Share this page!

Christian Bernieri - DPO Profile picture
Twitter logo
10 Jan, 7 tweets, 3 min read
Oggi doppietta del Garante: Titolare e Responsabile del trattamento, entrambi sanzionati per i medesimi fatti riconducibili a @LulzSecurityITA .

Questa volta i cattivi non sono gli Hacker ma chi è stato manifestamente inadeguato rispetto al trattamento di dati sulla salute....
Casa di cura Fondaz.G.P.Borghi si è affidata a Med Store Saronno per l'acquisito di software, nominandoli Responsabile del trattamento.

il software era manifestamente inadeguato alla gestione di dati particolari per carenze nella protezione del traffico dati e gestione password
Il @GPDP_IT ha sanzionato entrambi, la casa di cura e il partner che, oltre a vendere il software, aveva il compito di provvedere ad aspetti elementari di sicurezza e configurazione.

€ 30.000 alla casa di cura
€ 7.000 al responsabile del trattamento
Med Store ha un bel sito, vendono telefoni, fotocopiatrici, distribuiscono software... sicuramente sono molto in gamba. Ragazzi, attenzione, non vorremmo trovare online le radiografie del gomito infiammato dello strusciaponte della Vespucci.
Il tutto è partito da alcuni tweet di @LulzSecurityITA (peraltro rispettosi della privacy delle persone coinvolte) che non ha fatto altro che vedere e segnalare vulnerabilità palesi.
Direi che non c'è stata attività di hacking
:) Non siete voi i cattivi !
Taggherei volentieri le aziende coinvolte ma non trovo gli account twitter.
Ecco i provvedimenti:

verso la casa di cura
garanteprivacy.it/web/guest/home…

verso il responsabile del trattamento
garanteprivacy.it/web/guest/home…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Christian Bernieri - DPO

Christian Bernieri - DPO Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @prevenzione

Christian Bernieri - DPO Profile picture
10 Jan
@sonoclaudio @nuke86 @_happycactus_ @securityaffairs @GregorioSamueli Ho no... che disastro.
Dai, diamo una mano, magari può aiutare a migliorare le cose.

1) Informativa privacy... dichiara in modo generico i cookie analytics, non cita affatto il Google Tagmanager e nemmeno gli altri
@sonoclaudio @nuke86 @_happycactus_ @securityaffairs @GregorioSamueli 2) la cookie policy non è a norma rispetto alle linee guida del Garante!
Non possono rimandare alle varie modalità di autotutela specifiche per i browser... sono loro che devono chiedere il consenso agli utenti per tracciarli. Non è un opt out. Questo spiace. tanto
@sonoclaudio @nuke86 @_happycactus_ @securityaffairs @GregorioSamueli 3) (questo è grave) le basi giuridiche, le finalità e i tempi di retention non sono associati. Hanno fatto tre elenchi distinti, quindi non è detto nulla in concreto.

Manca del tutto
Per la finalità A, la base giuridica è X e i dati sono conservati per Y
Per la finalità B.. ecc
Read 9 tweets
Christian Bernieri - DPO Profile picture
26 Dec 21
A Cavallo di Natale è stato pubblicata la APP C-Healer.
E' già all'attenzione del Garante Privacy per evidenti ragioni.
Contribuisco nel mio piccolo con una breve analisi dei due documenti a corredo dell'app:

- Termini e Condizioni
- Privacy Policy

Spoiler: non finisce bene!
T&C
p.3.1 Finalità della APP: consentire a utenti di richiedere assistenza medica, consigli e suggerimenti, TERAPIE FARMACOLOGICHE.

