Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Stefano Gazzella : 20 Novembre 2022 15:18
Autore: Stefano Gazzella
L’autorità di controllo francese ha sanzionato per 800mila euro la società statunitense che gestisce la celebre piattaforma Discord contestando la violazione di alcuni principi del GDPR, fra cui limitazione della conservazione, trasparenza, privacy by default, sicurezza e obbligo di svolgere una valutazione di impatto.
Per quanto riguarda la contestazione relativa all’obbligo di conservare i dati personali solo “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5.1 lett. e) GDPR), l’assenza di una procedura di scarto e conservazione è stata un’omissione significativa in seguito al riscontro in sede istruttoria di account inutilizzati da oltre 3 e 5 anni.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Inoltre, è stato oggetto di valutazione anche il fatto che lo stesso registro dei trattamenti non aveva rendicontato i tempi di conservazione (punto 31 della deliberazione). Da ciò è seguita l’adozione di una misura da parte della stessa società e l’applicazione di una politica di data retention di 2 anni dall’ultima attività e la cancellazione automatica dell’account.
La mancanza di una politica di conservazione non ha comportato solamente la formazione dei database rilevati come illeciti, ma ha fatto venire meno la trasparenza nella parte in cui viene previsto un obbligo specifico di indicare “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;” (artt. 13.2 lett. a) e art. 14.2 lett. a) GDPR). In tal senso è stata valutata l’inadeguatezza di indicazioni generiche e non sufficientemente esplicite, da cui deriva l’impossibilità di conoscere la durata dei trattamenti da parte degli interessati.
Per quanto riguarda invece la contestazione più ampia e grave relativa alla disponibilità e chiarezza dell’informativa (art. 12 GDPR), gli iniziali rilievi riguardanti una privacy policy online resa solo in lingua inglese sono stati superati dall’evidenza di un problema tecnico che aveva temporaneamente impedito la visualizzazione della traduzione francese dell’informativa sulla privacy e dalla sua risoluzione tempestiva.
Per quanto riguarda il principio di privacy by default, è stata contestata l’impostazione predefinita dell’applicazione in quanto configurata per rimanere attiva anche in caso di chiusura della finestra principale per cui non sono valse le difese della società sul funzionamento in background rispondente al livello di aspettativa dell’interessato e la sua consapevolezza che per abbandonare il canale vocale sia necessario operare la disconnessione.
Da ciò è seguita l’adozione di una finestra pop-up per avvisare le persone connesse al canale vocale che l’app è in esecuzione e circa la possibilità di modifica dei parametri in caso di chiusura così da rendere in modo chiaro le informazioni circa la configurazione al fine di prevenire i rischi per gli interessati.
Con riguardo all’impiego dei dati “per migliorare Discord”, invece, è stata comprovata la liceità di tale impiego dalla capacità di rendicontazione del rispetto del principio di privacy by design e la possibilità di opposizione da parte dell’utente attraverso una richiesta specifica accanto alla generica previsione di un’opzione di configurazione senza necessità di giustificazione relativa alla particolare situazione dell’utente per la psuedonimizzazione dei dati.
La contestazione relativa alla sicurezza è stata svolta relativamente alla fase di creazione di un account e la selezione di password prive di un criterio di complessità adeguato e la mancanza di misure aggiuntive, da cui deriva un rischio di accesso da parte di terzi non autorizzati.
Nel corso del procedimento sono state adottate dalla società delle misure correttive con la previsione di un minimo di otto caratteri per le password di cui almeno tre minuscole, maiuscole, numeri o caratteri speciali e la risoluzione di un captcha dopo 10 tentativi di connessione falliti, ma i rilievi iniziali riguardanti l’inadeguatezza delle politiche di sicurezza rispetto a rischi e stato dell’arte sono rimasti insuperati.
Ultima ma non meno importante, la violazione dell’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35 GDRP), in quanto il rischio elevato dei trattamenti era riscontrabile secondo i criteri della larga scala e degli interessati vulnerabili, “in relazione al volume di dati trattati dalla società e all’utilizzo dei suoi servizi da parte dei minori”. Sul punto, di particolare rilievo è il passaggio per cui il riscontro di un rischio non elevato ex post rispetto allo svolgimento delle valutazioni – così come riscontrato dalla DPIA successivamente svolta – non può in alcun modo costituire un’esenzione da obblighi sussistenti ex ante.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Stefano GazzellaÈ stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre o...
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
