logo

Benvenuti sul sito di Sicurdata Srl. Siamo a vostra disposizione per tutto ciò che riguarda consulenza in ambito Data Protection & E-Privacy e Compliance.

Contatti

Indirizzo:

Viale Belfiore, 42 - 50123 - Firenze (FI), Italia.
Email : info@opendata.it

 Domande?

Visita la sezione Questions & Answers

Nyt, 'accordi con Apple,Samsung,BlackBerry,Amazon e Microsoft'

(ANSA) - NEW YORK, 3 GIU - Facebook ancora nel mirino sul fronte della violazione della privacy: secondo quando scrive il New York Times, nel tempo avrebbe stipulato accordi con almeno 60 produttori di smartphone, tablet e altri dispositivi mobili, permettendo loro di accedere ai dati personali di migliaia di utenti e dei loro 'amici' senza esplicito consenso. Tra i gruppi con cui il colosso di Mark Zuckerberg negli ultimi dieci anni avrebbe siglato intese ci sarebbero Apple, Amazon, BlackBerry, Microsoft e Samsung.
   

Chi vuole può citofonare a Casaleggio, Montezemolo o all'ad delle Ferrovie per lamentarsi di persona dei ritardi. Si possono anche scaricare i dati in modo massivo per usarli a fini commerciali o rivenderli a terzi. Mentre entra in vigore il General Data Protection Regulation (GDPR) che impone la stretta ai gestori di banche dati di tutta Europa in Italia si scopre una gigantesca falla nel portale delle imprese voluto dal governo. Si rischiano multe fino a 10 milioni di euro. Immediata la segnalazione al Garante della Privacy

Il Garante della Privacy comunica che in seguito alla pubblicazione del servizio ha avviato un’istruttoria sul caso e ha richiesto al gestore “ogni utile elemento alla piena valutazione del caso”. Intanto UnionCamere ha sospeso la funzione di compilazione automatica che permetteva di visionare e scaricare dati di aziende diverse da quella che si è loggata per il servizio

I clienti delle Fs potranno lamentarsi di persona con chi le amministra, basta seguire l’indirizzo e citofonare “Mazzoncini”. Idem quelli di Amsa e A2a e di multinazionali come Sky, Ikea, Siemens, Edison, Suzuki, Toyota e Luxottica. Qualche buontempone potrà suonare il campanello di CasaleggioDe Benedetti e Montezemolo o attaccarsi a quello del politico paracadutato ai vertici di società pubbliche. Il servizio è gratuito e privo di rischi, grazie al contributo di Palazzo Chigi e Camere di commercio. Volevano semplificare la vita agli imprenditori, hanno finito per esporre ai quattro venti i loro dati personali, comprese le residenze private, di milioni di amministratori, procuratori e consiglieri iscritti al Registro delle Imprese.

Merito di un portale istituzionale che regala all’Italia un bel primato: anche i sassi sanno che oggi, 25 maggio 2018, diventa operativo il General Data Protection Regulation (GDPR), il nuovo regolamento europeo che impone maggiori obblighi e cautele, nonché sanzioni fino a 10 milioni di euro ai gestori di dati che per evitarle stanno bombardando utenti e clienti di richieste a rinnovare il consenso. Il nostro Paese lo celebra con un data-breach di proporzioni epiche e dai risvolti inesplorati. A beneficio dei curiosi che s’annidano tra 200mila utenti mensili del sito e di chi volesse utilizzarli a fini commerciali propri o rivenderli a terzi. Magari dopo averli scaricati comodamente in blocco con un semplice script da ragazzini dell’Itis di Monza. Lo abbiamo fatto.

