Il Data breach di LinkedIn: il Garante privacy apre un’istruttoria
A seguito del data breach occorso alla piattaforma di social network il Garante per la protezione dei dati personali ha avviato un’istruttoria preliminare. Contestualmente l’Autorità ha adottato un provvedimento con cui ha intimato che, stante la provenienza illecita dei dati, ogni loro potenziale utilizzo si pone in contrasto con la normativa in materia di protezione dei dati personali.
Mancata nomina del responsabile del trattamento: il Garante sanzione una Regione
Il Garante per la protezione dei dati personali ha sanzionato una Regione per 75.000 euro per non aver provveduto alla nomina di un responsabile del trattamento a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).
Si tratta di uno primi provvedimenti per violazione dell’articolo 28 del GDPR da parte di una PA che segnala una sempre maggiore attenzione dell’Autorità nella verifica degli adempimenti formali imposti dal GDPR.
Rapporto Clusit 2021: +14% di cyber attacchi nel corso dell’ultimo anno
Lo scorso 16 marzo è stato pubblicata l’ultima edizione del rapporto Clusit, studio annuale dedicato al tema della cybersecurity. Gli studi condotti hanno evidenziato un notevole aumento degli attacchi informatici rilevati nell’ultimo periodo considerato, a conferma di un trend ormai consolidato negli ultimi anni.
Nell’attuale situazione di crisi epidemiologica, come da molti prospettato, il settore dell’healthcare è risultato essere uno dei bersagli principali da parte dei cyber criminali. Gli attacchi al settore sanitario, in questo contesto, rappresentano oltre il 12% del totale. L’11% invece sono stati rivolti verso istituti di ricerca.
I dati mostrano come ormai un’attenta analisi dei rischi informatici e l’adozione delle necessarie misure di sicurezza IT siano requisiti imprescindibili per qualunque Ente in possesso di dati e informazioni rilevanti.
Caso Bonus Covid: sanzione di 300.000 € all’INPS
Mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy.
Queste le motivazioni con cui Garante per la protezione dei dati personali ha ordinato all’INPS il pagamento di una sanzione di 300 mila euro per plurime violazioni del Regolamento GDPR commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al cd. “bonus Covid”.
Permessi ZTL: dati accessibili a chiunque tramite un lettore QR
Un Comune è stato sanzionato dal Garante privacy in quanto il sistema adottato per la verifica dei permessi ZTL, basato su un software di lettura del codice QR esposto sul tagliandino, consentiva a chiunque dotato di uno smartphone di accedere ai dati del titolare del permesso.
Il Garante, nello specifico, ha comminato due distinte sanzioni, la prima al Comune che, in quanto titolare del trattamento dei dati dei beneficiari dei pass ZTL non ha adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato. La seconda sanzione è stata comminata alla società dei servizi per la mobilità di cui il Comune si avvale e che, nel caso di specie, opera in qualità del trattamento. Alla società è stato contestata una erronea valutazione dei rischi che, a detta dell’Autorità, hanno determinato l’utilizzo di un sistema informativo inadeguato e non rispettoso dei principi di privacy by design e privacy by default, che non limitava l’accesso ai dati alle sole persone autorizzate.
Mancata nomina del DPO e diffusione dei dati di oltre 5000 interessati: il Garante sanziona il Ministero per lo sviluppo economico
Il Garante per la privacy ha comminato al Mise una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.
La sanzione ha evidenziato delle mancanze da parte del Ministero, tanto sotto il profilo sostanziale quanto sotto quello formale richiamando così l’attenzione sui diversi aspetti del principio di accountability del titolare sancito dal GDPR.
