420 MILA EURO AD AUTOSTRADE PER L'ITALIA PER AVER USATO DATI SOCIAL DI DIPENDENTE
Hanno utilizzato informazioni prese da chat private per licenziare una dipendente: così Autostrade per l'Italia Spa è stata sanzionata con una multa amministrativa di 420 mila euro. Il Garante Privacy su denuncia della dipendente ha ricostruito che sono state estrapolate e usate conversazioni private, fornite da alcuni colleghi e amici, e queste conversazioni non avevano attinenza col lavoro e tantomeno potevano essere utilizzate a fini disciplinari. Le chat fanno parte della corrispondenza privata, il datore di lavoro non può attingere a tali dati. Il Garante ha ricordato che il principio di finalità impone che i dati siano raccolti per scopi specifici, espliciti e legittimi, e trattati in modo coerente con tali scopi.
EDPB SU INTELLIGENZA ARTIFICIALE PER DPO E RESPONSABILI PRIVACY
Il board europeo EDPB che riunisce i garanti dei paesi UE ha appena pubblicato un corso di 250 pagine sull’Intelligenza artificiale, in seguito alle richieste dell’Autorità greca di chiarimenti in merito. Il documento che si chiama Law & Compliance in AI Security & Data Protection riguarda gli aspetti legali e l’adesione alla normativa privacy UE in materia di Intelligenza artificiale e protezione dei dati. In sostanza è un corso destinato agli addetti alla privacy delle aziende, ai DPO e anche ai Titolari, nel quale si intersecano le normative vigenti, come il GDPR con l’Artificiale Intelligence Act, il Data Act e altri regolamenti UE. Nelle 250 pagine divise in 14 unità si approfondisce che cosa è l’IA, come si usa, quali piattaforme ci sono e come applicare controlli all’interno dell’azienda sull’uso più o meno dichiarato dell’IA e anche riflessioni sugli aspetti legali e i punti di contatto tra GDPR e AI Act. Alla fine di ogni unità, composta di più sottocapitoli, c’è un test e in seguito le risposte giuste, accompagnate da altri approfondimenti. E’ utile sapere che ChatGPT, Gemini e molte altre incamerano dati, quindi possono mettere a rischio la segretezza aziendale o divulgare dati che non dovrebbero uscire dal perimetro aziendale. Anche se ci sono sistemi per recuperare i metadati dopo l’utilizzo dell’IA. Per consultare per intero il documento trovate qui il PDF: https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/law-compliance-ai-security-data_en
EDPB SU IA PER RESPONSABILI DI SISTEMA E PROFESSIONISTI IT
EDPB ha elaborato anche un secondo documento sull’IA, destinato questa volta ai professionisti del mondo tecnologico. Il file si chiama Fundamentals of Secure AI Systems with Personal Data e parla sopratutto di cybersicurezza dei sistemi a fronte della sfida dell’IA. Questo documento si incentra maggiormente sugli aspetti di raccolta dei dati, tecnologie IA applicate al flusso di dati, quindi codici, test di sicurezza e check list per gli auditing sui sistemi. Nelle 135 pagine troviamo testi, esercizi e i tecnici possono anche inviare contributi al volume. Anche qui ci sono dei test con risposta multipla e le soluzioni in seguito. E’ un altro strumento utile per ampliare le conoscenze in merito. Ovviamente si accenna anche agli aspetti legali, ai rischi di discriminazionazione e di limitazione delle libertà degli individui. Il testo completo si trova a questo link: https://www.edpb.europa.eu/system/files/2025-06/spe-training-on-ai-and-data-protection-technical_en.pdf
MULTA DI 4 MILA EURO AD ISTITUTO PER USO IMPRONTE DIGITALI PERSONALE
Un istituto superiore di Tropea, il Galluppi, è stato sanzionato dal Garante con 4 mila euro per l'utilizzo di impronte digitali del personale amministrativo e ATA, utilizzate per timbrare il cartellino all'entrata e all'uscita in diverse sedi. Anche se l'istituto ha dimostrato che i lavoratori davano il consenso al trattamento del dato biometrico, che l'impronta creava un template (modello matematico), le informazioni comunque riportavano a un codice alfanumerico col quale si risale al lavoratore. Il Garante ha ribadito che per ora non esiste in Italia una base giuridica che autorizzi l'uso di dati biometrici e che il consenso dei lavoratori non basta.
