Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Stefano Gazzella : 11 Febbraio 2023 08:29
Nel mese di dicembre l’autorità di controllo finlandese ha emesso un provvedimento sanzionatorio per 750 mila euro nei confronti di una società di recupero crediti in seguito a tre reclami da parte di altrettanti interessati in ragione del mancato riscontro a richieste di accesso e cancellazione dei dati.
Dall’istruttoria emergono alcune considerazioni piuttosto interessanti tanto per quanto riguarda i profili di trasparenza e correttezza quanto per l’effetto di una mancata risposta alle richieste di chiarimento da parte della DPA.
Le violazioni oggetto di contestazione hanno riguardato gli articoli 12 e 15 GDPR, in ragione di aver mancato di rispondere in modo tempestivo e completo agli interessati e, in una singola ipotesi di richiesta di cancellazione, per aver fornito informazioni insufficienti ed incomplete.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La condotta in violazione dell’obbligo di cooperazione con l’autorità di controllo, invece, non ha portato ad un’autonoma violazione dell’art. 31 GDPR ma è stata invece valutata come circostanza aggravante della sanzione.
La considerazione svolta è stata infatti che le azioni dell’organizzazione hanno avuto l’effetto di complicare e rallentare l’istruttoria, al punto da non consentire infine l’esecuzione dell’ordine di dare seguito alle richieste dei ricorrenti in quanto la società non disponeva più dei loro dati personali in seguito al venire meno della licenza di agire per il recupero crediti e il trasferimento dei dati ad una diversa società.
Dagli spunti istruttori, nonché dalla mancanza di rendicontazione di misure efficaci per garantire il rispetto dei diritti degli interessati, le singole violazioni hanno avuto valore come spunto indiziario per contestare una “pratica regolare” di non essere in grado di fornire un’adeguata risposta alle richieste pervenute. Aggravata ancor più dal non aver dimostrato di aver informato gli interessati in anticipo circa il cambio di titolare del trattamento, indirizzandoli per l’esercizio dei diritti nei confronti del nuovo soggetto anziché ritenere di non essere tenuto a fornire riscontro alcuno.
Di particolare interesse è stato il rilievo svolto circa la mancata indicazione del periodo di conservazione dei dati (paragrafi 62 e 63 del provvedimento) e l’impiego di formule generiche quali: “i dati sono conservati per il periodo stabilito da obblighi di legge” o “i dati personali sono conservati fino all’esaurimento delle finalità del trattamento” ad esempio. Secondo il principio di trasparenza, occorre porre l’interessato in una posizione tale da poter comprendere il tempo di conservazione dei suoi dati personali: in caso di obblighi di legge indicando la norma, o comunque un parametro temporale preciso. E dunque l’insufficienza di un’indicazione vaga e per tutte le finalità, soprattutto in riscontro ad una richiesta di accesso.
Un ultimo spunto particolarmente d’interesse è circa l’entità del danno, con la considerazione di un danno immateriale prodotto da inconveniente o disturbo, peso psicologico relativo alle incertezze riguardanti la riscossione. Insomma: un danno da doversi considerare tout-court e non solo limitatamente ad una dimensione patrimoniale.
Stefano GazzellaDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
