Attacco informatico: comunicazione agli interessati e riscontro documentato al Garante Privacy
Il Garante per la protezione dei dati personali, con provvedimento n. 21 del 27 gennaio 2022, si è pronunciato su una comunicazione relativa ad un incidente di sicurezza. La violazione dei dati personali è stata provocata da un attacco informatico ransomware, che ha comportato la crittografia dei dati contenuti nei server e nei pc del titolare del trattamento (con conseguente impossibilità di accedervi ed elaborarli) e la probabile esfiltrazione degli stessi.
Il titolare del trattamento, tuttavia, non aveva comunicato l’incidente agli interessati coinvolti, ai sensi dell’art. 34 del GDPR, sebbene la violazione dei dati personali potesse presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Pertanto, l’Autorità ha ordinato al titolare del trattamento di comunicare la violazione dei dati personali agli interessati e di fornire un riscontro adeguatamente documentato sulle misure adottate per mitigare i possibili effetti pregiudizievoli della violazione per gli interessati.
Garante Privacy: tutele per la fruizione dei servizi SPID da parte dei minori
Il Garante per la protezione dei dati personali, nel parere reso sullo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”, proposto da AgID (Agenzia per l’Italia Digitale), ha individuato le garanzie per l’utilizzo del Sistema pubblico di identità digitale (SPID) da parte dei minori.
Infatti, i trattamenti concernenti il rilascio dello SPID e il suo utilizzo per l’accesso ai servizi online espongono i minori a rischi che richiedono una specifica protezione, con l’adozione di adeguate misure per mitigarli, distinguendo tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.
I ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti. I più piccoli invece potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.
Tribunale di Roma: legittima la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto.
Il Tribunale di Roma, in un’ordinanza concernente la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto, ha stabilito che le “ragioni familiari meritevoli di protezione” ex art. 2-terdecies d.lg n. 196/2003 prevalgono sulla clausola di intrasmissibilità dei diritti sui contenuti stipulata dall’internet service provider con l’utente, poi deceduto, che ha aderito alle condizioni generali.
DPA Belga: il TCF di IAB Europe viola il GDPR
L’Autorità per la protezione dei dati belga, con la decisione n. 21 del 2 febbraio 2022, ha stabilito che il Transparency and Consent Framework (TCF), sviluppato da IAB Europe, non è conforme a d alcune disposizioni del GDPR. Il TCF è un meccanismo diffuso che facilita la gestione delle preferenze dell’utente per la pubblicità personalizzata online, e che gioca un ruolo chiave nel cosiddetto Real Time Bidding (RTB). L’Autorità ha multato IAB Europe per 250.000 euro e ha concesso all’associazione due mesi per presentare un piano d’azione per allineare le sue attività.
Il Garante ha stabilito, in particolare, che il TCF viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679.
Si tratta di una decisione dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale basano la propria attività sugli standard fissati dal TCF.
CSIRT Italia: allerta cyber per la situazione in Ucraina
Il 14 febbraio 2022 lo CSIRT (Computer Security Incident Response Team) Italia, istituito presso l’ACN (Agenzia per la Cybersicurezza Nazionale), ha diramato un bollettino in cui prescrive regole e metodi per l’innalzamento delle misure di prevenzione e monitoraggio delle infrastrutture ICT nazionali da possibili rischi cyber derivanti dalla situazione ucraina. In particolare, sono soggetti a rischio gli enti, le organizzazioni e le aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche.
Pertanto, in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza ed al rispetto delle misure previste dalla legislazione vigente, lo CSIRT raccomanda di elevare il livello di attenzione adottando in via prioritaria, adottando alcune misure organizzative e tecniche.