Il Paradiso degli opendata (involontari) si spalanca digitando www.impresainungiorno.gov.it , indirizzo del portale nato per rispondere a un decreto del 2008 che imponeva a tutti i comuni di dotarsi di uno Sportello unico delle attività produttive (Suap) telematico. Consente ai titolari d’impresa di sbrigare online pratiche e autorizzazioni senza doversi recare fisicamente gli sportelli. Lo ha realizzato Infocamere col sostegno di Union Camere, cioè degli imprenditori stessi, e dell’Associazione dei comuni (Anci), cioè dei contribuenti. L’iniziativa era e resta meritoria, salvo sbattere contro le disposizioni vigenti sul corretto trattamento dei dati e sulle nuove che sono un bel grattacapo per tutte le imprese. E ora, chi glielo dice che sono le prime vittime di una clamorosa leggerezza? Una nota ufficiale di Union Camere, preventivamente sollecitata dal fattoquotidiano.it, assicura che “nessuna criticità in ordine alla tenuta/protezione dei dati. Da molti anni le Camere di commercio gestiscono il registro informatico delle imprese italiane e gli standard di sicurezza sono i più elevati”. Ma è bastato un piccolo test a dimostrare il contrario. Si clicca sul bottone a destra del sito “accedi ai servizi”. Da qui in poi, è un gioco da ragazzi.

Se Snowden chiede una pratica edilizia
Il Codice dell’amministrazione digitale dice che per accedere ai servizi della PA si devono usare esclusivamente sistemi sicuri, come SPID o la CNS, ma il gestore del sito – prima falla – evidentemente non lo sa e consente di registrarsi come si vuole, senza un sistema di autenticazione. Noi lo facciamo usando il nome Edward Snowden, l’informatico e attivista statunitense che ha rivelato lo scandalo intercettazioni. Luogo e data di nascita sono su Wikipedia e di strumenti per calcolare il codice fiscale è pieno Internet. Il nostro Edward può ora presentare pratiche presso tutti i Comuni italiani convenzionati. Ne sceglie uno a caso, il Comune di Milano e segue le istruzioni. Clicca sul bottone “Compila una pratica” e arriva una pagina dove deve inserire i dati anagrafici dell’azienda. E qui siamo alla seconda falla.

Il servizio ha poi una funzione compilazione automatica del modulo, così che a Snowden basta inserire un codice fiscale aziendale (sono tutti pubblicati per legge nella homepage dei loro siti Internet) per vedersi comparire a schermo la relativa scheda anagrafica estratta dal Registro delle Imprese, con tutti i dati relativi al rappresentante legale dellazienda. Potrà inserire, ad esempio, il codice fiscale di NTV – Italo treno: 09247981005. Cliccando sul bottone “recupera dati” magicamente otterrà l’indirizzo dell’abitazione di Luca Cordero di Montezemolo. Lo stesso può fare con la Casaleggio e associati per avere l’indirizzo di Davide Federico Dante Casaleggio e così via. Certo, si può anche fare tramite le visure camerali, ma bisogna accreditarsi e pagare lasciando traccia delle operazioni. Si può andare fisicamente allo sportello della Camera di Commercio, dove non chiedono documenti, ma richiede tempo e si paga per ogni pratica. Qui si fa tutto in rete, gratis e senza limiti. Ma ecco il terzo svarione che perfeziona il pasticcio: il data-breach, cioè la possibilità di scaricare, copiare e trasmettere in maniera massiva dati personali.

Il data-breach casalingo, la reazione dellente
Scaricare a mano 6milioni di schede aziendali, l’intera banca dati delle Camere di Commercio, in effetti può risultare noioso. Fortunatamente Edward conosce Giggino, che frequenta la terza all’ITIS informatici di Monza che è un maghetto col Javascript. In quattro e quattr’otto Giggino gli prepara uno script che scarica diecimila record alla volta.
Ecco qui i primi diecimila in un file Excel, li manderemo a Antonello Soro, il Garante della privacy per sentire cosa ne pensa. Ma è mai possibile che dati personali siano trattati con tanta leggerezza dalla società delle camere di Commercio? A sera chiama il dirigente di InfoCamere responsabile del servizio. Luca Candiani ci ringrazia della segnalazione e poi spiega che l’ente ha scelto di non limitare l’accesso a credenziali sicure perché “vista la scarsa diffusione di identità digitali tra gli italiani avremmo fortemente limitato l’operatività del servizio”. Eppure il governo e la sua Agenda digitale spingono da anni nella direzione opposta, a incentivare il più possibile la diffusione di sistemi di autenticazione sicuri come Spid e Cns. Resta allora da capire quanto la pretesa “operatività del servizio” faccia rima con i più sostanziosi incassi che un accesso non controllato garantisce ogni anno all’ente camerale.

