

L’Irish Data Protection Commission, l’ente irlandese che si occupa di tutela dei dati personali, ha multato Instagram chiedendo 405 milioni di euro per avere violato il regolamento europeo sulla privacy (GDPR). È la seconda multa più alta per violazione del GDPR mai imposta nell’Unione Europea, dopo quella da 746 milioni di euro contro Amazon nell’estate del 2021.
Secondo le autorità irlandesi, Meta ha violato la privacy dei minorenni mostrando in alcuni casi i loro indirizzi e-mail e numeri di telefono a terzi. I dati sarebbero diventati pubblici in seguito alla scelta di alcuni utenti con meno di 18 anni di passare a un account “business”, che consente di accedere a maggiori statistiche sull’utilizzo del proprio profilo, rendendo però più semplice ed evidente la pubblicazione dei propri contatti. Meta sostiene di avere aggiornato le impostazioni «oltre un anno fa» per evitare problemi di questo tipo e ha annunciato che farà ricorso contro la decisione.
Data: 5 settembre 2022
Fonte

DOMANDE E RISPOSTE

La finta video sorveglianza è legittima?
Nel suo provvedimento n. 1003484 il Garante ha stabilito che «l'installazione meramente dimostrativa o artefatta, anche se non comporta trattamento di dati personali, può determinare forme di condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e pertanto può essere legittimamente oggetto di contestazione». Ne consegue quindi che, seppur non vietate e quindi non illecite, le telecamere finte o non funzionanti sono comunque illegittime. Lo stesso dicasi in caso di affissione di cartelli indicanti la presenza di un sistema di video sorveglianza in realtà inesistente. In questo ultimo caso la possibilità di dimostrare l'incongruenza tra la segnalazione e la realtà è addirittura più elevata che nell'altro.
 
Il nominativo del coniuge è un 'dato sensibile' se rivela l’orientamento sessuale?
La Corte di Giustizia dell’UE ha emesso un'altra sentenza molto importante in materia di protezione dei dati personali. In data 1° agosto 2022, la Corte di Giustizia dell’UE ha stabilito che tutti i dati in grado di rivelare informazioni sensibili di un individuo mediante un «trattamento intellettuale», come un confronto o una semplice deduzione, rientrano nel novero delle «categorie particolari» di dati personali ai sensi dell’art. 9 del GDPR, ovvero quelle informazioni che necessitano di particolari tutele come quelle che riguardano opinioni politiche, convinzioni religiose o filosofiche, la salute o l’orientamento sessuale della persona, e altri dati che rivestono particolare delicatezza per l’impatto che hanno sulla sfera privata di una persona.