OSSERVATORIO VECOMP
 

App Immuni: il Garante autorizza la nuova funzione di allerta
Con il nuovo aggiornato dell’App gli utenti potranno segnalare in autonomia la propria positività al database nazionale e ai propri contatti stretti.

Il Garante ha autorizzato il Ministero della Salute ad attivare una nuova funzionalità dell’app Immuni. La persona risultata positiva potrà interagire direttamente con il Sistema di allerta Covid-19 inserendo i dati necessari per comunicare la sua positività (un codice univoco attribuito al proprio referto e le ultime 8 cifre della tessera sanitaria). Solo dopo la verifica dei dati da parte del Sistema, l’utente verrà abilitato ad utilizzare la funzione di allerta per i contatti stretti. Una volta avviata l’operazione la funzione viene inibita per impedirne ulteriori utilizzi.

Data: 25 febbraio 2021
Fonte: Garante Privacy
Approfondisci qui

Rifiuto del vaccino Covid: dipendente in ferie
Il datore di lavoro può lasciare in ferie il proprio dipendente che ha rifiutato di fare il vaccino anti-Covid: prevale, infatti, la tutela della salute del resto dell’organico.

Lo ha stabilito il tribunale di Belluno con una recente ordinanza.
Arriva, dunque, davanti ai giudici la diatriba sul diritto di un lavoratore di non vaccinarsi contro il Coronavirus e quello dell’azienda di prendere i dovuti provvedimenti. Si tratta della prima decisione in merito e, molto probabilmente, non sarà l’ultima.
Alla base dell’ordinanza del giudice (e del collocamento in ferie), il dovere del datore di tutelare la sicurezza degli altri dipendenti, obbligo previsto dal Codice civile (art. 2087) e quanto stabilito dal Codice civile prevale sul diritto del lavoratore di usufruire delle ferie in un altro periodo dell’anno

Data: 24 marzo 2021
Fonte: Ordinanza Tribunale di Belluno
Documento PDF

Sanzionata Regione Lazio: al CUP manca la nomina a Responsabile
Il Garante ha sanzionato la Regione Lazio per non aver nominato Responsabile del trattamento dati la Società che gestiva il call center del CUP regionale.
 
La società fornitrice delle prenotazioni delle prestazioni sanitarie ha dunque trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di Titolare, avrebbe designato formalmente la Società Cooperativa Capodarco Responsabile del trattamento, ben oltre l’inizio di piena applicazione del GDPR (maggio 2018).
Il Garante ha ribadito che le società che prestano servizi per conto del Titolare -  e che di conseguenza trattano i dati personali degli utenti - devono essere designate Responsabili del trattamento. Il rapporto tra Titolare e Responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali.
Rilevato l’illecito, oltre alla multa di 75.000, il Garante ha applicato la sanzione accessoria della pubblicazione del provvedimento sul proprio sito.

Data: 14 gennaio 2021
Fonte: Garante Privacy
Approfondisci qui

Multa esemplare al Ministero dello Sviluppo Economico (MISE)
Il MISE dovrà pagare 75.000 euro per non avere nominato il Rpd  entro il 28 maggio 2018 e per aver diffuso sul sito web istituzionale le informazioni personali di oltre 5000 manager.

Per la prima volta è stata sanzionata una PA per non avere designato il Responsabile protezione dati (Rdp) entro il termine stabilito. La nomina di questa figura era stata richiesta sin dal maggio 2017 a tutti i Ministeri, indicandola tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del GDPR.
La mancata nomina è emersa nel corso di una istruttoria aperta a seguito di alcune segnalazioni riguardo  la presenza su una pagina del sito del Ministero dei dati personali visibili e liberamente scaricabili di oltre  5.000 manager: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria. All’elenco avrebbero dovuto attingere le PMI destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale.
Il Garante ha ritenuto illecito questo trattamento dei dati: per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi. La pubblicazione sul web di dati e informazioni rappresenta la più ampia forma di diffusione di dati personali, con il rischio di renderli facilmente vulnerabili rispetto a ulteriori forme di utilizzo non legittime.
Sotto questo profilo è stata quindi contestata la violazione dei principi di “limitazione della finalità” e di “minimizzazione dei dati” e di proporzionalità, anche considerando che il Titolare del trattamento è tenuto a mettere «in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» (art. 25, par. 1, del GDPR).