Tutto questo da un sedicente medico, non conosciuto, che non conosce il paziente, senza una visita medica?
Auguri... 1° problema di deontologico.
3.2 SCAMBIARE INFORMAZIONI DATI E DOCUMENTI.
Qui la cosa si complica. Sono documenti sanitari, analisi, parametri, ricette mediche. Scambiate attraverso una app? Beh, andrebbe documentato il livello di sicurezza attuato e le misure di protezione giudicate adeguate.
Read 22 tweets
Christian Bernieri - DPO Profile picture
15 Dec 21
Sto studiando il parere del Garante fornito al governo in relazione alle imminenti modifiche, principalmente dovute alla gestione della revoca del GP. In realtà contiene anche altro...

Molto utile sotto vari aspetti.
Cosa, imho, conta veramente... vediamo
Per le categorie interessate, il controllo del GP è e resta cosa diversa dall'accertamento dell'obbligo vaccinale

La verifica quotidiana del GP non si estende all'obbligo vaccinale
L'accertamento dell'obbligo è una tantum e le variazioni saranno notificate via EMAIL
Molto perplesso sulla definizione e individuazione del ruolo assunto dai soggetti coinvolti nei trattamenti di dati personali connessi alla verifica del rispetto dell’obbligo vaccinale.

Sono molto molto molto perplesso su questo punto...
forse r.d.t per conto del ministero?
Read 12 tweets
Christian Bernieri - DPO Profile picture
13 Dec 21
Non siamo tortellini!

Il Garante Privacy sanziona la AUSL di Bologna per aver trattato illecitamente i dati personali degli studenti e lavoratori delle scuole del reame.

Pur in piena pandemia, pur in emergenza, pur con tutte le scuse del mondo, la AUSL HA SBAGLIATO... Image
Forse adusi ad ingordigia informativa, la AUSL ha chiesto (leggasi preteso) una miriade di informazioni personali di tutti gli studenti e tutti i lavoratori di tutte le scuole: un database immenso, 16.000 persone.
Scopo dichiarato: aggiornare l'anagrafe sanitaria.
In realtà la finalità era ottimizzare l'attività di sanità pubblica, in altri termini, sia ai fini dello screening e contact tracing in caso di positività, sia per programmare e ottimizzare le attività sanitarie vere e proprie. Tutt'altro insomma.
Read 7 tweets
Christian Bernieri - DPO Profile picture
12 Nov 21
Ok, se è legge va applicata... se il lavoratore lo chiede, consegna il GP ed è esentato dai controlli.
Evidenzio volentieri alcuni problemi applicativi, in ottica privacy, e ciò che comportano queste 5 righe in rosso:
... 1/
1) non si semplifica granchè, anzi, si complica la gestione per le imprese che sono tenute a garantire la sicurezza della acquisizione e conservazione. trattandosi di dati sanitari, il livello di protezione deve essere il massimo.
Non si può inviare con whatsapp (solo un esempio)
2) non si razionalizza granchè, si complica introducendo una nuova categoria di cui tener conto e da distinguere dalle altre:
-lavoratori da controllare
-esenti per consegna GP
-esenti perchè esentati dal vaccino
-esterni (che non godono di esenzioni). Una giungla di casistiche
Read 12 tweets
Christian Bernieri - DPO Profile picture
9 Nov 21
le webapp per la scuola, quelle fatte bene... sono diverse da questa.

Considerazione per il GDPR pari a ZERO

I cookie necessari non si accettano. Se sono necessari (e voglio sperare che sia così) sono🍪 tecnici.
Chiedermi un consenso è illecito.
Oppure sto accettando altro? Image
Spero di no. Perchè se fosse così, sarebbe pure peggio: sarebbe molto grave chiedere un consenso obbligatorio per cookie non necessari (non tecnici).
Comunque pare che di cookie ce ne sia solo una tecnico di sessione.
Che poi, più dei cookies, preoccupano le condivisioni dati con Google e Fontawesome. Perchè imporle senza nemmeno informare l'utente?
Che senso ha chiedere consenso dove non serve e non chiederlo laddove necessario? Image
Read 6 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @prevenzione has new unrolls!

Check out other threads from @prevenzione!

Read all threads by @prevenzione

:(