CNIL FRANCESE 40 MILIONI DI MULTA PER COOKIE TRACCIANTE
Il Garante francese CNIL ha multato per 40 milioni di euro la società di pubblicità online Criteo, accusata di promuovere pubblicità mirate di prodotti di aziende aderenti a ignari utenti, senza alcun consenso, tanto meno quelli al marketing o alla profilazione. Secondo l’accusa di CNIL, Criteo riusciva alla prima visita dell’utente di un sito aziendale aderente a piazzare un cookie tracciante sul computer degli utenti, senza alcun consenso. Il tracciante chiamato ID Criteo è in grado di seguire l’attività online dell’utente, raccogliere dati sulla navigazione, le preferenze e l’interesse per certi prodotti, in modo poi da inviare al singolo pubblicità mirate. L’azienda ha tentato di difendersi dicendo che il dato era pseudo-anonimizzato ed era difficile risalire all’identità dell’utente. L’Autorità ha chiarito però che la presunta pseudo-anonimizzazione del dato personale in realtà portava a una perfetta identificazione dell’interessato, tanto da inviare della pubblicità mirata presso la sua mail. L’azienda Criteo ha 3 mila dipendenti, un giro d’affari di quasi due miliardi di euro con un utile netto nel 2022 di 10 milioni di euro, inoltre ha raccolto i dati di 370 milioni di cittadini europei, di cui 50 milioni francesi. La multa quindi è commisurata agli utili, ma anche al fatto che mancava il consenso degli interessati, non c’era possibilità di accesso né di cancellazione dei dati raccolti, non esistevano nomine dei responsabili del trattamento (anche le ditte affiliate trattavano i dati) e non era possibile revocare il consenso. Infine non c’erano informative trasparenti.
IL CANALE WHISTLEBLOWING VA ATTIVATO NELLE GRANDI AZIENDE
Ricordiamo nuovamente che entro il 15 luglio le aziende pubbliche e private con oltre 250 dipendenti devono attivare il canale interno di segnalazione di presunti reati di corruzione. Le segnalazioni possono essere fatte da dipendenti, consulenti, stagisti che abbiano assunto l’informazione del presunto reato durante l’attività lavorativa. Il canale interno non può essere una mail gestita internamente dall’azienda e neppure dal suo Organismo di vigilanza, ma tale mail deve essere gestita da terzi e criptata. Risulta ovviamente in chiaro invece per la persona o l’ufficio che sia stato nominato responsabile della gestione delle segnalazioni da parte del Titolare. Il segnalante entro al massimo 30 giorni deve ricevere contezza della sua segnalazione e il segnalante è protetto contro possibili licenziamenti o altre azioni ritorsive nei suoi confronti.
GARANTE ITALIA MULTA AMA E ROMA CAPITALE
Il triste episodio delle lapidi con dati personali poste sulle sepolture di feti provenienti da interruzioni di gravidanza è stato sanzionato dal Garante italiano. Sono perciò stati multate per 176 mila euro Roma Capitale e 239 mila Ama, la società in house che si occupa dei servizi cimiteriali. Inoltre l’Asl Roma 1 che ha diffuso i dati ha ricevuto un ammonimento.
COME PREPARARSI IN TEMPO ALL’ENTRATA IN VIGORE DELLA NIS2
A qualcuno il 2024 magari sembra lontano, ma per i tempi di un’azienda anche piccola è dietro l’angolo. La Direttiva NIS2, altrimenti 2022/2555, entra in vigore proprio il 18 ottobre 2024, a due anni dalla sua nascita come fu per il GDPR. La nuova direttiva prevede l’obbligo di segnalazione dei cyberattacchi per le aziende della grande distribuzione; che effettuano servizi essenziali (gas, luce, acqua); che lavorano nei trasporti e nella logistica e per quelle del settore sanitario. Le sanzioni scattano a partire dal 27 gennaio 2025 e in caso di irregolarità possono portare anche alla sospensione dei poteri del cda, una sorta di commissariamento. In previsione dell’autunno 2024 è quindi opportuno studiare investimenti tecnologici adeguati col proprio DPO per incrementare la sicurezza logico-informatica. Tra le azioni da intraprendere ci sono controlli e Audit sempre più capillari sui fornitori/Responsabili del trattamento, specie quelli più critici. Dalle indiscrezioni i ministeri di controllo potranno anche lanciare dei tools per verificare la tenuta del perimetro informatico e in caso che i sistemi si rivelino fragili, sanzionare l’azienda e sospendere i vertici, anche senza che siano accadute delle vere e proprie violazioni informatiche.
I CONSIGLI PER LE FERIE DI FEDERPRIVACY
L’associazione di esperti di privacy Federprivacy con sede a Firenze ha promosso un video con 10 consigli per chi vuole prenotare le vacanze online senza incappare in truffe che secondo una ricerca di McAfee colpiscono un internauta su tre. Prima di tutto quando usi la tua carta di credito non usare wi-fi pubblici ma connessioni sicure. Gli sms sulla cancellazione di voli o pagamenti effettuati possono essere degli smishing, cioè ci rubano dati bancari quindi non rispondere mai. Inoltre se vogliamo riflettere su un’offerta conviene collegarsi con una rete VPN che non tiene traccia della ricerca, in questo modo troveremo il prezzo bloccato a un secondo accesso e non un aumento.
ASL VENETA MULTATA PER DATA BREACH
I certificati sull’esenzione dal ticket sono state inoltrate a persone sbagliate: grazie alle segnalazioni di alcuni cittadini e all’immediata collaborazione col Garante, la Asl veneta ULSS 6 Uganea è stata sanzionata solo con 10 mila euro. La violazione di dati personali (data breach) ha coinvolto 39.852 assistiti, minori di 6 anni e maggiori di 65, con reddito inferiore a 36.151,98 euro. L’episodio rivela come la sicurezza informatica sia oggi una necessità assoluta per proteggere i dati in carico al Titolare.
IL GARANTE OPERA A TUTELA DEL CITTADINO
“Il Garante non ferma il progresso tecnologico, ha piuttosto una funzione di tutela dei cittadini”: lo ha detto Laura Fèrola, componente della Segreteria del Collegio del Garante Privacy intervenendo al convegno di formazione “2023: GDPR e il Digitale. A che punto siamo?” organizzato nella sala Marco Biagi presso l’Ordine dei commercialisti ed esperti contabili di Bologna dall’Associazione italiana revisori legali dell’Economia sociale, con la nostra collaborazione.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. E’ in libreria il nostro nuovo volume, ‘La Privacy dei dati digitali’, un manuale pratico in aiuto alle aziende e ai Dpo, pubblicato sempre per FrancoAngeli editore.