Data:  11 febbraio 2021
Fonte: Garante Privacy
Approfondisci Qui

HYSTORIES

USA: persi 4,1 miliardi di dollari per colpa del cybercrime
Il Report pubblicato dall’FBI rivela un numero record di denunce per truffe e frodi online (791.790): + 69% rispetto al 2019 (467.361).

Il tipo di attacco più utilizzato dai cybercriminali secondo il Rapporto dell’FBI rimane il BEC (Business E-mail Compromise). Nel 2020, in USA sono sati registrati 19.369 incidenti di questo tipo all’FBI, con un incremento dei danni da 1,2 a 1,8 miliardi di dollari.
Un attacco BEC è una campagna mirata utilizzata dai cybercriminali per intraprendere uno scambio di e-mail con un dipendente della compagnia di interesse per guadagnarsi la fiducia grazie all’ingegneria sociale. L’obiettivo è incoraggiare azioni che vanno contro gli interessi dell’azienda o dei suoi clienti. Di solito tali azioni hanno a che vedere con il trasferimento di fondi sui conti dei cybercriminali o l’invio di file riservati. Si tratta di tecniche uniche nel loro genere: le e-mail non contengono link o allegati dannosi ma i cybercriminali provano a ingannare il client di posta (e di conseguenza il destinatario) affinché sembri una normale e-mail.
I numeri evidenziati nel Report confermano gli scenari già evidenziati dai più importanti studi di settore: il crimine informatico sarà la fonte criminale più redditizia di sempre. La stima del costo dei danni si basa sui dati storici relativi al crimine informatico, tra cui la recente crescita anno su anno delle attività di hacking di grosse organizzazioni criminali.
L’aumento di attività illegali come data breach, frodi e sottrazione di denaro, ransomware, furto di proprietà intellettuale e interruzione della business continuity, si legge nel report, è dovuto all’aumento della superficie di attacco informatico che sarà di un ordine di grandezza maggiore nel 2025 rispetto a oggi.

Data: 17 marzo 2021
Fonte : Internet Crime Report 2020
Report
 

DOMANDE E RISPOSTE

Covid-19: chi può fare la rilevazione della temperatura corporea in azienda?
La pandemia ha imposto alle aziende nuovi adempimenti per il contenimento del contagio. Il Protocollo del 24 aprile 2020 impone al datore di lavoro di informare preventivamente il personale, e chi intenda fare ingresso in azienda, della preclusione dell’accesso a chi abbia una temperatura corporea superiore a 37.5 gradi, a chi negli ultimi 14 giorni abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. Il Garante si è immediatamente espresso sulla misurazione della temperatura corporea, stabilendo che costituisce Trattamento di dati personali ex articolo 4 Regolamento UE 2016/679. Può quindi essere svolta dal Titolare del trattamento o da soggetto autorizzato, mediante apposita nomina, l’importante è che la temperatura non sia mai registrata. L’unico motivo, previsto dalla legge, atto a giustificare una registrazione della temperatura corporea è il caso in cui il dipendente di un’azienda presenti febbre superiore ai 37.5 gradi.

Quale è la differenza tra un incidente di sicurezza e una violazione dei dati personali?
Il GDPR (art. 4) definisce la violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Come sottolineato nelle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679”, tutte le violazioni dei dati personali sono incidenti di sicurezza, ma non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali.

 
Anche il cellulare richiede un adeguamento al GDPR?
Sì, se vi vengono trattate informazioni che riguardano la vita dell’azienda.  Rappresentano a tutti gli effetti un repository di dati aziendali, così come sono stati tradizionalmente considerati i server e i pc fissi. Per questo occorre che la politica aziendale relativa alla gestione dei dati aziendali consideri anche la gestione in mobilità.

 
Cosa si intende per «pseudonimizzazione» ?
La pseudonimizzazione comporta il trattamento dei dati personali in modo tale che gli stessi dati non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.