GDPR: rassegna stampa N° 1 / 2025
Alla ricerca di un futuro digitale più sicuro
Cari custodi della privacy,
in un mondo sempre più connesso, la privacy non è solo una questione di conformità normativa, ma il cuore pulsante di una società che vuole proteggere la libertà e la dignità di ogni individuo. Ogni passo che compiamo insieme rappresenta un tassello per costruire un ecosistema digitale più sicuro, trasparente e rispettoso dei diritti fondamentali.
Gli ultimi due mesi sono stati ricchi di eventi significativi nel mondo della privacy e della cybersecurity. Dal pugno di ferro del Garante Privacy contro le violazioni all’entrata in vigore della Direttiva NIS2 fino ai nuovi scenari aperti dall’intelligenza artificiale, il panorama normativo e tecnologico si è evoluto rapidamente. È il momento di fare il punto della situazione.
Il Garante per la Privacy ha adottato una linea ancora più rigida nei confronti delle violazioni. Sky Italia è stata sanzionata per pratiche di telemarketing scorrette e per una gestione non trasparente del consenso degli utenti. L’INPS ha ricevuto una multa di 50mila euro dopo aver esposto pubblicamente i dati di candidati a un concorso. Un’azienda ospedaliera ha subito una sanzione di 25mila euro a seguito di un attacco ransomware che ha rivelato falle nella sicurezza dei dati. Il caso più eclatante riguarda OpenAI, colpita da una multa di 15 milioni di euro per il trattamento non conforme dei dati raccolti tramite ChatGPT.
Anche a livello internazionale, la protezione dei dati è rimasta al centro dell’attenzione. Il Principato di Monaco ha adottato la sua prima legge sulla privacy, in linea con gli standard europei. L’EDPB ha ribadito che i trasferimenti di dati personali verso paesi extra-UE devono rispettare regole chiare e non possono avvenire su semplice richiesta di un’autorità straniera. Nel frattempo, l’Unione Europea ha introdotto il Cyber Solidarity Act per rafforzare la sicurezza digitale a livello comunitario.
Con l’attuazione della Direttiva NIS2, aziende e istituzioni pubbliche sono chiamate ad adeguarsi ai nuovi standard di sicurezza informatica. Un convegno nazionale ha evidenziato l’importanza di adottare misure più rigorose per la protezione dei sistemi, mentre il rapporto Enisa ha messo in guardia sulle minacce cyber in continua crescita. Le pubbliche amministrazioni si confermano tra i bersagli preferiti dagli hacker.
Gli ultimi mesi hanno visto un incremento degli attacchi hacker su più fronti. Infocert, uno dei principali provider di identità digitale in Italia, ha subito un attacco con il furto di milioni di dati. Il gruppo hacker filorusso NoName057 ha colpito i siti della Farnesina e degli aeroporti di Malpensa e Linate, causando disagi ai viaggiatori. Mentre l’INPS ha respinto un attacco informatico, ha continuato a dimostrare carenze nella gestione della privacy.
L’uso dell’IA ha sollevato nuove questioni legate alla protezione dei dati. L’EDPB ha pubblicato un parere severo sulla necessità di conformare i modelli di intelligenza artificiale al GDPR. In Italia, il Garante Privacy ha bloccato DeepSeek, un’AI cinese sospettata di raccogliere dati in modo non conforme. Negli Stati Uniti, il presidente Trump ha deciso di eliminare le restrizioni regolatorie sull’IA, aprendo scenari incerti per il futuro della tecnologia.
La Corte di Giustizia dell’UE ha stabilito che anche i contratti di lavoro devono rispettare il GDPR, prevedendo la loro disapplicazione in caso di violazione. In Austria, il tentativo di limitare il numero di reclami per violazioni della privacy è stato respinto. In Italia, la Cassazione ha confermato che i datori di lavoro non possono effettuare controlli retroattivi sulle e-mail aziendali senza una giustificazione valida.
Il nuovo anno si preannuncia ricco di sfide per la privacy e la sicurezza informatica. Il Piano Triennale per l’informatica nella Pubblica Amministrazione prevede nuove strategie per la digitalizzazione e la protezione dei dati. Il World Economic Forum segnala che l’uso dell’IA negli attacchi informatici diventerà sempre più sofisticato. Nel frattempo, la Commissione Europea è finita sotto accusa per presunto micro-targeting illecito durante le elezioni nei Paesi Bassi.
Il 2025 sarà un anno cruciale per la protezione dei dati e la cybersecurity. La necessità di regolamentare e proteggere le informazioni personali non è mai stata così urgente. Continueremo a monitorare gli sviluppi e a offrirvi aggiornamenti puntuali su tutte le novità del settore.