ITALIANI PREOCCUPATI PER LA PRIVACY SU SMARTPHONE
Samsung ha fatto una ricerca a livello europeo intervistando 8 mila giovani e giovanissimi europei. Gli italiani risultano uno dei popoli UE più preoccupato per la privacy: il 90 per cento dice di avere dubbi sulle innovazioni, il 45 è molto preoccupato. Eppure, nella stessa ricerca, andando a domandare ai giovanissimi se sono consapevoli dell’esposizione dei propri dati personali e la vita privata in generale rispetto all’utilizzo di elettromestici intelligenti e smart, su 8 mila intervistati un terzo dice che non ci pensa per niente. Invece la metà ha parecchi dubbi sulla connettività in rete dello smartphone. Spagna, Grecia, Francia e Italia risultano i paesi più attenti alle tematiche privacy. Insomma, c’è paura, una certa consapevolezza, ma forse manca l’educazione all’uso di queste tecnologie in modo che siano meno impattanti sulla vita privata specie dei giovanissimi.
MULTA A CIRCONDARIO IMOLESE PER ZTL CARENTE SU INFORMATIVE
L’Unione dei comuni intorno a Imola che gestisce la ZTL di Imola è stata multata per carenze sulle informative. Tutto inizia dal reclamo di un cittadino al quale è stato contestato l’accesso in area ZTL. Il cittadino ha rilevato che il titolare nei cartelli risultava il Comune di Imola, mentre invece è il Nuovo Circondario Imolese. Inoltre l’informativa di secondo livello sul sito del Nuovo Circondario Imolese era molto carente. Il Garante ha ribadito che le informative di primo e secondo livello devono comunicare tutti gli aspetti del trattamento dei dati, ad esempio che viene fotografata solo la targa e non chi è a bordo dell’auto, che in caso di contestazioni non viene inviata la foto e altri dettagli relativi alla condivisione dei dati, in caso si tratti di un’auto con targa straniera. Quindi l’Authority ha concluso che il trattamento è illecito. Vista la cooperazione dell’ente pubblico e il fatto che non risultano violazioni alle norme privacy precedenti, la multa è stata di soli 4 mila euro.
AUTHORITY BRITANNICA SANZIONA SOCIETA’ CHE FA TEST GENETICI
E’ stata multata con 2,7 milioni di euro 23andMe, una società californiana specializzata in test genetici, che nel 2023 ha subito un data breach con esfiltrazione di una gran mole di dati particolari di cittadini britannici. Peccato che il furto sia emerso solo dopo 5 mesi. I cyber criminali sono riusciti a prelevare 6,9 milioni di test di altrettanti clienti. Di mezzo ci sono oltre 150 mila britannici. I malviventi sono riusciti a impossessarsi anche di codici postali, dati sanitari, condizione di salute, legami familiari e origine etnica. La multa di ICO (Information Commissioner’s Office) è giustificata anche dal fatto che la società ha implementato con molto ritardo le misure di sicurezza.
40 MILA TELECAMERE COLLEGATE A INTERNET PUBBLICHE E PRIVATE
La società specializzata in cybersicurezza Bitsight sostiene di aver trovato 40 mila telecamere in giro per il mondo, in spazi pubblici e privati, condomini, case di cura e quant’altro, a cui si accede piuttosto facilmente, essendo collegate alla rete 24 su 24 senza particolari difese. Le telecamere trasmettono in diretta e si accede senza password, codici e nessun protezione.
GARANTE PUBBLICA VADEMECUM SU VISHING
Telefonano fingendosi operatori della vostra banca, adducono qualche problema tecnico da risolvere insieme rapidamente e con qualche escamotage si fanno dare codici bancari, numeri di conto corrente e altre informazioni. E da lì possono fare diversi prelievi con varie tempistiche e magari il proprietario del conto se ne accorge molto dopo. Il Garante chiama ‘ingegneria sociale’ questa capacità di entrare nella vita delle persone senza che il malcapitato si renda conto con chi sta parlando. Insieme a dipendenti bancari, i delinquenti possono fingere di essere tecnici, oppure di voler versare sul conto un premio che avete vinto o ancora essere dipendenti di uffici pubblici ai quali dovete pagare qualche multa. Utile ribadire che non dobbiamo fornire dati bancari a nessuno, per nessun motivo e che servono sempre verifiche incrociate. Per Vishing si intende Pishing vocale, vale a dire che si avvale del telefono o smartphone.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. A maggio è uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi e con la prefazione del membro del Garante Guido Scorza. A giugno è uscito l’ultimo nostro libro a firma Amarù, Fava, Fossi, Maschio per FrancoAngeli, NIS2: come rafforzare la cybersicurezza.