L’esperto: “Se confermate, inadempienze gravi”
“Se le cose stanno in questi termini siamo davanti a una serie di inadempienze gravi”, spiega Fulvio Sarzana, giurista che da anni si occupa di diritti digitali e privacy. “Sembra potersi profilare una violazione del principio di accountability ovvero dell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo quadro comunitario alla base del Regolamento Europeo in materia di protezione dei dati personali. Va ricordato che il Regolamento è in vigore dal maggio 2016 e dal maggio 2018 è solo prevista l’operatività in tutti i paesi dell’Unione. Ancora, va ricordato come l’adozione di misure di sicurezza per il trattamento dei dati personali volte ad evitare rischi di diffusione incontrollata di dati, sia oggetto anche di una specifica disposizione penale, come già previsto dall’art 169 del codice della privacy. E’ bene verificare con attenzione cosa sia successo”. Il Garante della Privacy ha aperto un’istruttoria.

PS 1- L’unico vero ostacolo che il nostro Edward ha incontrato sulla sua strada è stato al momento della  registrazione: dopo aver fallito con diversi browser ha scoperto che il sito funziona solo con alcuni. Questo nonostante le linee guida per la realizzazione dei siti web della PA raccomandino di verificarne il funzionamento su tutti i browser più diffusi.

PS 2 – La sera prima della pubblicazione abbiamo segnalato la falla a UnionCamere che è il titolare del servizio per consentirle di prendere le giuste contromisure ed evitare eventuali abusi.

In vista del nuovo regolamento Ue sulla Data Protection, le aziende stanno inviando una pioggia di mail a clienti e persone in mailing list per chiedere il rinnovo del consenso al trattamento dei dati. Ma quasi sempre il consenso ce l’hanno già oppure se non ce l’hanno non dovrebbero inviare quella mail.

La gran parte delle email che in questo periodo intasano le nostre caselle di posta per richiederci il rinnovo del consenso al trattamento dei nostri dati a scopi di marketing o per mantenere i nominativi dei destinatari sulle mailing list in vista dell’entrata in vigore del GDPR sono superflue o addirittura illegali.

Secondo alcuni esperti citati dal TheGuardian, molte aziende stanno letteralmente subissando le caselle di posta dei loro database di richieste di rinnovo del consenso informato alla ricezione di comunicazioni pubblicitarie di marketing e di assenso al trattamento dei dati personali dei destinatari. Un martellamento di messaggi per non incorrere nelle pesanti sanzioni previste dal GDPR, figlio però di consigli legali troppo spesso sbagliati, visto che la maggior parte dei destinatari ha già dato il consenso e non è obbligatorio il rinnovo.

Perché il diluvio di mail per il GDPR, posso ignorarlo?

Secondo Tony Vitale, responsabile regolazione, data e informazioni dello studio legale Winckworth Sherwood, gran parte delle mail inviate freneticamente dalle aziende in preparazione al GDPR per ottenere il rinnovo dei consensi è inutile. “Il consenso è soltanto uno dei sei criteri legali (alla base del trattamento di dati online ndr) – ha detto Vitale al Guardian – Gli altri sono un contratto, un obbligo legale, interessi vitali, pubblico interesse, interessi legittimi”.