Con stima e fiducia in un domani più sicuro,
Enrico Capirone
Dicembre 2024 | Fonte: www.garanteprivacy.it
Newsletter dicembre 2025
• Telemarketing: il Garante Privacy sanziona Sky Italia
• Concorsi PA, dal Garante Privacy 50mila euro di sanzione a INPS
• No a foto di minori di 14 anni sui social senza il consenso di entrambi i genitori
• Garante Privacy: sì al Codice di condotta per i produttori di software gestionali
02 dicembre 2024 | Fonte: www.federprivacy.org
Anche il Principato di Monaco ha finalmente la sua legge sulla protezione dei dati personali Con l’approvazione del progetto di legge 1.054 sulla protezione dei dati personali, ora anche il Principato di Monaco modernizza la propria legislazione in materia di protezione dei dati per conformarsi ai più elevati standard europei, tra cui il GDPR, la Direttiva europea “Police Justice”, e la Convenzione 108 del Consiglio d’Europa.
Piena intesa tra il Governo di Monaco ed il Consiglio Nazionale che ha approvato in pieno la normativa che già in Europa tutela la difesa dei dati personali. In questo modo, il Principato continua ad adattare il suo quadro legislativo alla società odierna, dove il mondo digitale e virtuale occupano ormai un posto ineludibile. Questa legge contribuisce quindi all’attrattiva e allo sviluppo del Principato di Monaco come sede di affari, rendendo ancora più sicuro l’utilizzo dei dati personali.
02 dicembre 2024 | Fonte: www.cybersecurity360.it
Direttiva NIS2: ha inizio la fase operativa e che nessuno resti indietro
La presentazione della piattaforma di registrazione NIS2 per l’avvio degli adeguamenti richiesti dalla direttiva europea ha rappresentato un momento di formazione e informazione per tutti gli stakeholder nazionali. La cyber security nazionale fa sistema o almeno ci prova, con l’adunata nell’aula magna della Sapienza attorno alla direttiva NIS2 con l’intento di alzare il livello di cyber sicurezza del sistema Paese.
Il convegno (disponibile in streaming sul canale YouTube dell’Agenzia n.d.r.) ha rappresentato un momento di formazione e informazione per tutti gli stakeholder nazionali, ovvero gli attori del settore pubblico e privato, sulle responsabilità introdotte dalla normativa e sul percorso da intraprendere per una maggiore resilienza digitale del Paese.
Alessia Valentini
Giornalista, Cybersecurity Consultant e Advisor Questi strumenti sono stati progettati
Altri articoli sull’argomento:
03 dicembre 2024 | Fonte: www.federprivacy.org
Per la tutela della privacy nei data center oltre all’etica serve anche la deontologia
Necessità di un approccio etico – Negli ultimi tempi la comunità degli addetti ai lavori è stata animata da intensi dibattiti nei convegni richiamando sempre più energicamente l’attenzione sulla necessità di adottare una gestione etica dei dati, ed essendo essa quella branca della filosofia che studia le consuetudini e la morale per determinare cosa è giusto e cosa sbagliato nei comportamenti dell’essere umano, riveste certamente un ruolo fondamentale per individuare cosa deve essere ritenuto lecito e cosa invece è da considerarsi illecito e inaccettabile.
Ad esempio, specialmente con gli aumentati fabbisogni di acqua ed energia elettrica da parte dei data center a causa dell’espansione dell’intelligenza artificiale, un approccio etico non lascia ombra di dubbio che la loro gestione debba essere sostenibile sotto il profilo ambientale. Oppure, sotto il profilo della privacy, non sarebbe eticamente accettabile che un internet provider rivendesse a terzi i dati che i propri clienti archiviano nel data center pagando per un servizio che viene pubblicizzato come conforme al GDPR, mentre magari in realtà celassero tra le pagine delle clausole contrattuali un minuscolo cavillo che rivela la cessione dei dati ad agenzie di marketing.
03 dicembre 2024 | Fonte: www.cybersecurity360.it
Approvato il Cyber Solidarity Act: così cambia l’approccio alla sicurezza informatica in Europa
Il Consiglio UE ha adottato due nuove leggi del “pacchetto cyber security”: il Cyber Solidarity Act e un emendamento al Cybersecurity act: l’obiettivo è “rafforzare la solidarietà e le capacità dell’UE di rilevare, preparare e rispondere alle minacce e agli incidenti informatici”. L’Unione Europea rafforza il suo impegno nella cyber sicurezza con due nuovi provvedimenti: il Cyber Solidarity Act e un emendamento al Cybersecurity Act, la legge comunitaria del 2019 sulla sicurezza informatica, entrambi parte del “pacchetto cyber security”.
