Christian Bernieri - DPO Profile picture
Experienced DPO. Data Protection advocate. Working just to make the world a better place. 🌬⛵
Jan 17 16 tweets 5 min read
Not today!
@ATSMilano ho ricevuto questo simpatico messaggio.
Non mi risulta di avere alcun obbligo e non mi risulta che lo abbiate nemmeno voi.
L'informativa privacy punta alla homepage del sito che non dice NULLA della vostra iniziativa quindi tutto ciò che segue è illegittimo Lasciatevelo dire: state palesemente violando le linee guida del Garante in materia di cookie e tracciatori. Mi mandate un LINK con un identificativo univoco: basta cliccare l'sms per essere tracciato nell'operazione compiuta. SENZA INFORMATIVA - SENZA CONSENSO
Jan 10 7 tweets 3 min read
Oggi doppietta del Garante: Titolare e Responsabile del trattamento, entrambi sanzionati per i medesimi fatti riconducibili a @LulzSecurityITA .

Questa volta i cattivi non sono gli Hacker ma chi è stato manifestamente inadeguato rispetto al trattamento di dati sulla salute.... Casa di cura Fondaz.G.P.Borghi si è affidata a Med Store Saronno per l'acquisito di software, nominandoli Responsabile del trattamento.

il software era manifestamente inadeguato alla gestione di dati particolari per carenze nella protezione del traffico dati e gestione password
Jan 10 9 tweets 12 min read
@sonoclaudio @nuke86 @_happycactus_ @securityaffairs @GregorioSamueli Ho no... che disastro.
Dai, diamo una mano, magari può aiutare a migliorare le cose.

1) Informativa privacy... dichiara in modo generico i cookie analytics, non cita affatto il Google Tagmanager e nemmeno gli altri @sonoclaudio @nuke86 @_happycactus_ @securityaffairs @GregorioSamueli 2) la cookie policy non è a norma rispetto alle linee guida del Garante!
Non possono rimandare alle varie modalità di autotutela specifiche per i browser... sono loro che devono chiedere il consenso agli utenti per tracciarli. Non è un opt out. Questo spiace. tanto
Dec 26, 2021 22 tweets 6 min read
A Cavallo di Natale è stato pubblicata la APP C-Healer.
E' già all'attenzione del Garante Privacy per evidenti ragioni.
Contribuisco nel mio piccolo con una breve analisi dei due documenti a corredo dell'app:

- Termini e Condizioni
- Privacy Policy

Spoiler: non finisce bene! T&C
p.3.1 Finalità della APP: consentire a utenti di richiedere assistenza medica, consigli e suggerimenti, TERAPIE FARMACOLOGICHE.

Tutto questo da un sedicente medico, non conosciuto, che non conosce il paziente, senza una visita medica?
Auguri... 1° problema di deontologico.
Dec 15, 2021 12 tweets 4 min read
Sto studiando il parere del Garante fornito al governo in relazione alle imminenti modifiche, principalmente dovute alla gestione della revoca del GP. In realtà contiene anche altro...

Molto utile sotto vari aspetti.
Cosa, imho, conta veramente... vediamo Per le categorie interessate, il controllo del GP è e resta cosa diversa dall'accertamento dell'obbligo vaccinale

La verifica quotidiana del GP non si estende all'obbligo vaccinale
L'accertamento dell'obbligo è una tantum e le variazioni saranno notificate via EMAIL
Dec 13, 2021 7 tweets 2 min read
Non siamo tortellini!

Il Garante Privacy sanziona la AUSL di Bologna per aver trattato illecitamente i dati personali degli studenti e lavoratori delle scuole del reame.

Pur in piena pandemia, pur in emergenza, pur con tutte le scuse del mondo, la AUSL HA SBAGLIATO... Image Forse adusi ad ingordigia informativa, la AUSL ha chiesto (leggasi preteso) una miriade di informazioni personali di tutti gli studenti e tutti i lavoratori di tutte le scuole: un database immenso, 16.000 persone.
Scopo dichiarato: aggiornare l'anagrafe sanitaria.
Nov 12, 2021 12 tweets 6 min read
Ok, se è legge va applicata... se il lavoratore lo chiede, consegna il GP ed è esentato dai controlli.
Evidenzio volentieri alcuni problemi applicativi, in ottica privacy, e ciò che comportano queste 5 righe in rosso:
... 1/ 1) non si semplifica granchè, anzi, si complica la gestione per le imprese che sono tenute a garantire la sicurezza della acquisizione e conservazione. trattandosi di dati sanitari, il livello di protezione deve essere il massimo.
Non si può inviare con whatsapp (solo un esempio)
Nov 9, 2021 6 tweets 2 min read
le webapp per la scuola, quelle fatte bene... sono diverse da questa.