L’articolo 171 del GDPR dice chiaramente che è possibile continuare a contare su un consenso esistente concesso in linea con le richieste del GDPR, e per questo non c’è alcun bisogno di rinnovare il consenso. L’unico accorgimento, “assicurarsi che il consenso di cui si dispone risponda agli standard richiesti dal GDPR e che i consensi siano documentati nel modo giusto”.

In altre parole, se un’azienda ha ottenuto il via libera a comunicare con te prima del GDPR, quel consenso probabilmente vale anche dopo la sua entrata in vigore, e se invece non vale più, l’azienda ha altri cinque buoni motivi per continuare a trattare i tuoi dati.

Inoltre, paradossalmente, se un’azienda non ha ricevuto il consenso a comunicare con te, probabilmente non dispone nemmeno del consenso a scriverti una mail per chiederti il consenso a inviarti messaggi di marketing.

C’è da dire che per spedire una mail per chiedere il rinnovo del consenso al trattamento dei dati di una persona le aziende dovrebbero essere certe al 100% su come hanno ottenuto quel nominativo. Molto semplicemente, sono certamente numerose le aziende che non sarebbero in grado di dimostrare se, come e quando hanno ricevuto il consenso a contattare qualcuno a scopi di marketing.

In vista del nuovo regolamento Ue sulla Data Protection, le aziende stanno inviando una pioggia di mail a clienti e persone in mailing list per chiedere il rinnovo del consenso al trattamento dei dati. Ma quasi sempre il consenso ce l’hanno già oppure se non ce l’hanno non dovrebbero inviare quella mail.

La gran parte delle email che in questo periodo intasano le nostre caselle di posta per richiederci il rinnovo del consenso al trattamento dei nostri dati a scopi di marketing o per mantenere i nominativi dei destinatari sulle mailing list in vista dell’entrata in vigore del GDPR sono superflue o addirittura illegali.

Secondo alcuni esperti citati dal TheGuardian, molte aziende stanno letteralmente subissando le caselle di posta dei loro database di richieste di rinnovo del consenso informato alla ricezione di comunicazioni pubblicitarie di marketing e di assenso al trattamento dei dati personali dei destinatari. Un martellamento di messaggi per non incorrere nelle pesanti sanzioni previste dal GDPR, figlio però di consigli legali troppo spesso sbagliati, visto che la maggior parte dei destinatari ha già dato il consenso e non è obbligatorio il rinnovo.

Perché il diluvio di mail per il GDPR, posso ignorarlo?

Secondo Tony Vitale, responsabile regolazione, data e informazioni dello studio legale Winckworth Sherwood, gran parte delle mail inviate freneticamente dalle aziende in preparazione al GDPR per ottenere il rinnovo dei consensi è inutile. “Il consenso è soltanto uno dei sei criteri legali (alla base del trattamento di dati online ndr) – ha detto Vitale al Guardian – Gli altri sono un contratto, un obbligo legale, interessi vitali, pubblico interesse, interessi legittimi”.

L’articolo 171 del GDPR dice chiaramente che è possibile continuare a contare su un consenso esistente concesso in linea con le richieste del GDPR, e per questo non c’è alcun bisogno di rinnovare il consenso. L’unico accorgimento, “assicurarsi che il consenso di cui si dispone risponda agli standard richiesti dal GDPR e che i consensi siano documentati nel modo giusto”.

In altre parole, se un’azienda ha ottenuto il via libera a comunicare con te prima del GDPR, quel consenso probabilmente vale anche dopo la sua entrata in vigore, e se invece non vale più, l’azienda ha altri cinque buoni motivi per continuare a trattare i tuoi dati.

Inoltre, paradossalmente, se un’azienda non ha ricevuto il consenso a comunicare con te, probabilmente non dispone nemmeno del consenso a scriverti una mail per chiederti il consenso a inviarti messaggi di marketing.

