Edizione speciale di #QualifedDPO S1E13

Oggi parliamo dei DPO di tutte le scuole raggiunte dalle perniciose PEC di MonitoraPa.

Colleghi, vorrei condividere con voi alcuni elementi utili per mettere nella giusta prospettiva le mefitiche PEC e per formulare risposte appropriate Dopo l'ultima PEC, alcuni DPO hanno dialogato per capire la situazione.

Questo è un esempio di "dialogo" come inteso da MonitoraPa (che, per la cronaca, non ha nominato alcun DPO e che sta collezionando una quantità di violazioni al GDPR da far sembrare GAFAM dei santi)

Questa è veramente grossa.

Il Garante @GPDP_IT contro @instagram, @Facebook e @Meta e @DPCIreland. Un provvedimento che apre le porte ad un intervento mastodontico.

Molte violazioni che echeggiano i fatti di Cambridge Analytica.

Giu le mani dai nostri dati !

Spiegone... Il sistema "Election Day Information”, EDI, adottato da Meta sui suoi social, è stato presentato come filantropia pura e di pubblica utilità.

L'idea è di far comparire un avviso per ricordare alla gente di andare a votare. Sembra quasi una buona idea, peccato che...

Quando un abile commerciale dotato di colorato opuscolo vi promette che il suo sistema di riconoscimento biometrico è a norma gdpr, non credetegli. Anzi, scappate a gambe levate... o meglio, sbattetelo fuori dalla porta.

Nuova sanzione del Garante
garanteprivacy.it/web/guest/home… Comune di Vicchio sanzionato per 8.000,00 Euro per adozione di un sistema di timbrature basato su biometria.

Sempre la solita storia, non se ne salva uno!

NON USATE SISTEMI BIOMETRICI IN AMBITO LAVORATIVO.
Certo, non è una regola, chi vuole essere il prossimo a rischiare?

Grafici fantastici e dove trovarli: sul sito di un ministero italiano, naturalmente.

I dati sono solo numeri, ma la loro rappresentazione li può far sembrare ben altro: tanto, poco, crescono, diminuiscono, crescono veloci, stazionari… ecc.

Ecco un esempio. Stesse identiche cifre.
Anche solo buttando i numeri in Excel e generando un grafico standard si può notare un dato evidente, ben nascosto nello stesso grafico del min. Interni.

C’è un raddoppio.

Piaccia o non piaccia, questa informazione è rilevante.

Cosa accomuna queste aziende?
I dati degli utenti iscritti #fantasanremo

@lavazza
@Pandora_UK
@MDLZ (Philadelphia)
@TicketOneIT
@IlCrodino
e
@ActionAidItalia
@3BeeHiveTech
@RadioItalia
@RaiPlay (RaiRadio2) In sintesi: gli iscritti hanno dovuto dare un consenso obbligatorio alla condivisione dei dati per fini di marketing, quindi un consenso non valido, acquisito in violazione del GDPR

Per questo le accomuna un DATABASE che NON POTRANNO USARE

https://twitter.com/prevenzione/status/1622641168478502930?s=20&t=VyDzOHtdEmWtHNPiHQP3BA

S1E9 #QualifiedDPO

Ce la prendiamo con i santi?
S A N R E M O?

Quasi, parliamo di @FantaSanremo

Ragazzi, avete la visibilità di una partita della nazionale e vi impegolate con la privacy? Ma non lo avete un DPO a cui chiedere? Ci sono due modi per accedere... tramite SOCIAL-LOGIN (che Dio ci scampi) o con registrazione diretta.

I disclaimer sono leggermente differenti.

Questo è quello con la registrazione classica con email. Non si può procedere senza cliccare e direi che è un click cumulativo

S1E8 #QualifiedDPO

Oggi è tutto bellissimo.

ALTROCONSUMO, paladino dei consumatori, pagherà 100.000 Euro di sanzione al Garante per violazione del GDPR nell'attività di telemarketing.