Considerazione per il GDPR pari a ZERO

I cookie necessari non si accettano. Se sono necessari (e voglio sperare che sia così) sono🍪 tecnici.
Chiedermi un consenso è illecito.
Oppure sto accettando altro? Image Spero di no. Perchè se fosse così, sarebbe pure peggio: sarebbe molto grave chiedere un consenso obbligatorio per cookie non necessari (non tecnici).
Comunque pare che di cookie ce ne sia solo una tecnico di sessione.
Oct 16, 2021 17 tweets 5 min read
In radio ho sentito una pubblicità agghiacciante per un DPO. Quanti ci cascheranno? Quanti danni farà questa cosa?

Ovviamente, riguarda il GREEN PASS: verifica il GP dei lavoratori in cloud. Ammiccante!

Prima forse è meglio capire bene di cosa si tratta: 1/n Il produttore non si presenta bene. Sito ingolfato di tracker (4), dei peggiori, cookie di terze parti, addirittura un keylogger (Yandex) e, ovviamente, nessun avviso e nessun consenso chiesto al visitatore. Decisamente in violazione del GDPR.
Oct 14, 2021 4 tweets 1 min read
Portuali GDPR Green pass. una combinazione esplosiva.

con i controlli massivi del GP, previsti dal DPCM ultimo, i lavoratori in protesta hanno meno opzioni che in passato.

Se, anziché scioperare, decidessero di presentarsi senza GP, i vaccinati non potrebbero farlo.
1/m Chi è vaccinato risulterà possessore di Green pass e la visibilità di questo dato prescinde dalla presentazione fisica del QRCode.

Non hanno scelta.
Neanche volendo potrebbero supportare i colleghi nella protesta,anzi, rischierebbero il posto di lavoro.
Cosa c’entra il GDPR?
Oct 14, 2021 4 tweets 1 min read
I portuali mi piacciono. Ho lavorato con loro a Marghera: è l'unico posto dove puoi scegliere se vuoi lo spritz con aperol (per le femmine) o con campari (normale). Non puoi non prenderlo. Certo, l'alcol è vietato, ma li funziona così.

Oggi ci insegnano qualcosa: ... Se esiste una discriminazione (o un privilegio) tutti lottano per rimuoverla, anche se coinvolge poche persone.

Attenzione: la discriminazione di pochi non può essere tollerata perchè oggi sono loro, domani sono altri e poi arriva a tutti.

Il motivo della stessa è irrilevante.
Oct 13, 2021 4 tweets 1 min read
Spizzicando il DPCM E2

Pesca a strascico vietata ma solo in teoria.
Le modalità di verifica massiva prevedono la verificabilità SOLAMENTE del personale presente. Non si può verificare il GP di lavoratori in ferie, in trasferta, diciamo non soggetti al controllo.

ma... Image ma non trovo misure tecniche che blocchino la possibilità di farlo.
Tutto è demandato all'operatore delegato che dovrebbe procurarsi le timbrature, estrarre i CF e controllare solo quelli presenti...
Forse sono pessimista ma temo che sia irrealistico aspettarsi questo zelo
Aug 3, 2021 19 tweets 7 min read
Troppo rumore sul databreach della regione Lazio!
Ho bisogno di pensieri nuovi e, per questo, mi sono dedicato alla lettura del provvedimento del Garante Privacy verso DELIVEROO pubblicato ieri: tre ore di meditazione, svago e spensieratezza.
M O N U M E N T A L E
1/n Nel provvedimento c'è molto di più di che una sanzione da 2,5 M€
Ci sono indicazioni utili su come il Garante intende gestire casi analoghi. Per carità, ogni caso è diverso e molto dipende dai dettagli, tuttavia è giurisprudenza viva, utile. Non tenerne conto sarebbe folle.
Jun 16, 2021 20 tweets 6 min read
Ed anche oggi proviamo a dare una mano.
Un partito ha scelto la nuova piattaforma per il voto elettronico. Non commento la scelta non mi riguarda. Provo a suggerire spunti di riflessione, tanto per evitare di dover dire in futuro "sono stati gli hacker".

My two cents. Skyvote. Partiamo dal sito e partiamo maluccio.
Quasi nulla è documentato.

Il sito ha una serie di chiamate esterne (23) decisamente rilevante, molte delle quali evitabili e non necessarie.