C’è da dire che per spedire una mail per chiedere il rinnovo del consenso al trattamento dei dati di una persona le aziende dovrebbero essere certe al 100% su come hanno ottenuto quel nominativo. Molto semplicemente, sono certamente numerose le aziende che non sarebbero in grado di dimostrare se, come e quando hanno ricevuto il consenso a contattare qualcuno a scopi di marketing.

Chiarire subito il quadro normativo in materia di privacy, tirando fuori dai cassetti il decreto legislativo varato in prima lettura lo scorso 21 marzo e, poi, uscito dai radar. E tradurre in un impegno formale le parole con le quali il Garante ha aperto la strada a un approccio «equilibrato e pragmatico» nella fase di transizione dei primi mesi.

Sono le due richieste chiave contenute nelle missive con le quali il mondo produttivo italiano, a pochi giorni dall’entrata in vigore (il prossimo 25 maggio) delle nuove regole in materia di trattamento dei dati personali, ieri mattina ha fatto blocco per rappresentare la sua preoccupazione. Confindustria, Abi, Ania, Assonime e Confcommercio hanno così indirizzato due lettere al Garante per la protezione dei dati personali e al Governo (destinatari: Dipartimento affari legislativi di PalazzoChigi e ministero della Giustizia), con lobiettivo di ottenere a beneficio delle imprese «le necessarie certezze applicative». Qualche prima risposta, in attesa di indicazioni compiute, potrebbe arrivare già oggi, nel corso del convegno che proprio Confindustria ospiterà a Roma per parlare della «Gdpr ai nastri di partenza».

Le missive esordiscono entrambe sottolineando un dato, relativo al Regolamento Ue sulla protezione dei dati personali: «La preoccupazione del mondo produttivo». Nonostante la sua «imminente operatività» (l’entrata in vigore è fissata il 25 maggio), infatti, il quadro normativo al quale le imprese dovranno fare riferimento è ancora caratterizzato da «incertezze». Soprattutto, pesa il «notevole ritardo registrato nell’attuazione della delega per l’adeguamento della disciplina nazionale». Il termine per approvare il decreto che dovrà integrare le regole europee nel sistema italiano è, infatti, il 21 maggio. Nonostante manchino solo dieci giorni alla scadenza, il testo non è ancora stato ufficializzato.

La sostanza, cioè, è che gli operatori si trovano davanti un perimetro di regole ancora in via di assestamento. E le difficoltà vengono accentuate «dall’ampiezza dell’intervento del Regolamento, che modifica radicalmente l’approccio richiesto ai titolari di trattamenti di dati personali». I dubbi rallentano le attività di compliance, già parecchio articolate, «con il rischio molto concreto di arrivare al prossimo 25 maggio senza averle ultimate o, comunque, senza avere le necessarie certezze applicative». Quindi, anche se c’è soddisfazione «per le attività di sensibilizzazione e di indirizzo che gli uffici» del Garante stanno portando avanti «per informare e orientare» gli operatori, serve uno sforzo ulteriore.

Le lettere esplicitano, allora, due richieste. La prima è diretta al Governo, pur «consapevoli delle difficoltà dovute alla particolare situazione politica del nostro paese». Considerando la prossima scadenza del 25 maggio, è necessario che «l’iter di attuazione della citata delega sia il più rapido possibile in modo da consentire a tutti gli operatori di adeguarsi pienamente alla nuova disciplina».

La seconda richiesta è diretta, invece, al Garante. E parte dalle dichiarazioni rilasciate proprio da Antonello Soro il 3 maggio scorso al Sole 24 Ore in merito «all’approccio equilibrato e pragmatico che l’Autorità intende adottare nell’accompagnare le imprese italiane in questa fase di transizione». Quelle parole, molto apprezzate, vanno tradotte in un atto più concreto:le associazioni auspicano, infatti, «un impegno formale, volto a improntare a criteri di gradualità e progressività lesercizio del potere sanzionatorio e i controlli che lAutorità svolgerà sullosservanza di nuovi adempimenti».

