Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 11 Febbraio 2023 08:29
Nel mese di dicembre l’autorità di controllo finlandese ha emesso un provvedimento sanzionatorio per 750 mila euro nei confronti di una società di recupero crediti in seguito a tre reclami da parte di altrettanti interessati in ragione del mancato riscontro a richieste di accesso e cancellazione dei dati.
Dall’istruttoria emergono alcune considerazioni piuttosto interessanti tanto per quanto riguarda i profili di trasparenza e correttezza quanto per l’effetto di una mancata risposta alle richieste di chiarimento da parte della DPA.
Le violazioni oggetto di contestazione hanno riguardato gli articoli 12 e 15 GDPR, in ragione di aver mancato di rispondere in modo tempestivo e completo agli interessati e, in una singola ipotesi di richiesta di cancellazione, per aver fornito informazioni insufficienti ed incomplete.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La condotta in violazione dell’obbligo di cooperazione con l’autorità di controllo, invece, non ha portato ad un’autonoma violazione dell’art. 31 GDPR ma è stata invece valutata come circostanza aggravante della sanzione.
La considerazione svolta è stata infatti che le azioni dell’organizzazione hanno avuto l’effetto di complicare e rallentare l’istruttoria, al punto da non consentire infine l’esecuzione dell’ordine di dare seguito alle richieste dei ricorrenti in quanto la società non disponeva più dei loro dati personali in seguito al venire meno della licenza di agire per il recupero crediti e il trasferimento dei dati ad una diversa società.
Dagli spunti istruttori, nonché dalla mancanza di rendicontazione di misure efficaci per garantire il rispetto dei diritti degli interessati, le singole violazioni hanno avuto valore come spunto indiziario per contestare una “pratica regolare” di non essere in grado di fornire un’adeguata risposta alle richieste pervenute. Aggravata ancor più dal non aver dimostrato di aver informato gli interessati in anticipo circa il cambio di titolare del trattamento, indirizzandoli per l’esercizio dei diritti nei confronti del nuovo soggetto anziché ritenere di non essere tenuto a fornire riscontro alcuno.
Di particolare interesse è stato il rilievo svolto circa la mancata indicazione del periodo di conservazione dei dati (paragrafi 62 e 63 del provvedimento) e l’impiego di formule generiche quali: “i dati sono conservati per il periodo stabilito da obblighi di legge” o “i dati personali sono conservati fino all’esaurimento delle finalità del trattamento” ad esempio. Secondo il principio di trasparenza, occorre porre l’interessato in una posizione tale da poter comprendere il tempo di conservazione dei suoi dati personali: in caso di obblighi di legge indicando la norma, o comunque un parametro temporale preciso. E dunque l’insufficienza di un’indicazione vaga e per tutte le finalità, soprattutto in riscontro ad una richiesta di accesso.
Un ultimo spunto particolarmente d’interesse è circa l’entità del danno, con la considerazione di un danno immateriale prodotto da inconveniente o disturbo, peso psicologico relativo alle incertezze riguardanti la riscossione. Insomma: un danno da doversi considerare tout-court e non solo limitatamente ad una dimensione patrimoniale.
Stefano GazzellaFesteggiamo l’hardware mentre il mondo costruisce cervelli. L’AI non si misura a FLOPS. Recentemente ho letto un articolo su Il Sole 24 Ore dal titolo: “Supercomputer, l’Eu...
“Se non paghi per il servizio, il prodotto sei tu. Vale per i social network, ma anche per le VPN gratuite: i tuoi dati, la tua privacy, sono spesso il vero prezzo da pagare. I ricercatori del ...
Kali Linux 2025.2 segna un nuovo passo avanti nel mondo del penetration testing, offrendo aggiornamenti che rafforzano ulteriormente la sua reputazione come strumento fondamentale per la sicurezza inf...
Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...
Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
