Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

CNIL sanziona Discord per 800mila euro

Stefano Gazzella : 20 Novembre 2022 15:18

Autore: Stefano Gazzella

L’autorità di controllo francese ha sanzionato per 800mila euro la società statunitense che gestisce la celebre piattaforma Discord contestando la violazione di alcuni principi del GDPR, fra cui limitazione della conservazione, trasparenza, privacy by default, sicurezza e obbligo di svolgere una valutazione di impatto.

Per quanto riguarda la contestazione relativa all’obbligo di conservare i dati personali solo “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5.1 lett. e) GDPR), l’assenza di una procedura di scarto e conservazione è stata un’omissione significativa in seguito al riscontro in sede istruttoria di account inutilizzati da oltre 3 e 5 anni.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Inoltre, è stato oggetto di valutazione anche il fatto che lo stesso registro dei trattamenti non aveva rendicontato i tempi di conservazione (punto 31 della deliberazione). Da ciò è seguita l’adozione di una misura da parte della stessa società e l’applicazione di una politica di data retention di 2 anni dall’ultima attività e la cancellazione automatica dell’account.

La mancanza di una politica di conservazione non ha comportato solamente la formazione dei database rilevati come illeciti, ma ha fatto venire meno la trasparenza nella parte in cui viene previsto un obbligo specifico di indicare “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;” (artt. 13.2 lett. a) e art. 14.2 lett. a) GDPR). In tal senso è stata valutata l’inadeguatezza di indicazioni generiche e non sufficientemente esplicite, da cui deriva l’impossibilità di conoscere la durata dei trattamenti da parte degli interessati.

Per quanto riguarda invece la contestazione più ampia e grave relativa alla disponibilità e chiarezza dell’informativa (art. 12 GDPR), gli iniziali rilievi riguardanti una privacy policy online resa solo in lingua inglese sono stati superati dall’evidenza di un problema tecnico che aveva temporaneamente impedito la visualizzazione della traduzione francese dell’informativa sulla privacy e dalla sua risoluzione tempestiva.

Per quanto riguarda il principio di privacy by default, è stata contestata l’impostazione predefinita dell’applicazione in quanto configurata per rimanere attiva anche in caso di chiusura della finestra principale per cui non sono valse le difese della società sul funzionamento in background rispondente al livello di aspettativa dell’interessato e la sua consapevolezza che per abbandonare il canale vocale sia necessario operare la disconnessione.

Da ciò è seguita l’adozione di una finestra pop-up per avvisare le persone connesse al canale vocale che l’app è in esecuzione e circa la possibilità di modifica dei parametri in caso di chiusura così da rendere in modo chiaro le informazioni circa la configurazione al fine di prevenire i rischi per gli interessati.

Con riguardo all’impiego dei dati “per migliorare Discord”, invece, è stata comprovata la liceità di tale impiego dalla capacità di rendicontazione del rispetto del principio di privacy by design e la possibilità di opposizione da parte dell’utente attraverso una richiesta specifica accanto alla generica previsione di un’opzione di configurazione senza necessità di giustificazione relativa alla particolare situazione dell’utente per la psuedonimizzazione dei dati.

La contestazione relativa alla sicurezza è stata svolta relativamente alla fase di creazione di un account e la selezione di password prive di un criterio di complessità adeguato e la mancanza di misure aggiuntive, da cui deriva un rischio di accesso da parte di terzi non autorizzati.

Nel corso del procedimento sono state adottate dalla società delle misure correttive con la previsione di un minimo di otto caratteri per le password di cui almeno tre minuscole, maiuscole, numeri o caratteri speciali e la risoluzione di un captcha dopo 10 tentativi di connessione falliti, ma i rilievi iniziali riguardanti l’inadeguatezza delle politiche di sicurezza rispetto a rischi e stato dell’arte sono rimasti insuperati.

Ultima ma non meno importante, la violazione dell’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35 GDRP), in quanto il rischio elevato dei trattamenti era riscontrabile secondo i criteri della larga scala e degli interessati vulnerabili, “in relazione al volume di dati trattati dalla società e all’utilizzo dei suoi servizi da parte dei minori”. Sul punto, di particolare rilievo è il passaggio per cui il riscontro di un rischio non elevato ex post rispetto allo svolgimento delle valutazioni – così come riscontrato dalla DPIA successivamente svolta – non può in alcun modo costituire un’esenzione da obblighi sussistenti ex ante.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Alan Turing salvato dalla spazzatura! Riemergono i suoi manoscritti storici che vanno all’asta

Gli inestimabili documenti scientifici del leggendario crittografo Alan Turing sono sfuggiti per un pelo dalla distruzione e sono destinati a essere messi all’asta nel tentativo di ricavare dec...

Diventa Partner della Red Hot Cyber Academy: Scopri l’Affiliate e Creator Program

Intraprendere un percorso di apprendimento nelle nuove tecnologie e sulla sicurezza informatica oggi può fare la differenza, soprattutto in ambiti innovativi e altamente specialistici. Per questo...

Google Meet ora traduce in tempo reale! il tuo inglese “maccheronico” è ufficialmente disoccupato

Google ci porta nel futuro con le traduzioni simultanee in Google Meet! In occasione del suo evento annuale Google I/O 2025,  Google ha presentato uno dei suoi aggiornamenti più entusia...

Un Ospedale Italiano è stato Violato! I Video dei Pazienti e delle Sale Operatorie Sono Online!

“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei...

Coca-Cola Emirati Arabi sotto attacco: Everest Ransomware colpisce tramite infostealer

il 22 maggio 2025, è emersa la notizia di un attacco ransomware ai danni della divisione Emirati Arabi della Coca-Cola Company, rivendicato dal gruppo Everest. La compromissione sarebbe avvenuta ...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006