Un grave problema di sicurezza è stato scoperto nel modo in cui Twitter gestisce le proprie password ed il problema è improvvisamente deflagrato tra le mani del gruppo. A rischio ci sarebbero oltre 300 milioni di account, le cui password potrebbero essere finite nelle mani di malintenzionati e sfruttate in vario modo.

Onore alla trasparenza: in questo caso l’azienda ha gestito al meglio il problema segnalando immediatamente quanto accaduto, diramando i dettagli del bug e chiedendo ad ogni singolo utente di risolvere alla radice la situazione modificando la propria password di accesso. Rimangono tuttavia lecite perplessità per quanto accaduto: l’errore appare tanto superficiale da mettere in forse l’intera struttura di quello che è uno dei principali social network al mondo, probabilmente uno dei più utilizzati da personaggi noti e sicuramente quello più citato sui media mainstream.

Il bug che svela le password

Il problema, così come spiegato da Twitter nell’apposito post, è in un sistema di log interno che avrebbe archiviato in chiaro tutte le password degli utenti loggati. Sebbene il network sia programmato per nascondere le pass anche agli sviluppatori interni, ed a gestirle attraverso un meccanismo di hashing che nasconde la password in ogni passaggio, un file di log avrebbe archiviato le password stesse consentendo potenzialmente ad un malintenzionato di trafugarle in blocco.

Il gruppo spiega di aver trovato in proprio il bug senza il coinvolgimento di alcuno all’esterno dell’azienda: immediatamente il sistema che cela le password alla vista di terzi è stato corretto, eliminando i contenuti presenti nel log (i dettagli di qualcosa come 336 milioni di account) e mettendo in atto le necessarie operazioni affinché tale errore non possa più ripetersi in futuro. Al momento non si segnala alcun abuso del file contenente le password, il che dovrebbe lasciar dormire sonni tranquilli a milioni di utenti di tutto il mondo.

Per maggior cautela, Twitter chiede tuttavia a tutti di modificare la propria password, invalidando così l’eventuale furto di informazioni che possa essere malauguratamente accaduto e difendendo in modo proattivo il proprio account. Il gruppo consiglia altresì di abilitare il meccanismo di autenticazione a doppio fattore, cosa che consente una maggior garanzia sul controllo del proprio profilo.

«Ci spiace molto per quanto accaduto», chiude Twitter: «apprezziamo la fiducia che riponete nei nostri confronti e ci impegniamo al fine di guadagnarci questa fiducia ogni singolo giorno». Il consiglio per ogni singolo utente è quello di verificare il proprio account, modificare la propria password ed approfittare dell’occasione per adottare una password sufficientemente sicura.

L’esposto alla Federal Trade Commission americana assume valore anche per gli utenti italiani, non solo di YouTube ma anche dei social network che, come noto, trattano anche dati di minori con meno di 13 anni. Si dirà che i social network non hanno un obbligo di controllo preventivo. Lo ha ribadito la Corte di giustizia 
dell'Unione Europea con la sentenza del 16 febbraio 2012, causa C- 360/10.
Si legge nella motivazione che i filtri preventivi rappresenterebbero “una grave violazione della libertà di impresa del prestatore di servizi di hosting, poiché li obbligherebbe a predisporre un sistema informatico complesso, costoso, permanente e unicamente a sue spese”. 

Cosa dice la legge 
L'art. 8 del nuovo Regolamento UE 2016/679, che diventerà applicabile anche in Italia dal 25 maggio prossimo, prevede però - per tutte le piattaforme on-line - che “il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”.