Spero di poter vedere la piattaforma e spero che questa sia fatta in modo differente.
Jun 14, 2021 6 tweets 1 min read
Riflessioni in attesa post inoculazione:

Tanti fotografano il foglio con i dati del vaccino, il qr code, data 2° dose

Condividetelo pure se volete, sappiate che potete permettervelo perche c'è una protezione forte che impedisce che quella foto venga utilizzata LIBERAMENTE Da chi?

Dal produttore del telefono
Il fornitore sella linea
Il gestore del wifi
Lo sviluppatore delle tante app che possono leggere il rullino
Il provider dei servizi cloud sincronizzazione e backup

...e da chiunque voglia acquistare questi dati da chi vi può accedere.
Dec 9, 2020 6 tweets 2 min read
Io, la app per la gestione del Cash Back, ha alcuni tracker di cui si può parlare.

- Google Firebase Analytics
- Instabug
- MixPanel

Fanno due cose:
1) PROFILAZIONE UTENTI E ANALISI DELL'USO DELLA APP
2) ACQUISIZIONE DEI DATI E LOG DI CRASH

Vediamo meglio... ImageImage 1- La profilazione e l'analisi del comportamento degli utenti sull'app è molto invasivo.
Digiti veloce, inverti le lettere, clicchi in un un certo modo, ecc

Può essere utile per scoprire se sei dislessico, se sei daltonico, se sei un maschio o una femmina... quanti anni hai, ecc
Sep 28, 2020 10 tweets 2 min read
@sonoclaudio grazie per la segnalazione.

Per chi si occupa di privacy, questa iniziativa è devastante.

Devastante per il diritto
Devastante per l'esempio che da a chi le leggi le rispetta
Devastante per i dati di chi partecipa
Devastante per la fiducia di chi partecipa Il Diritto ne esce male per le tante (e sono tante) violazioni di norme a tutela di diritti fondamentali. Non è il divieto di sosta. E' il GDPR!

L'informativa non menziona la DIFFUSIONE di dati particolari (sensibili).
Se lo facesse un noto oncologo, cosa accadrebbe?
Non si può
Sep 23, 2020 6 tweets 3 min read
@sonoclaudio Si scelgono servizi che funzionano, semplici, accessibili.

Se ci fosse trasparenza, se gli utenti potessero vedere le trappole senza dover fare ricerche di mercato, se il GDPR fosse applicato con rigore, allora servizi come questo sarebbero in fondo alla lista, non nella topten. @sonoclaudio Qui vedo un numero impressionante di cookies, molti di terze parti, molti con scadenza ad 1 o 2 anni.

Violato il GDPR e la e-Privacy: cookie banner scandaloso. nessun consenso, nessun opt-out. Image
Jul 23, 2020 4 tweets 3 min read
Per il prossimo anno scolastico devo acquistare 3 iPad, ultimo modello, con più memoria del mio computer. Per le elementari.🤔

Saranno dotati di controllo remoto da parte dei insegnanti e gestori IT🤔

Sto riflettendo se dire pacatamente NO o fare ricorso al garante. Image Una cosa è certa: quei 3 iPad NON ENTRERANNO MAI IN CASA MIA, come non entrano Alexa, Siri, Ehi Google, Cortana e compagnia cantante.

Non ci penso proprio a mettermi in salotto una webcam è un microfono, attivabili a piacimento ed in modo invisibile da una pletora di estranei
Jun 30, 2020 4 tweets 4 min read
#Covid
lavoratori
#privacy
#GDPR
salute
tutele
obblighi
statuto
buone intenzioni
...ed errori marchiani!

Visto oggi: azienda che *OBBLIGA* tutti i propri LAVORATORI e FORNITORI a sottoporsi al test immunologico, ripetuto periodicamente
Quanti errori!

@vitalbaa @meobaldo Image errori su errori, su tanti fronti: quante cose non vanno in questo testo!

Violato lo statuto dei lavoratori
Violate le libertà fondamentali degli individui
Violato il diritto al lavoro
Violato il GDPR
Violata la normativa regionale
Violati gli accordi condivisi
Jun 21, 2020 4 tweets 2 min read
Daily #GDPR breach: How-To

1) be @SaloneNautico
2) hire a provider like WINGSOFT (Wticket)
3) use their services for customer registration and ticket management
4) wait few mounths

Then you will have a mass spam campaign to all visitors email for "Bolle Blu" water park.
FAIL Image It would be interesting to dig and find out WHO is the bad guy:
Maybe @SaloneNautico
Maybe #Wingsoft
Maybe a single unfair employee
Maybe #BolleBlu

Anyway, the #GDPR have been breached and everybody is guilty.

This is a choice, a really bad choice, it is not an accident.