OSSERVATORIO VECOMP

Via libera alle class action privacy
Le associazioni di tutela dei consumatori possono esercitare azioni contro lesioni della privacy, anche in assenza di una delega specifica della persona danneggiata ed anche in via preventiva.
La sentenza della Corte di Giustizia dell’Unione europea del 28 aprile 2022 (resa nella causa C-319/20) ha stabilito che l’articolo 80 del GDPR si applica direttamente agli Stati membri.
Per proteggere i dati personali da condotte pregiudizievoli le associazioni di tutela dei consumatori possono esercitare azioni rappresentative, anche indipendentemente dalla violazione concreta del diritto alla privacy di un interessato e senza mandato specifico.

Nel nostro ordinamento la legittimazione delle associazioni dei consumatori ad agire in giudizio, anche per promuovere azioni inibitorie è prevista dal Codice del Consumo (decreto legislativo numero 206 del 2005) e dagli articoli 840 bis e seguenti del Codice di procedura civile.
Data: 28 aprile 2022
Fonte: Sentenza Conte di Giustizia UE Causa C-319/20
 

EDPS, pubblicata la relazione annuale 2021
Il Garante europeo per la protezione dei dati (EDPS) ha pubblicato la relazione sulle attività svolte nel corso del 2021.
Nel 2021 l’EDPS ha aumentato l’uso dei suoi poteri d’intervento: è stato un anno senza precedenti in termini di consulenza dell’EDPS fornita al legislatore dell’UE. Con 88 pareri, inclusi commenti formali, emessi nel 2021, rispetto ai 27 del 2020.
Questo aumento dimostra l’importanza riconosciuta di integrare la protezione dei dati nel diritto dell’UE.
In particolare, dato l’aumento degli attacchi informatici in tutto il mondo, l’EDPS ha proseguito il lavoro di sensibilizzazione sulle violazioni dei dati personali per assistere le istituzioni dell’UE nella prevenzione e nel trattamento delle stesse.
 
Data: 22 aprile 2022
Fonte: EDPS
 

HISTORIES

Attacco hacker all'Associazione bancaria: online dati sensibili
La stessa associazione denuncia incursioni nei suoi sistemi informatici: pubblicati i dati di cedolini e malattie dei dipendenti.
La stessa ABI ha confermato la violazione di propri dati sensibili criptati, avvenuto in passato, che ora però risultano in circolazione. Da febbraio l'associazione è oggetto di attacchi informatici, come era stato di recente detto anche dalla Polizia postale. Oggi però questi dati sono online sul dark web. Tra questi ci sarebbero carte di credito aziendali e altri documenti attinenti al personale dell'Associazione, nello svolgimento delle loro mansioni (inclusi, sembra, certificati sanitari e cartellini di ingresso nelle sedi). Sono state presentate le denunce alla Polizia postale e alle Autorità competenti. L'ABI ha comunicato di aver già attivato tutte le azioni a propria tutela e di quella dei dati del personale e adottate tutte le misure per la messa in ulteriore sicurezza delle infrastrutture e dei dati. il gruppo ransomware Vice Society - secondo fonti di stampa - sarebbe l'autore dell'attacco.

Data: 29 aprile 2022
Comunicato stampa ABI

Ransomware: 2 aziende su 3 sono colpite dal malware
La sfida del ransomware in Italia continua a crescere. L'ottimizzazione della sicurezza informatica è un imperativo per tutti. Lo confermano i dati del nuovo rapporto “State of Ransomware 2022” realizzato a cura di Sophos.
La ricerca di Sophos ha analizzato i dati relativi al 2021 di 5.600 professionisti IT di aziende di medie dimensioni (100-5.000 dipendenti) in 31 paesi, di cui 200 in Italia. Il 61% del campione di aziende prese in esame è stato colpito da ransomware nell’ultimo anno mentre il 27% si aspetta di essere colpito in futuro. Delle aziende italiane colpite da ransomware, il 63% ha subìto la crittografia dei file, mentre il 26% è riuscito a bloccare l’attacco prima che i dati venissero criptati. Il 43% ha pagato il riscatto e ha recuperato i propri dati, mentre il 78% dichiara di essere riuscito a recuperare i dati grazie al proprio backup. Tra le aziende italiane che hanno pagato il riscatto, il 24% ha recuperato circa la metà dei propri dati e solo il 3% è riuscito a recuperare la totalità dei dati sottratti dai cybercriminali. Il 55% delle aziende italiane colpite ha dichiarato che l’impatto sulla propria operatività di business è stato molto alto e che il recovery time è stato fino a 1 settimana per il 36%, fino a un mese per il 34%, mentre solo l’11% del campione ha ripristinato la normalità in meno di un giorno.

Data: 30 aprile 2022
Fonte: Ricerca Sophos
 

IL CASO

Si può mettere una telecamera nel bagno dei dipendenti?
No, filmare il personale nei servizi igienici è una violazione penale della normativa sulla privacy.
Il bagno, così come lo spogliatoio, è un luogo intimo, dove la riservatezza personale non può essere compromessa per nessuna ragione. Lo ha ribadito di recente la Corte di Cassazione [Sentenza 17065/2022], confermando la condanna per un piccolo imprenditore che aveva fatto installare un impianto di videosorveglianza nel bagno, al dichiarato scopo di «controllare i dipendenti».

Data: 2 maggio 2022
Fonte: Cassazione sentenza n. 17065/2022

 

DOMANDE E RISPOSTE

Cos'è il diritto alla portabilità dei dati?
La portabilità dei dati personali è uno dei diritti riconosciuti dalla normativa europea GDPR. In termini generali, indica la possibilità di fornire i propri dati personali al titolare del trattamento e di riceverli un formato strutturato, di uso comune e leggibile da dispositivo automatico.
 
Come difendersi dal Phishing?
Difendersi dal phishing è semplice, occorre soltanto prestare un po’ di attenzione ad alcuni aspetti: innanzitutto, se si legge il contenuto del messaggio si noteranno diverse disattenzioni: banali errori di grammatica, discordanza nell’uso dei verbi e dei pronomi, ecc.; in secondo luogo, l’indirizzo del mittente, cioè di colui che ha inviato il messaggio, sembrerà anomalo, diverso da quelli comuni. Ciò avviene perché i truffatori, per non essere rintracciati, si avvalgono di indirizzi “usa e getta”; infine, bisogna sempre tenere a mente che gli istituti di credito non operano attraverso questi strumenti, cioè mediante l’invio di messaggi o e-mail, ma in maniera più qualificata, ad esempio attraverso raccomandate scritte.