Stefano Gazzella : 20 Novembre 2022 15:18
Autore: Stefano Gazzella
L’autorità di controllo francese ha sanzionato per 800mila euro la società statunitense che gestisce la celebre piattaforma Discord contestando la violazione di alcuni principi del GDPR, fra cui limitazione della conservazione, trasparenza, privacy by default, sicurezza e obbligo di svolgere una valutazione di impatto.
Per quanto riguarda la contestazione relativa all’obbligo di conservare i dati personali solo “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5.1 lett. e) GDPR), l’assenza di una procedura di scarto e conservazione è stata un’omissione significativa in seguito al riscontro in sede istruttoria di account inutilizzati da oltre 3 e 5 anni.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Inoltre, è stato oggetto di valutazione anche il fatto che lo stesso registro dei trattamenti non aveva rendicontato i tempi di conservazione (punto 31 della deliberazione). Da ciò è seguita l’adozione di una misura da parte della stessa società e l’applicazione di una politica di data retention di 2 anni dall’ultima attività e la cancellazione automatica dell’account.
La mancanza di una politica di conservazione non ha comportato solamente la formazione dei database rilevati come illeciti, ma ha fatto venire meno la trasparenza nella parte in cui viene previsto un obbligo specifico di indicare “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;” (artt. 13.2 lett. a) e art. 14.2 lett. a) GDPR). In tal senso è stata valutata l’inadeguatezza di indicazioni generiche e non sufficientemente esplicite, da cui deriva l’impossibilità di conoscere la durata dei trattamenti da parte degli interessati.
Per quanto riguarda invece la contestazione più ampia e grave relativa alla disponibilità e chiarezza dell’informativa (art. 12 GDPR), gli iniziali rilievi riguardanti una privacy policy online resa solo in lingua inglese sono stati superati dall’evidenza di un problema tecnico che aveva temporaneamente impedito la visualizzazione della traduzione francese dell’informativa sulla privacy e dalla sua risoluzione tempestiva.
Per quanto riguarda il principio di privacy by default, è stata contestata l’impostazione predefinita dell’applicazione in quanto configurata per rimanere attiva anche in caso di chiusura della finestra principale per cui non sono valse le difese della società sul funzionamento in background rispondente al livello di aspettativa dell’interessato e la sua consapevolezza che per abbandonare il canale vocale sia necessario operare la disconnessione.
Da ciò è seguita l’adozione di una finestra pop-up per avvisare le persone connesse al canale vocale che l’app è in esecuzione e circa la possibilità di modifica dei parametri in caso di chiusura così da rendere in modo chiaro le informazioni circa la configurazione al fine di prevenire i rischi per gli interessati.
Con riguardo all’impiego dei dati “per migliorare Discord”, invece, è stata comprovata la liceità di tale impiego dalla capacità di rendicontazione del rispetto del principio di privacy by design e la possibilità di opposizione da parte dell’utente attraverso una richiesta specifica accanto alla generica previsione di un’opzione di configurazione senza necessità di giustificazione relativa alla particolare situazione dell’utente per la psuedonimizzazione dei dati.
La contestazione relativa alla sicurezza è stata svolta relativamente alla fase di creazione di un account e la selezione di password prive di un criterio di complessità adeguato e la mancanza di misure aggiuntive, da cui deriva un rischio di accesso da parte di terzi non autorizzati.
Nel corso del procedimento sono state adottate dalla società delle misure correttive con la previsione di un minimo di otto caratteri per le password di cui almeno tre minuscole, maiuscole, numeri o caratteri speciali e la risoluzione di un captcha dopo 10 tentativi di connessione falliti, ma i rilievi iniziali riguardanti l’inadeguatezza delle politiche di sicurezza rispetto a rischi e stato dell’arte sono rimasti insuperati.
Ultima ma non meno importante, la violazione dell’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35 GDRP), in quanto il rischio elevato dei trattamenti era riscontrabile secondo i criteri della larga scala e degli interessati vulnerabili, “in relazione al volume di dati trattati dalla società e all’utilizzo dei suoi servizi da parte dei minori”. Sul punto, di particolare rilievo è il passaggio per cui il riscontro di un rischio non elevato ex post rispetto allo svolgimento delle valutazioni – così come riscontrato dalla DPIA successivamente svolta – non può in alcun modo costituire un’esenzione da obblighi sussistenti ex ante.
Stefano GazzellaPiaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
Sulla veranda di una vecchia baita in Colorado, Mark Gubrud, 67 anni, osserva distrattamente il crepuscolo in lontananza, con il telefono accanto a sé, lo schermo ancora acceso su un’app di notizie...
Anthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
