Italian #DPA lock down the risky #surveillance law that aim to have (biometric_identification+cctv+smart_image_analisys) to check public employees punch-in and punch-out.
This time DPA analyze implementing decree.
In october 2018 the DPA did the same on the draft of the main law
The law is already in force (D.Lgs 56/2019) but it lacks of application rules.
The DPA is highlighting and pointing out all the issues related to the law itself ant to the application rules, that are conflicting with the #GDPR main #principles.
Main issues are:
1) terms and #definitions don't match with GDPR definitions. they have to be lined up 2) principles of #Necessity & #Proportionality are completely unattended 3) the new biometric gates can't be #mandatory 4) #alternative gates should be available if needed
5) this kind of processing shall be #notified to the Commission (art. 88.3) 6) no rules on how to handle the #storage of hashed biometric data. Only the data subject can keep them. No copies, no storage, no databases. 7) no #safety requirements are detailed. they are needed
8) the #reliability of biometric gate is the main reason to implement it... so there is no need of a second gate based on smart-videosurveillance that is less accurate. The law ask for both with no logical or technical reason. 9) #visitors and other people data are processed too.
10) #privacynote should be mandatory given to data subject with all the needed informations. 11) data #retention timings should be clear and mandatory 12) #CCTV systems have to grant PbD features and settings 13) a full #DPIA should be done and then shared with DPA (hi risk).
14) the DPA ask to write data protection #agreements and to clarify roles and responsability with all the involved agencies (#controllers - #processors - #third party) . The DPA will help and will provide a General Application Order
Ho trovato un’altra puttanata nel piracy shield.
Le recenti modifiche (denuncia di sospetto uso illecito per vpn ecc) prevede, in aggiunta alla sanzione penale, l’applicazione dell’art 24bis della legge 231.
Peccato che…
…che l’articolo 24bis abbia al suo interno tre commi, tre fattispecie differenti con sanzioni differenti. Quindi non è possibile applicare la 231 per indeterminatezza del richiamo.
Inoltre…
Inoltre la norma sul piracy shield non può richiamare l’applicazione della
231 così. Sarebbe stato necessario un atto di modifica del testo della
231 e dell’art 24bis in modo da includere lì la violazione dell’obbligo di segnalazione come reato presupposto.
Ciò che sta succedendo all’FSE deve essere visto alla luce di modifiche al codice privacy apportate dal decreto “capienze” che ha lasciato mano libera allaPA sui dati.
L’ entusiasmo dovuto alla disponibilità di dati personali ha portato la p.a. su un terreno minato
Eccoti uno dei primi effetti del trattamento illecito in ambito sanitario conseguente alle finalità non sanitarie dell’uso dei dati, favorito, anzi, incoraggiato dal decreto capienze:
Eccolo li, il weekend che evapora.
l'@EU_EDPB (il Garante dei Garanti) ha appena appena pubblicato i risultati del lavoro della #TASKFORCE su @ChatGPTapp
Cose c'è scritto? Cosa ha deciso?
Beh, parecchia roba di cui discutere.
... alcune prime note:
SCRAPING (aver sgrafignato ogni cosa esistente sul web):
il rapporto riconosce che OpenAI si basa su un interesse legittimo per raccogliere ed elaborare i dati personali per addestrare ChatGPT
BOOM!
Lo scraping per addestrare ChatGPT sotto l'interesse legittimo potrebbe essere possibile se vengono utilizzate misure tecniche per mitigare il rischio.
Purtroppo mancano all'appello le misure di TRASPARENZA e quelle a tutela dei singoli INTERESSATI
@mmattana @signorina37H @sonoclaudio Sì l’ho spiegato più volte anche in modo abbastanza diffuso. Se cerchi nei tweet precedenti lo trovi di sicuro
Comunque in sintesi: …
@mmattana @signorina37H @sonoclaudio 1) L’informativa privacy proposta non risponde ai requisiti previsti dal GDP R non associa correttamente e chiaramente finalità basi di legittimazione e tempo di trattamento
@mmattana @signorina37H @sonoclaudio 2) per accedere all’informativa è necessario sorbirsi dei Tracker, la pagina dovrebbe essere priva di tecnologie per le quali è necessario un consenso
l’informativa dovrebbe essere resa in modo preventivo rispetto al trattamento
Ogni anno torna, Sanremo. Personalmente mi coinvolge quasi quanto il campionato di calcio, vale a dire meno di niente, però torna anche @FantaSanremo e questo mi interessa poichè mille mila persone lo usano e condividono dati personali.
🧵🧵🧵lungo
L’anno scorso ho cercato di dare una mano segnalando una serie di stupidaggini
Mi sarei immaginato una gestione scintillante e perfettamente compliant.
sono stato troppo ottimista.
Con alma e dall'inizio:
COOKIE BANNER
Entriamo nel sito e troviamo un bel cookie banner.
Male
Questo banner è un cookiebot, un servizio esterno. Significa che, per gestire i pochi cookie di questo sito, il gestore ha deciso di appoggiarsi ad un partner con il quale i dati sono condivisi e scambiati. Ma perchè?
Oggi provo a dare una mano al comune di #Bormio che pare avere un #QualifiedDPO. Magari sta sciando ma io lo disturberei al telefono... tano per evitare figuracce e violazioni di legge.
Parliamo di #PRIVACY, #GDPR, #Cartelli, #QRCode e #videosorveglianza urbana.
🧵 1/
Partiamo dai cartelli in giro per il paese. Utili, magari un po' "burocratesi" ma capisco che questo sia il linguaggio dei burocrati.
Però, c'è un problema: il QRCode !
Sembra una cosa bella e utile ma è fatto male, molto male.
Il QR punta ad un servizio esterno...
2/
punta ad un provider che fa ANALYTICS del traffico.
Forse vi è sfuggito ma questo trattamento richiede:
1 informativa preventiva (che non c'è)
2 consenso (che non chiedete)
3 una alternativa (che manco vi sognate)
Grandioso, peggio di così solo un calcio nelle balle.