Affinché le disposizioni del nuovo Regolamento Ue non restino soltanto una petizione di principio occorre allora capire in che modo i social network saranno chiamati ad effettuare i controlli e se stanno già predisponendo dei sistemi per assicurarsi la verifica dell'età dei propri iscritti. Da parte delle autorità italiane, invece, c'è da vedere se verranno effettivamente eseguiti controlli, ispezioni e nel caso comminate le sanzioni previste, esattamente come avviene per tutte le aziende stabilite in Europa. I social network non fanno eccezione, dal momento che sono titolari dei dati personali degli utenti e hanno sedi anche in Europa dove avviene il trattamento dei dati di molti iscritti.

Gli esposti in Italia al Garante per la protezione dei dati personali 
In realtà anche in Italia sono stati presentati degli esposti per presunti trattamenti illeciti dei dati personali dei minorenni, addirittura ben prima che in America. A sollevare la polemica fu il caso dell'ebook delle donne single della provincia di Lecco e di Monza, messo in vendita la scorsa estate al costo di € 6,74 Iva Esclusa e che catalogava 1.218 profili di donne, anche minorenni. In quel caso venne presentato un esposto al Garante per la protezione dei dati personali per chiarire in che modo venissero trattati i dati degli utenti minorenni, ma le ispezioni alla sede europea di Facebook Ireland Ltd non vennero mai effettuate, né furono chiesti controlli o cambiamenti delle impostazioni che consentono ai minori in Italia di iscriversi ai social network.

A Key4biz l’Autorità per la protezione dei dati personali smentisce quanto riportato su Agendadigitale.eu, secondo cui il Garante privacy avrebbe congelato di 6 mesi le sanzioni alle aziende dopo l’entrata in vigore del Gdpr: ‘Il Garante non si è pronunciato su un ipotetico periodo di grazia’.

Diversamente da quanto pubblicato su Agendadigitale.eu, il Garante Privacy fa sapere di non “essersi pronunciato su un ipotetico periodo di grazia” durante il quale non sanzionerebbe le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo. Per cui risulta falsa la notizia secondo cui l’Autorità per la protezione dei personali “ha congelato di 6 mesi le sanzioni alle aziende dopo l’entrata in vigore del Gdpr”. Key4biz l’Authority ha dichiarato “Non ci siamo pronunciati su un ipotetico periodo di grazia e il provvedimento citato non ha nessun nesso con il tema delle sanzioni”.

Il provvedimento in questione è quello del 22 febbraio 2018 “che riguarda due adempimenti richiesti dalla legge di Bilancio 2018 e non ha nessun legame con la questione delle sanzioni”, fanno ancora sapere dall’Autorità Garante Privacy.

Dunque dal 25 maggio non cambierà nulla in Italia rispetto a quanto già previsto. Il Regolamento generale in materia di protezione dei dati sarà, pienamente, efficace dal 25 maggio e l’avverbio ‘pienamente’ riguarda anche l’applicazione delle sanzioni perché il regolamento Ue 2016/679 è già in vigore dal 24 maggio 2016. Per essere chiari, in presenza, per esempio, di un nuovo scandalo Cambridge Analytica le sanzioni scatterebbero subito, il Garante Privacy non vuole affatto concedere proroghe.

 La nota ufficiale del Garante Privacy

Alle ore 12 è arrivata anche la nota ufficiale dell’Autorità: “Con riferimento all’articolo Gdpr, il Garante privacy rimanda di sei mesi controlli e sanzioni: che significa per le aziende, pubblicato oggi su Agendadigitale.eu,  è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nell’articolo attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018″.

Cosa dice il provvedimento del Garante Privacy del 22 febbraio 2018

Ad essere differite sono le specifiche indicazioni che il legislatore aveva previsto venissero inserite nel provvedimento, ma non certo le disposizioni del Regolamento, che si applicheranno inderogabilmente a partire dal 25 maggio.

Pertanto, proprio il differimento di tali specifiche indicazioni, evidenzia la piena e completa applicabilità del Regolamento in quanto tale.

