Stefano Gazzella : 11 Febbraio 2023 08:29
Nel mese di dicembre l’autorità di controllo finlandese ha emesso un provvedimento sanzionatorio per 750 mila euro nei confronti di una società di recupero crediti in seguito a tre reclami da parte di altrettanti interessati in ragione del mancato riscontro a richieste di accesso e cancellazione dei dati.
Dall’istruttoria emergono alcune considerazioni piuttosto interessanti tanto per quanto riguarda i profili di trasparenza e correttezza quanto per l’effetto di una mancata risposta alle richieste di chiarimento da parte della DPA.
Le violazioni oggetto di contestazione hanno riguardato gli articoli 12 e 15 GDPR, in ragione di aver mancato di rispondere in modo tempestivo e completo agli interessati e, in una singola ipotesi di richiesta di cancellazione, per aver fornito informazioni insufficienti ed incomplete.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La condotta in violazione dell’obbligo di cooperazione con l’autorità di controllo, invece, non ha portato ad un’autonoma violazione dell’art. 31 GDPR ma è stata invece valutata come circostanza aggravante della sanzione.
La considerazione svolta è stata infatti che le azioni dell’organizzazione hanno avuto l’effetto di complicare e rallentare l’istruttoria, al punto da non consentire infine l’esecuzione dell’ordine di dare seguito alle richieste dei ricorrenti in quanto la società non disponeva più dei loro dati personali in seguito al venire meno della licenza di agire per il recupero crediti e il trasferimento dei dati ad una diversa società.
Dagli spunti istruttori, nonché dalla mancanza di rendicontazione di misure efficaci per garantire il rispetto dei diritti degli interessati, le singole violazioni hanno avuto valore come spunto indiziario per contestare una “pratica regolare” di non essere in grado di fornire un’adeguata risposta alle richieste pervenute. Aggravata ancor più dal non aver dimostrato di aver informato gli interessati in anticipo circa il cambio di titolare del trattamento, indirizzandoli per l’esercizio dei diritti nei confronti del nuovo soggetto anziché ritenere di non essere tenuto a fornire riscontro alcuno.
Di particolare interesse è stato il rilievo svolto circa la mancata indicazione del periodo di conservazione dei dati (paragrafi 62 e 63 del provvedimento) e l’impiego di formule generiche quali: “i dati sono conservati per il periodo stabilito da obblighi di legge” o “i dati personali sono conservati fino all’esaurimento delle finalità del trattamento” ad esempio. Secondo il principio di trasparenza, occorre porre l’interessato in una posizione tale da poter comprendere il tempo di conservazione dei suoi dati personali: in caso di obblighi di legge indicando la norma, o comunque un parametro temporale preciso. E dunque l’insufficienza di un’indicazione vaga e per tutte le finalità, soprattutto in riscontro ad una richiesta di accesso.
Un ultimo spunto particolarmente d’interesse è circa l’entità del danno, con la considerazione di un danno immateriale prodotto da inconveniente o disturbo, peso psicologico relativo alle incertezze riguardanti la riscossione. Insomma: un danno da doversi considerare tout-court e non solo limitatamente ad una dimensione patrimoniale.
Stefano GazzellaUna nuova inserzione apparsa su Exploit pochi minuti fa mostra quanto sia cruciale la Cyber Threat Intelligence per prevenire le minacce informatiche. Su uno dei principali forum underground del dark ...
Nel corso dell’ultima settimana, Google ha annunciato che l’assistente Gemini potrà da ora integrare nativamente i servizi YouTube e Google Maps senza la necessità di utilizzare comandi specific...
C’era una volta una Città che aveva un Bosco Magico. Era felice di averlo, anche un po’ orgoglioso. Motivo per cui tutti i cittadini facevano volentieri meno a qualche piccola comodità per mante...
La città di New York ha intentato una causa mercoledì contro un gruppo di piattaforme di social media di spicco, come TikTok, YouTube, Instagram e Facebook, con l’accusa di aver contribuito a scat...
Il colosso della tecnologia ha annunciato la creazione di un nuovo team di sviluppo per un’intelligenza artificiale “sovrumana” che supererà in accuratezza gli esperti umani nelle diagnosi medi...