Una batosta eclatante che fa traballare la limpidezza degli altissimi ideali sbandierati. @Altroconsumo è in prima linea per la tutela dei diritti... combatte con noi per un mondo migliore, fa inchieste sulle aziende brutte e cattive che trattano male i dati personali... tipo questa giusto giusto di un anno fa
altroconsumo.it/vita-privata-f…

S1E6 #QualifiedDPO

Come dimostrare al mondo che non te ne frega niente della privacy? Chiediamolo ad Amazon AWS.

Il tutorial (pubblicitario) del fighissimo servizio di analisi facciale di AWS... dice tutto, tranne una cosa: non lo puoi usare se non chiedi il permesso! Non c'è traccia di avvertimento, non si cita mai la normativa (il GDPR), non si fa cenno al contesto, non si suggerisce di avere una base di legittimazione o anche solo una finalità legittima per farlo.

Niente!
Come se niente fosse.

aws.amazon.com/it/getting-sta…

Hei @TwitterSupport
Oggi è comparso questo banner. Cos'è? Un rimasuglio di un lontano passato oppure l'anticipazione di un buio futuro?

Se questa è l'intenzione, meglio che ci ripensiate: in Europa questa cosa non è legale.

Spiace.

Serve uno spiegone? solo i cookie tecnici o analitici di prima parte possono essere usati senza consenso.

Qui si assimilano tutti: cookie tecnici, analytics, marketing, profilazione.
Tutti usati senza chiedere consenso.

Oggi parliamo di ARETI spa (gruppo @AceaGruppo)
Il Garante Privacy ha sanzionato per € 1.000.000 e obbligato l'azienda ad aggiornare/correggere i dati che tratta.

Una batosta notevole che arriva non senza una ragione.

Vediamo alcune luci e ombre del provvedimento del @GPDP_IT Areti ha trattato per anni dati senza alcuna procedura di controllo per garantirne l'esattezza e l'aggiornamento.

Questo ha coinvolto 16.743 clienti e ha portato a 47.767 casi di richieste di variazione di gestore non accettate dall'operatore con evidenti danni per gli utenti.

MAI usare dati trovati per caso... mai!

Il Conservatorio Santa Cecilia (Roma) è stato sanzionato dal Garante Privacy (@GPDP_IT) per aver utilizzato la registrazione di una assemblea studentesca "trovata" su una pendrive usb rinvenuta per caso.

È ILLECITO FARLO = € 6.000

Segue Il provvedimento evidenzia vari temi tra i quali l'uso illegittimo di dati rinvenuti per caso, il fatto di non poter considerare pubbliche le parole dette in una assemblea aperta, la nomina di un DPO in conflitto di interessi, aver condiviso i dati con terzi in modo illecito.

Di nuovo, oggi, il Garante pubblica un provvedimento e sanziona il COMUNE di CISTERNA DI LATINA @ComuneCisterna

€5000 ed errori nella gestione degli adempimenti in materia di protezione dei dati personali. il Comune ha comunicato dati riservati in due accessi agli atti, ha omesso di nominare per diversi mesi un nuovo RPD dopo le dimissioni del precedente e non ha dato riscontro agli interessati.

Una tripletta niente male.

cosa imparare?

Regione Lazio riceve una sanzione pesantissima dal Garante Privacy. €100.000 + Limitazione del trattamento + cancellazione dei dati.

Una batosta INCREDIBILE motivata da violazioni gravissime... Regione Lazio, con l'indispensabile supporto di Lazio Crea, non poteva fare peggio! Il trattamento illecito riguarda l'uso scorretto delle email utilizzate dagli avvocati della regione e dai controlli datoriali. Tutto effettuato in palese violazione del GDPR e dello statuto dei lavoratori.

Vediamo nel dettaglio le principali violazioni accertate dal Garante:

Ieri, entrando in fiera, ho detto alle mie figlie:
"Ragazze, spegnete wifi e bluetooth, non temporaneamente ma dalle impostazioni, così non si riattiva"

Loro in coro: "Perchè papà?"