L’esigenza del differimento serviva proprio ad avere un quadro più chiaro del complesso delle scelte ordinamentali che sarebbero state assunte con il decreto legislativo di adeguamento del nostro ordinamento interno al GDPR, evitando di rendere operative indicazioni eventualmente non pienamente conformi con il regolamento medesimo.

Si deve, quindi, ancora una volta ribadire la integrale applicazione del regolamento e delle conseguenti attività del Garante a decorrere dal 25 maggio.

In poche parole, proprio per evitare il rischio che ogni ulteriore indicazione potesse essere interpretata in modo da limitare la piena applicazione del regolamento, si è deciso di differire l’efficacia del provvedimento che le conteneva (a dopo l’approvazione del decreto legislativo che dovrà adattare il nostro ordinamento al GDPR). Tale differimento mostra quindi la piena e incontrovertibile applicabilità del GDPR e di tutte le funzioni che lo stesso assegna alle autorità di protezione dati.

A quanto ammontano le sanzioni previste dal Gdpr?

Chi non rispetta il regolamento rischia sanzioni fino a 20 milioni di euro o al 4% del fatturato internazionale annuo lordo.

Il grace period del Garante Privacy francese 

La fake news, sul congelamento per 6 mesi delle sanzioni da parte del Garante Privacy italiano, nasce dalla scelta dell’omologo francese di preferire il grace period.

Infatti il CNIL, la Data Protection Authority francese, ha annunciato un periodo durante il quale non saranno sanzionate le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo 2016/679 – GDPR.

Si tratta del primo Stato membro che adotta una forma di flessibilità nei controlli sull’osservanza degli obblighi del nuovo GDPR (come la portabilità dei dati, l’esecuzione di Data Protection Impact Assessment).

Il comunicato del CNIL – qui consultabile–  identifica nei “primi mesi” la portata del grace period.

L’Autorità francese però pone delle condizioni. I titolari dovranno dimostrare:

  • di avere avviato un processo di GDPR compliance;
  • che il ritardo è accumulato in buona fede;
  • spirito di collaborazione con l’Autorità.

Rimarranno sanzionabili le condotte che violano i principi della normativa privacy nazionali, confermati dal GDPR (informativa, correttezza e pertinenza del trattamento, conservazione temporanea dei dati, messa in sicurezza).

Pagina 1 di 47

Cookies

I cookies sono piccoli file di testo creati da un server e sono memorizzati sul dispositivo utilizzato dall'Utente per la navigazione sul sito. Essi permettono al sito di garantire all'Utente tutte le funzionalità, una migliore e completa esperienza di navigazione, e di essere al corrente delle preferenze e dei comportamenti dell'utente. Sicurdata Srl utilizza due tipi di cookies, di sessione e persistenti.

I cookies di sessione consentono all'Utente l'esplorazione sicura ed efficiente del sito internet; questi cookies non vengono memorizzati in modo permanente sul dispositivo dell'Utente e si cancellano con la chiusura del browser. I cookies persistenti vengono trasmessi al dispositivo dell'Utente la prima volta che si collega al sito di Sicurdata Srl, e sono memorizzati sul dispositivo stesso. Sicurdata Srl utilizza cookies persistenti per memorizzare le preferenze dell'utente e di terze parti (Google Analytics) al fine di produrre statistiche di utilizzo del sito e per la scelta della lingua.

L'Utente può opporsi alla registrazione dei cookies sul proprio dispositivo configurando il browser usato per la navigazione: se utilizza il sito di Sicurdata Srl senza cambiare le impostazioni del browser, presupponiamo che vorrà ricevere tutti i cookies usati dal sito e fruire di tutte le funzionalità.

Newsletter

Iscrivendoti alla nostra mailing list sarai in grado di ricevere tutte le nostre ultime notizie.
Privacy e Termini di Utilizzo
Non preoccuparti, odiamo lo spam!

Contattaci

Rimaniamo in contatto