Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Stefano Gazzella : 20 Novembre 2022 15:18
Autore: Stefano Gazzella
L’autorità di controllo francese ha sanzionato per 800mila euro la società statunitense che gestisce la celebre piattaforma Discord contestando la violazione di alcuni principi del GDPR, fra cui limitazione della conservazione, trasparenza, privacy by default, sicurezza e obbligo di svolgere una valutazione di impatto.
Per quanto riguarda la contestazione relativa all’obbligo di conservare i dati personali solo “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5.1 lett. e) GDPR), l’assenza di una procedura di scarto e conservazione è stata un’omissione significativa in seguito al riscontro in sede istruttoria di account inutilizzati da oltre 3 e 5 anni.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Inoltre, è stato oggetto di valutazione anche il fatto che lo stesso registro dei trattamenti non aveva rendicontato i tempi di conservazione (punto 31 della deliberazione). Da ciò è seguita l’adozione di una misura da parte della stessa società e l’applicazione di una politica di data retention di 2 anni dall’ultima attività e la cancellazione automatica dell’account.
La mancanza di una politica di conservazione non ha comportato solamente la formazione dei database rilevati come illeciti, ma ha fatto venire meno la trasparenza nella parte in cui viene previsto un obbligo specifico di indicare “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;” (artt. 13.2 lett. a) e art. 14.2 lett. a) GDPR). In tal senso è stata valutata l’inadeguatezza di indicazioni generiche e non sufficientemente esplicite, da cui deriva l’impossibilità di conoscere la durata dei trattamenti da parte degli interessati.
Per quanto riguarda invece la contestazione più ampia e grave relativa alla disponibilità e chiarezza dell’informativa (art. 12 GDPR), gli iniziali rilievi riguardanti una privacy policy online resa solo in lingua inglese sono stati superati dall’evidenza di un problema tecnico che aveva temporaneamente impedito la visualizzazione della traduzione francese dell’informativa sulla privacy e dalla sua risoluzione tempestiva.
Per quanto riguarda il principio di privacy by default, è stata contestata l’impostazione predefinita dell’applicazione in quanto configurata per rimanere attiva anche in caso di chiusura della finestra principale per cui non sono valse le difese della società sul funzionamento in background rispondente al livello di aspettativa dell’interessato e la sua consapevolezza che per abbandonare il canale vocale sia necessario operare la disconnessione.
Da ciò è seguita l’adozione di una finestra pop-up per avvisare le persone connesse al canale vocale che l’app è in esecuzione e circa la possibilità di modifica dei parametri in caso di chiusura così da rendere in modo chiaro le informazioni circa la configurazione al fine di prevenire i rischi per gli interessati.
Con riguardo all’impiego dei dati “per migliorare Discord”, invece, è stata comprovata la liceità di tale impiego dalla capacità di rendicontazione del rispetto del principio di privacy by design e la possibilità di opposizione da parte dell’utente attraverso una richiesta specifica accanto alla generica previsione di un’opzione di configurazione senza necessità di giustificazione relativa alla particolare situazione dell’utente per la psuedonimizzazione dei dati.
La contestazione relativa alla sicurezza è stata svolta relativamente alla fase di creazione di un account e la selezione di password prive di un criterio di complessità adeguato e la mancanza di misure aggiuntive, da cui deriva un rischio di accesso da parte di terzi non autorizzati.
Nel corso del procedimento sono state adottate dalla società delle misure correttive con la previsione di un minimo di otto caratteri per le password di cui almeno tre minuscole, maiuscole, numeri o caratteri speciali e la risoluzione di un captcha dopo 10 tentativi di connessione falliti, ma i rilievi iniziali riguardanti l’inadeguatezza delle politiche di sicurezza rispetto a rischi e stato dell’arte sono rimasti insuperati.
Ultima ma non meno importante, la violazione dell’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35 GDRP), in quanto il rischio elevato dei trattamenti era riscontrabile secondo i criteri della larga scala e degli interessati vulnerabili, “in relazione al volume di dati trattati dalla società e all’utilizzo dei suoi servizi da parte dei minori”. Sul punto, di particolare rilievo è il passaggio per cui il riscontro di un rischio non elevato ex post rispetto allo svolgimento delle valutazioni – così come riscontrato dalla DPIA successivamente svolta – non può in alcun modo costituire un’esenzione da obblighi sussistenti ex ante.
Stefano GazzellaMalgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansi...
Secondo Eurostat nel 2023 solo il 55% dei cittadini dell’Unione Europea tra i 16 e i 74 anni possedeva competenze digitali almeno di base, con forti differenze tra paesi: si va da valori intorno all...
Cloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
