Attacco hacker ai server e incendio di datacenter: numerosi servizi in tilt
Panorama italiano
Garante per la protezione dei dati personali
Online la nuova newsletter
Il Garante ha pubblicato la newsletter del mese di marzo 2021. Due delle tre notizie riportate nella newsletter riguardano la mancata nomina del DPO da parte del Ministero dello sviluppo economico e la mancata designazione a responsabile del trattamento di un call center da parte della Regione Lazio. La terza notizia riguarda invece l’autorizzazione al Ministero della salute della nuova funzionalità dell’App immuni, che consentirà a una persona risultata positiva di attivare in autonomia la procedura per allertare i suoi contatti stretti. [11/03/2021]
Garante per la protezione dei dati personali
Sanzionata l’INPS per illecito trattamento dei dati nell’ambito “Bonus Covid”
Il Garante ha sanzionato l’INPS per 300.00 euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al “bonus Covid” per le partite iva. Tali violazioni sono consistite (i) nella mancata definizione di criteri per il trattamento dei dati degli interessati, (ii) nella mancata valutazione di impatto e (iii) nella violazione del principio di minimizzazione, avendo effettuato controlli anche su soggetti che non avevano percepito il bonus, pur avendolo richiesto. L’Autorità ha quindi prescritto all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy. [09/03/2021]
Garante per la protezione dei dati personali
Lanciato canale di emergenza per potenziali vittime di revenge porn
Il Garante, in collaborazione con Facebook, ha lanciato un canale di segnalazione preventiva per coloro che ritengano di essere stati vittime di revenge porn. Nella pagina predisposta dal Garante, le potenziali vittime di pornografia non consensuale troveranno un modulo da compilare per fornire all’Autorità le informazioni utili a valutare il caso e a indicare all’interessato il link per caricare direttamente le immagini sul programma. [05/03/2021]
Leggi il comunicato.
Dal mondo
Incendio di uno dei più grandi datacenter d’Europa: brucia quello di proprietà di OVH
Centinaia di siti in down a causa dell’incendio che verso le 3 del mattino a Strasburgo ha distrutto uno dei datacenter più grandi d’Europa. La società OVH, acronimo di On Vous Héberge («Noi Vi Ospitiamo»), che si occupa di server ha comunicato che non ci sono state vittime e che ha provveduto ad attivare il Disaster Recovery Plan. Tantissimi utenti di Twitter hanno commentato i post di Octave Klaba, fondatore e Ceo, chiedendo di intervenire presto sul ripristino dei servizi. Approfondimenti sulle principali testate giornalistiche.
Commissione UE
Il passaporto vaccinale rispetterà le garanzie di data protection per gli interessati
La Commissione UE annuncia che la proposta per l’introduzione di un passaporto vaccinale – strumento digitale che darà prova dell’avvenuta vaccinazione Covid-19, dell’avvenuto ricovero per Covid-19 e/o dell’esito negativo di tampone effettuato – rispetterà i requisiti di protezione e sicurezza dei dati previsti dalla normativa data protection. La proposta verrà presentata la settimana prossima e servirà al fine di facilitare il movimento fra Stati membri dei cittadini UE con maggiore sicurezza. [11/03/2021]
Leggi i tweet della Commissione.
ENISA (Agenzia dell’Unione europea per la cybersecurity)
Creare fiducia nell’era digitale: l’ENISA promuove l’adozione del regolamento eIDAS
L’Agenzia dell’Unione europea per la sicurezza informatica pubblica orientamenti tecnici e raccomandazioni sull’identificazione elettronica e sui servizi fiduciari che aiutano gli Stati membri ad attuare il regolamento eIDAS.
Microsoft
Attacco hacker di gruppo cinese ai server Microsoft Exchange
I server di Microsoft Exchange sono stati oggetto di un attacco hacker da parte di un gruppo cinese agli inizi del mese di marzo. L’attacco è stato perpetrato al fine di accedere alle informazioni delle organizzazioni aziendali che si servono di sistemi mail Exchange, fra le quali l’European Banking Authority che, a seguito dell’attacco, ha comunicato di aver messo offline il proprio sistema email, in via precauzionale. Microsoft si è subito attivata rilasciando un aggiornamento correttivo delle falle colpite dall’attacco. [10/03/2021]
EDPB (Comitato europeo per la protezione dei dati)
Pubblicata agenda della 46esima plenaria
Il Comitato europeo per la protezione dei dati ha pubblicato l’agenda della 46esima plenaria, che ha visto l’Autorità adottare i seguenti documenti: (i) una dichiarazione sulla proposta di Regolamento ePrivacy, per il quale è recentemente stata avviata la fase di negoziazione tra Consiglio UE e Parlamento UE (ne abbiamo parlato qui), (ii) delle linee guida sul trattamento dei dati connesso agli assistenti vocali virtuali, che verranno sottoposte a consultazione pubblica, (iii) la versione finale delle linee guida sul trattamento dei dati nel contesto di veicoli e applicazioni connessi alla mobilità, e (iv) una dichiarazione congiunta con l’EDPS sulla proposta di regolamento del Data Governance Act. In aggiunta, il Comitato ha discusso la proposta di decisione di adeguatezza tra UE e UK per il trasferimento dei dati in quello che, a seguito di Brexit, è diventato un Paese extra-UE. [10/03/2021]
Office of the Commissioner for Personal Data Protection (Autorità garante cipriota per la protezione dei dati)
Sanzionata autorità pubblica per illecito utilizzo di un software predittivo sui dati sanitari dei dipendenti
Il Garante cipriota ha sanzionato l’Autorità Elettrica di Cipro per aver illegittimamente trattato i dati personali dei propri dipendenti utilizzando un sistema automatizzato per il monitoraggio delle assenze dovute a motivi di salute. L’Autorità ha ravvisato che il trattamento dei dati mediante tale sistema, basato sul Bradford Factor e volto a effettuare valutazioni ed analisi predittive sui dipendenti, è avvenuto in assenza di una base giuridica idonea. Per tale ragione, essa ha irrogato una sanzione pari a 40.000€. [04/03/2021]
Autorità garanti estere
AEPD (Autorità spagnola per la protezione dei dati)
Sanzionata EQUIFAX per illecito trattamento dei dati dei clienti
Il Garante spagnolo ha sanzionato EQUIFAX, agenzia americana di reportistica del credito al consumo, per illecito trattamento dei dati dei propri clienti. Nello specifico, l’Autorità ha ravvisato che la società effettuava un trattamento dei dati finanziari dei clienti senza alcuna informazione nei confronti degli interessati, non comunicando a questi ultimi che il mancato pagamento dell’importo intimato all’interessato avrebbe comportato l’inserimento del suo nominativo in una lista di soggetti morosi. La violazione ha comportato l’irrogazione di una sanzione di 50.000€. [09/03/2021]
