Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 11 Febbraio 2023 08:29
Nel mese di dicembre l’autorità di controllo finlandese ha emesso un provvedimento sanzionatorio per 750 mila euro nei confronti di una società di recupero crediti in seguito a tre reclami da parte di altrettanti interessati in ragione del mancato riscontro a richieste di accesso e cancellazione dei dati.
Dall’istruttoria emergono alcune considerazioni piuttosto interessanti tanto per quanto riguarda i profili di trasparenza e correttezza quanto per l’effetto di una mancata risposta alle richieste di chiarimento da parte della DPA.
Le violazioni oggetto di contestazione hanno riguardato gli articoli 12 e 15 GDPR, in ragione di aver mancato di rispondere in modo tempestivo e completo agli interessati e, in una singola ipotesi di richiesta di cancellazione, per aver fornito informazioni insufficienti ed incomplete.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La condotta in violazione dell’obbligo di cooperazione con l’autorità di controllo, invece, non ha portato ad un’autonoma violazione dell’art. 31 GDPR ma è stata invece valutata come circostanza aggravante della sanzione.
La considerazione svolta è stata infatti che le azioni dell’organizzazione hanno avuto l’effetto di complicare e rallentare l’istruttoria, al punto da non consentire infine l’esecuzione dell’ordine di dare seguito alle richieste dei ricorrenti in quanto la società non disponeva più dei loro dati personali in seguito al venire meno della licenza di agire per il recupero crediti e il trasferimento dei dati ad una diversa società.
Dagli spunti istruttori, nonché dalla mancanza di rendicontazione di misure efficaci per garantire il rispetto dei diritti degli interessati, le singole violazioni hanno avuto valore come spunto indiziario per contestare una “pratica regolare” di non essere in grado di fornire un’adeguata risposta alle richieste pervenute. Aggravata ancor più dal non aver dimostrato di aver informato gli interessati in anticipo circa il cambio di titolare del trattamento, indirizzandoli per l’esercizio dei diritti nei confronti del nuovo soggetto anziché ritenere di non essere tenuto a fornire riscontro alcuno.
Di particolare interesse è stato il rilievo svolto circa la mancata indicazione del periodo di conservazione dei dati (paragrafi 62 e 63 del provvedimento) e l’impiego di formule generiche quali: “i dati sono conservati per il periodo stabilito da obblighi di legge” o “i dati personali sono conservati fino all’esaurimento delle finalità del trattamento” ad esempio. Secondo il principio di trasparenza, occorre porre l’interessato in una posizione tale da poter comprendere il tempo di conservazione dei suoi dati personali: in caso di obblighi di legge indicando la norma, o comunque un parametro temporale preciso. E dunque l’insufficienza di un’indicazione vaga e per tutte le finalità, soprattutto in riscontro ad una richiesta di accesso.
Un ultimo spunto particolarmente d’interesse è circa l’entità del danno, con la considerazione di un danno immateriale prodotto da inconveniente o disturbo, peso psicologico relativo alle incertezze riguardanti la riscossione. Insomma: un danno da doversi considerare tout-court e non solo limitatamente ad una dimensione patrimoniale.
Stefano GazzellaIntraprendere un percorso di apprendimento nelle nuove tecnologie e sulla sicurezza informatica oggi può fare la differenza, soprattutto in ambiti innovativi e altamente specialistici. Per questo...
Google ci porta nel futuro con le traduzioni simultanee in Google Meet! In occasione del suo evento annuale Google I/O 2025, Google ha presentato uno dei suoi aggiornamenti più entusia...
“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei...
il 22 maggio 2025, è emersa la notizia di un attacco ransomware ai danni della divisione Emirati Arabi della Coca-Cola Company, rivendicato dal gruppo Everest. La compromissione sarebbe avvenuta ...
I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