Non faccio a tempo a iniziare lo spiegone che, dopo pochi passi, vediamo questo Come ti sbagli? è l'nformativa che avvisa della presenza di un sistema di acquisizione dei segnali wifi presenti nell'area. Peccato che sia molto sintetica e che sul sito richiamato non ci sia assolutamente NULLA a riguardo.

Si, ho controllato. Direi che QUESTO E' UN PROBLEMA.

Il punto interessante di questo data breach è questo:
come si fa a perdere qualcosa che non si dovrebbe avere?
Per il GDPR i dati non si conservano per sempre. Ci devono essere politiche di retention ben definite e applicate.
vediamo alcuni casi (casistica random e non esaustiva)

https://twitter.com/sonoclaudio/status/1596625226346864640

A) l'utente chiede la cancellazione.
Non si cancella nulla nell'immediato. Si mette semplicemente offline finché non cessa l'interesse legittimo alla conservazione o l'obbligo di legge di conservare laddove previsto.

Qual'è la funzione di Twitter più usata in questi giorni?

Direi l'ESPORTAZIONE DEI TUOI DATI PERSONALI.
Si, perchè i tweet non sono di @elonmusk , sono dell'utente.

Come fare? Aprire le impostazioni dell'account (.../Impostazione ed assistenza/Impostazioni e Privacy), trovare la funzione SCARICA L'ARCHIVIO... e cliccare!

Ora o mai più.
Prosit.

Desidero...

che non mi prendi in giro.

Non mi puoi dire che un trattamento è necessario, che lo fai per me o per il mio bene.

Se mi chiedi il consenso significa che vuoi fare qualcosa PER TE, non per me: qualcosa che non puoi fare senza il mio consenso, appunto. Oggi sei tu, @netatmo, ad avermi irritato.
Mi chiedi il CONSENSO per garantire il funzionamento del sito e la sua sicurezza? Ma sei serio?

Mi prometti la migliore esperienza possibile... difficile che basti un cookie. Mi servirebbe una Jacuzzi, luci soffuse e musica come dico io

Non me lo ha chiesto nessuno... ma questa settimana inizierà con una blanda analisi di compliance di un'altra testata @Agenda_Digitale dell'amico @alesslongo (che mi ha bloccato, non si sa mica il perchè e, in ogni caso, sticazzi) Partiamo dall'inizio e accediamo alla homepage.
Non troviamo un cookiewall o un paywall. Qui le cose sono molto più dirette e l'approccio assomiglia: "se vieni sul sito ti profilo fino al midollo e uso i dati più che posso"... "ah, dimenticavo, non me ne frega nulla del consenso"

Un fornitore (@InfoCert_it ) invia periodicamente agli utenti PEC un report come questo.

Lo trovo utile per un utente medio e va nella giusta direzione: diffonde elementi di consapevolezza digitale, sui rischi e sui comportamenti corretti.

Ma cosa ci dice il report?… Verifica che l’indirizzo Pec non sia presente nei databreach accaduti sino ad oggi
Non mi è chiaro se anche la password sia verificata.
Dovrebbe, perché costituisce il rischio maggiore.

Una email compromessa può generare spam.
Una pw compromessa può comportare furto di identità

Un'amica mi ha chiesto di guardare dentro al sito de ilfattoquotidiano... @fattoquotidiano
Facciamolo! Aprendo la pagina con le mie solite protezioni, non si percepisce nulla di strano. Tutte le zozzerie sono filtrate.
Cosa uso? Un filtro sui DNS che si chiama @NextDNS e un browser tipo Chrome ma con scudi e filtri contro i tracker e le pubblicità @brave

Una sanzione pesantissima per un "mini" data breach non segnalato al garante: un singolo caso, un lavoratore che abusa delle proprie credenziali per accedere indebitamente ai dati bancari di una persona.

Tutto questo accadde in @intesasanpaolo
Il Garante sanziona per €100.000 La sanzione riguarda specificamente l'omissione, da parte di Intesa, della notifica al Garante dell'avvenuto data breach.

Una formalità, se si vuole vederla in questi termini, ma sostanziale per permettere una gestione appropriata dei rischi per gli interessati.