AZIENDA AUTOMOTIVE MULTATA PER TRATTAMENTO DATI SANITARI
E’ stato giudicata eccessiva la data retention di 10 anni di dati particolari, vedi sanitari, di dipendenti assenti per malattia, infortuni o ricoveri. L’azienda del gruppo multinazionale Magna PT Spa ha perciò ricevuto una multa di 50 mila euro. Tutto parte da una segnalazione dei sindacati al Garante a proposito del fatto che quando un dipendente era malato o assente per questioni sanitarie, al ritorno veniva interrogato e gli venivano sottoposto un modulo da compilare per valutare eventuali spostamenti in altri settori o mansioni. Tale modulo veniva valutata dall’Ufficio Risorse umane e altri soggetti, oltre al medico aziendale. Oltre al comportamento antisindacali ha stupito che l’azienda conservasse per 10 anni i dati dei dipendenti coivolti in questo check (890 persone). Il modulo è stato in uso dal 2020 e l’azienda ha giustificato il suo utilizzo con la pandemia Covid. Magna dice che il modulo veniva compilato volontariamente da dipendente col capo settore e conservato nella cartella personale del dipendente senza che altri abbiano accesso. L’azienda ha anche detto che il colloquio rientra nelle misure di sicurezza sul luogo di lavoro. E’ risultato però che il modulo passava all’Ufficio risorse umane e il responsabile col medico competente valutava eventuali modifiche della postazione lavorativa. Inoltre le domande include nel modulo oltrepassavano la limitazione della raccolta dei dati personali, introducendo quesiti non consoni. Il trattamento perciò non risponde ai concetti cardini del GDPR: liceità, trasparenza, minimizzazione, limitazione. Si ricorda anche che i dati personali possono essere trattati solo per diritti specifici del titolare (vedi legittimo interesse), sicurezza sociale, protezione sociale e che il trattamento illecito di tali dati può ledere le libertà degli individui. Inoltre le informazioni fornite ai lavoratori intervistati non erano esaustive e i dati raccolti venivano raccolti illecitamente in quanto non si poteva giustificare il trattamento come attività di sorveglianza sanitaria. In base al decreto legge 81 del 2008 solo il medico sanitario aziendale è titolato al trattamento dei dati sanitari dei dipendenti, mentre nel caso di Magna è emerso che altri soggetti aziendali visionavano i dati. Oltre all’assenza di una base giuridica, l’azienda teneva i dati per 10 anni, altro aspetto contra legem. Magna oltre al pagamento della multa è tenuta alla cancellazione di tutti i dati raccolti e divieto del trattamento dei dati.
SOCIETA’ INVESTIMENTI POSTE MULTATA PER 80 MILA EURO
Secondo l’indagine del Garante la società di investimenti e assicurazioni di Poste Italiane, Poste Vita, non ha adottato misure tecniche per tutelare i dati dei clienti. Ha subito un data breach e lo ha comunicato in ritardo al Garante rispetto alle 72 ore da quando si viene a conoscenza dell’evento previste dal GDPR. Il reclamo arriva da una cliente che aveva attivato tre polizze vita presso la società e ha scoperto che i suoi dati erano passati a un terzo soggetto che ne aveva fatto uso in un processo. In sostanza il data breach è avvenuto proprio sui dati di quella cliente, quando un terzo ha chiesto informazioni sulle tre polizze a Poste Vita e i dipendenti hanno fornito tutti i dati senza controllare l’indentità del richiedente. L’aspetto curioso è che le richieste sono arrivate con quattro mail che recavano firma autografa della cliente e i dati dei versamenti relativi alle polizze e tutto questo è avvenuto mentre la cliente non si era neppure registrata nell’area riservata e non aveva mai fornito alcun indirizzo mail all’azienda. Ci è voluto un anno e mezzo a Poste Vita per capire che avevano mandato dati ad una mail non appartenente alla cliente. Eppure nonostante i fatti fossero chiari a settembre ‘24, l’azienda ha atteso gennaio ‘25 per comunicare il data breach al Garante. La società intanto aveva implementato maggiori controlli sulle comunicazioni mail e apportato modifiche al sistema operativo.
