La Direttiva Europea 2022/2555 (NIS 2) è stata recepita dall’Italia con il Decreto Legislativo 4 settembre 2024, n. 138 (vigente al 16-10-2024), relativa alle misure di sicurezza dei sistemi informativi e di rete (cybersicurezza), La direttiva e il decreto di recepimento affrontano la sicurezza e la resilienza dei sistemi informativi delle strutture critiche con un approccio basato sul rischio, in modo strategico e olistico.Aziende e PA, individuati dalla normativa quali soggetti Essenziali e Importanti, sono chiamate a ripensare i modelli di cybersicurezza dall’entrata in vigore del D.Lgs 2024/138.Pertanto?Keep Calm…! La normativa NIS 2 prevede un cronoprogramma di attuazione.Prima fase:entro il 28 febbraio…
Approfondimenti
Design ingannevole, indagine internazionale: ancora troppi ostacoli per gli utentiI risultati dello Sweep, realizzato dal Global Privacy Enforcement Network (GPEN), di cui fa parte il Garante italianoSono ancora troppi gli ostacoli che si presentano agli utenti di siti web ed app quando devono gestire i cookie o cancellare i propri account. Le privacy policy invece sono facili da leggere e facilmente accessibili. È quanto emerge dall’analisi del Garante per la protezione dei dati personali nell’ambito del Privacy Sweep, l’indagine conoscitiva della rete internazionale del GPEN (Global privacy enforcement network), dedicata quest’anno ai cosiddetti modelli di design ingannevole (dark pattern).I dark pattern sono…
GDPR e intelligenza artificiale, il Report della task force europea su ChatGPTQuali sono i principi di protezione dei dati personali applicabili a ChatGPT? È la domanda a cui risponde il Report sul lavoro della task force del Comitato europeo (EDPB), creata lo scorso anno per promuovere la cooperazione tra le Autorità di protezione dei dati personali che indagano a livello nazionale sul chatbot di OpenAI.Nel valutarne la liceità, il Report suggerisce di distinguere le diverse fasi del trattamento: raccolta dati per addestramento, compresi web scraping o riutilizzo di set di dati; pre-elaborazione, compreso il filtraggio; addestramento; prompt e output di…
L’installazione degli “occhi elettronici” nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa privacy. Il principio è stato ribadito dal Garante Privacy che ha inflitto ad un Comune una sanzione di 3mila euro per trattamento illecito di dati personali.L’Autorità è intervenuta a seguito della segnalazione di una dipendente che lamentava l’installazione di una telecamera nell’atrio del Comune, in prossimità dei dispositivi di rilevazione delle presenze dei lavoratori. Attraverso l’utilizzo delle immagini registrate, l’amministrazione aveva contestato alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell’orario di…
Faro del Garante Privacy sui test Invalsi nel curriculum dello studenteIl Garante Privacy ha inviato una richiesta di informazioni all’Istituto nazionale per la valutazione del sistema educativo di istruzione e di formazione (Invalsi) in merito alla possibile integrazione dei test nel curriculum digitale degli studenti.Secondo numerose notizie stampa, infatti, i risultati delle prove Invalsi entreranno a far parte del curriculum dello studente allegato al diploma di scuola superiore e contenuto nell’E-Portfolio presente sulla piattaforma ministeriale Unica.Nella richiesta di informazioni, l’Autorità evidenzia come la normativa sulla privacy, in considerazione della loro particolare “vulnerabilità”, assicuri ai dati personali dei minori una specifica…
Con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3, il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Il data breach – causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione – ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione…
I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.Il documento nasce a seguito di accertamenti effettuati dall’Autorità…
ChatGPT: Garante privacy, notificato a OpenAI l’atto di contestazione per le violazioni alla normativa privacyIl Garante per la protezione dei dati personali ha notificato a OpenAI, società che gestisce la piattaforma di intelligenza artificiale ChatGPT, l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali.A seguito del provvedimento di limitazione provvisoria del trattamento, adottato dal Garante nei confronti della Società lo scorso 30 marzo, e all’esito dell’istruttoria svolta, l’Autorità ha ritenuto che gli elementi acquisiti possano configurare uno o più illeciti rispetto a quanto stabilito dal Regolamento UE.OpenAI, avrà 30 giorni per comunicare le proprie memorie difensive…
l Comitato europeo per la protezione dei dati identifica le aree di miglioramento per promuovere il ruolo e il riconoscimento dei RPDDurante la sua ultima sessione plenaria, il Comitato europeo per la protezione dei dati ha adottato una Relazione sui risultati della sua seconda azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023), incentrata sulla designazione e la posizione dei responsabili della protezione dei dati (RPD). La Relazione è il risultato di un’indagine coordinata a livello dell’UE ed elenca gli ostacoli attualmente incontrati dai responsabili della protezione dei dati unitamente ad una serie di raccomandazioni per rafforzarne ulteriormente…
Telemarketing: il Garante Privacy multa un call center per 60mila euroSocietà già sanzionata per non aver risposto alle richieste dell’Autorità Nuovo intervento del Garante Privacy a tutela dei consumatori contro le telefonate indesiderate. L’Autorità ha irrogato una sanzione di 60mila euro ad un call center operante nel settore dei contratti di energia elettrica per trattamento illecito di dati personali.La società aveva già ricevuto una sanzione di 10mila euro per non aver risposto alla richiesta di informazioni dell’Autorità, che si era attivata dopo il reclamo di un utente che lamentava di aver ricevuto telefonate promozionali senza consenso. Dopo la sanzione per il mancato riscontro,…