Le principali notizie dal mondo della privacy – aprile 2024
Whistleblowing: monitoraggio ANAC prime riflessioni
L’ANAC (Autorità Nazionale Anticorruzione) al fine di comprendere le criticità legate all’entrata in vigore del d. lgs. 24/23 ha condotto, alla fine dello scorso anno un monitoraggio su base volontaria ed anonima, all’indagine hanno partecipato nel complesso 537 soggetti tra enti pubblici e soggetti privati, a seguire i punti di maggior interesse per il settore privato:
- Segnalazioni anonime
Solo una parte di tutti i partecipanti alla rilevazione dichiarano di aver ricevuto segnalazioni anonime nella maggior parte dei casi queste vengono trattate come segnalazioni whistleblowing, tale modalità è sicuramente più garantista prevedendo l’applicabilità delle tutele per il segnalante.
- Afflusso delle segnalazioni
Nel settore privato un terzo degli enti privati hanno ricevuto delle segnalazioni in prevalenza inviate da dipendenti dell’azienda.
- Assetto del canale di segnalazione interno
Solo il 60% degli enti privati ha adottato una piattaforma informatica per la gestione delle segnalazioni, nella maggior parte dei casi si tratta di piattaforme in cloud specificatamente progettate e con funzionalità rispettose sia della normativa privacy sia del processo di lavorazione delle segnalazioni (dalla nostra esperienza sul campo non sempre le piattaforme presenti sul mercato sono aderente alla normativa ed alle linee guida ANAC).
Il 23% prevede come modalità di invio delle segnalazioni scritte la PEC (modalità non conformi alle indicazioni dell’ANAC).
Solo i 2/3 dei soggetti privati ha previsto delle modalità di gestione delle segnalazioni orali (anche in questo caso le indicazioni dell’ANAC sono chiare, va predisposta anche la modalità “orale” per la ricezione delle segnalazioni).
- Procedura di segnalazione
Non sempre la procedura è stata definita mediante apposito atto organizzativo (regolamento interno), né sono state sentite le OO.SS. come previsto dal d lgs 24/2023 ed in contrasto con le linee guida ANAC.
L’ANAC visti i risultati dell’indagine sicuramente definirà le azioni, tramite la pubblicazione di nuove linee guida nei prossimi mesi, che i soggetti pubblici e privati dovranno intraprendere per adeguarsi alla normativa vigente.
Per ulteriori approfondimenti:
https://www.anticorruzione.it/-/news.19.03.24.monitoraggio.wb
Fonte “ANAC”
Francia: rubati i dati personali di quasi due terzi dell’intera popolazione nell’attacco hacker all’agenza nazionale per l’impiego
L’attacco hacker all’agenzia nazionale per l’impiego, la “France Travail” avvento tra il 6 febbraio e il 5 marzo scorso, ha permesso agli hacker di avere accesso ai dati personali di circa 43 milioni di cittadini francesi, i dati
L’agenzia nazionale per l’impiego “France Travail” ha reso noto di essere stata colpita da un grave attacco hacker che avrebbe coinvolto i dati personali (nome e cognome, data e luogo di nascita, numero di iscrizione al registro delle persone fisiche (NIR), indirizzo e-mail, indirizzo di casa, numero di telefono e identificativo all’interno del sistema dell’agenzia) di circa 43 milioni di cittadini francesi esponendoli ai tentativi di frode da parte dei cyber criminali.
In questo contesto, anche il nostro Paese appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dall’Associazione Italiana per la Sicurezza Informatica (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022. Oltre la metà degli attacchi – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi cinque anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.
Fonte “Federprivacy”
https://clusit.it/rapporto-clusit/
Fonte ”Clusit”
Sanzione da 4 milioni e 250 mila euro a Verisure
In Italia esistono altre Autority, oltre al Garante Privacy, con potere sanzionatorio, una di queste è l’Autorità Garante della Concorrenza e del Mercato (AGCM).
L’Antitrust, così è definita informalmente l’AGCM, ha funzione di tutela della concorrenza e del mercato.
Nel caso di specie l’Antitrust ha accertato che la nota società che reclamizza sistemi di allarme, dal 2021 al 2023, non evidenziava negli spot pubblicitari il fatto che i sistemi di allarme non fossero venduti al cliente ma concessi in comodato d’uso, inoltre la società attuava “una condotta aggressiva con una serie di comportamenti ostativi alla conclusione del rapporto, come il mancato o ritardato accoglimento delle istanze di recesso, la prosecuzione delle fatturazioni nei mesi successivi alla cessazione del servizio e la ritardata o mancata disinstallazione degli impianti di allarme”.
Comportamenti che secondo l’AGCM violavano le norme a tutela dei consumatori (Codice del Consumo), Verisure ha presentato ricorso contro tale decisione, la palla passa alla giustizia amministrativa che accerterà se tali violazioni si sono verificate.
https://www.ilsole24ore.com/radiocor/nRC_26.03.2024_08.12_13110131
Fonte “Il Sole 24 ore”
Data Breach – violazione dati personali
Si tratta di una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Un esempio è quello subito dall’agenzia nazionale per l’impiego francese, ma non dobbiamo dimenticare che un Data Breach è anche la semplice perdita di un Pc, Telefono, chiavetta, oppure l’errato invio di una mail a destinatari errata, la cancellazione errata di dati personali, la violazione di una casella di posta elettronica, l’accesso a dati personali da parte di personale non autorizzato ecc…
- Cosa fare in caso di violazione dei dati personali?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, predisponendo e tenendo aggiornato l’apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Il nostro team di consulenti vi fornirà l’assistenza necessaria per individuare e gestire un Data Breach.
https://www.garanteprivacy.it/data-breach
Fonte “Garante Privacy”
Condividi