PROTESTE E SEGNALAZIONI SU TELECAMERE ILLEGALI NEI NEGOZI
L’Authority privacy italiana ha scritto al presidente di Confcommercio chiedendo maggior attenzione all’installazione legale di telecamere nei negozi. Forze dell’ordine, polizia locale, Guardia di finanza hanno rilevato numerose irregolarità e sono pervenute al Garante anche moltissime segnalazioni di cittadini. Le violazioni della normativa vanno dalla mancanza di cartelli (ricordiamo che sono necessari cartelli e informative), fino a registrazioni audio non autorizzate. Ci sono casi in cui la conservazione dei dati oltrepassa i limiti stabiliti dalla legge e altri in cui con le telecamere si esercita un controllo sui dipendenti, assolutamente vietato dallo Statuto dei lavoratori. E’ chiaro che oltre al consiglio, il Garante proseguirà a multare i casi più ecclatanti come è successo nei mesi scorsi con catene famose di negozi.
GARANTE METTE IN GUARDIA DA PUBBLICAZIONE AUDIO ATTORE BOVA
Una conversazione privata tra Raoul Bova e una donna è stata messa in rete, divulgata e oggetto di vignette e battute satiriche. Il Garante pochi giorni fa ha diffidato chiunque da ulteriore pubblicazioni di una conversazione che avrebbe dovuto restare privata. Il gossip estivo ci mette in guardia da quanto la rete, l’web e i social possano influire sulla vita privata delle persone. Tecnicamente quello emesso dal Garante è un avvertimento.
ACEA ATTACCO INFORMATICO RUBA 2,9 TERABYTE DI DATI
Worldleaks è riuscita ad esfiltrare 2,9 terabyte, chiedere un riscatto per la fine di luglio e alla fine pubblicare sul dark web per vendetta (contro il mancato pagamento del riscatto) 2,9 terabyte dei dati personali dei clienti di Acea, la multiutility italiana che fornisce gas e luce. Nei dati rubati non ci sono i dati dei clienti ma password di accesso, documenti amministrativi e gestionali, nonché dettagli operativi sensibili. Worldleaks sarebbe un nuovo gruppo criminale che dall’inizio del 2025 ha portato a segno 20 attacchi informatici. Le associazioni di consumatori consigliano agli utenti Acea di cambiare le password, stare attenti a telefonate sospette e sms presumibilmente arrivanti da Acea e se si subodora qualche anomalia, conviene fare un salvataggio di messaggi o telefonate.
CHAT GPT DIVULGA CONVERSAZIONI SU GOOGLE
Bastava non eliminare l’opzione ‘make this chat discoverable’ in Chat GPT perché la conversazione tra gli umani e la cosidetta intelligenza artificiale finisse leggibile a tutti su Google. La questione è emersa a luglio scorso e ha restituito la libertà estrema con cui lavorano sul web i Big. Ovviamente sono state subito sottolineate le violazioni del GPDR, il Regolamento europeo privacy 2016, che prevede trasparenza, minimizzazione, informative chiare ed esaustive e misure tecniche e organizzative. L’episodio fa riflettere ancora di più sulla necessità di stabilire regole chiare e regolamenti all’interno delle aziende sull’utilizzo di queste piattaforme IA da parte dei dipendenti. Chiaramente finiscono nelle domande e nelle risposte anche una pletora di dati aziendali che non sarebbero magari tutti divulgalbili.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. A maggio è uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi e con la prefazione del membro del Garante Guido Scorza. A giugno è uscito l’ultimo nostro libro a firma Amarù, Fava, Fossi, Maschio per FrancoAngeli, NIS2: come rafforzare la cybersicurezza.