Questi strumenti sono stati progettati per rispondere alle crescenti minacce digitali e consolidare il ruolo dell’Europa come punto di riferimento globale nella sicurezza informatica.
Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
Tommaso Diddi
Analista Hermes Ba
03 dicembre 2024 | Fonte: www.garanteprivacy.it
Nel risiko bancario sono in gioco i dati personali di milioni di cittadini – Intervento di Guido Scorza
Sono giorni di fibrillazione per la partita del risiko bancario in corso. Niente di più naturale: in gioco ci sono miliardi di euro e la conquista di posizioni di leadership su mercati nazionali, europei e internazionali. Nessuna sorpresa che se ne discuta tanto, che ciascuno abbia la sua opinione e che lo stesso governo stia facendo le proprie valutazioni.
Ma all’ombra dei riflettori mediatico-politici in gioco c’è molto di più di quel che appare. Chi compra, chi vince, chi conquista, infatti, si aggiudica anche un’autentica miniera di dati e informazioni personali e, quindi, di conoscenza profondissima come quella estraibile dai dati che transitano attraverso il sistema bancario, dati di milioni di persone, correntisti, clienti, beneficiari di miliardi di operazioni ogni anno.
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(MF, 3 dicembre 2024)
Link all’intervista: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10078992
04 dicembre 2024 | Fonte: www.cybersecurity360.it
Attenti a diffondere dati personali: cosa impariamo dalla nuova sanzione a INPS
L’Istituto Nazionale di Previdenza Sociale è stato sanzionato dal Garante privacy, a distanza di pochi mesi, con oltre il doppio della sanzione: questa volta è chiamato a pagare 50mila euro. Il motivo è sempre lo stesso, diffusione illecita dei dati personali di migliaia di partecipanti a un concorso bandito dallo stesso Istituto. A quanto pare non è bastata all’INPS la sanzione di aprile con la quale il Garante per la Protezione dei dati personali irrogava all’Ente stesso una sanzione di 20mila euro per aver pubblicato sul web gli esiti delle prove (intermedie) con tanto di dati personali di concorrenti non vincitori o non ammessi al concorso.
Così ne è arrivata un’altra più corposa di 50mila euro. Scendiamo nel merito del provvedimento, significando i passaggi più salienti.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
04 dicembre 2024 | Fonte: www.cybersecurity360.it
G7 cybersecurity, verso una resilienza comune contro le cyber minacce
Adottare una risposta globale, nonostante le diversità nei quadri regolatori dei diversi paesi, per contrastare le minacce cyber moderne: è quanto emerso dalla riunione del Gruppo di lavoro cyber sicurezza del G7 tenutosi a Roma e presieduto dal prefetto Bruno Frattasi, direttore di ACN.
A distanza di circa sei mesi dalla riunione istitutiva del 16 maggio scorso, il G7 cybersecurity riunitosi il 3 dicembre nella sede romana dell’ACN ha segnato un primo punto fermo dei lavori: per contrastare le moderne minacce cyber è necessaria una risposta globale comune che superi le diversità operative e organizzative dei singoli Paesi.
E i primi risultati sono tangibili, come ha sottolineato il direttore dell’ACN Bruno Frattasi, nella sua veste di presidente del G7 Cybersecurity Working Group: “grazie alla determinazione e allo spirito di collaborazione dei membri del gruppo di lavoro G7 siamo riusciti a creare uno spazio nuovo e continuo di cooperazione. Abbiamo attuato un metodo di lavoro comune, collegiale e inclusivo che ha notevolmente avvicinato le nostre istituzioni, raggiungendo un livello di interazione mai sperimentato prima”.
Alessia Valentini
Giornalista, Cybersecurity Consultant e Advisor
09 dicembre 2024 | Fonte: www.federprivacy.org
L’Inps si salva dagli hacker ma scivola maldestramente sulla privacy
Era il 22 novembre scorso quando, a seguito di un attacco informatico che aveva colpito Inps Servizi Spa, un comunicato aveva prontamente rassicurato i cittadini sul fatto che non vi era stata nessuna conseguenza per i dati conservati nella struttura informatica della società in house dell’Istituto Nazionale della Previdenza Sociale che fornisce servizi amministrativi a enti e casse previdenziali pubbliche e private.
Ma anche se gli utenti avevano potuto tirare un sospiro di sollievo per lo scampato pericolo sulla loro privacy di fronte a quell’attacco scagliato dagli hacker, ogni sensazione di serenità sulla tutela della riservatezza da parte dell’Inps è presto svanita, perché i dati sensibili di migliaia di cittadini sono finiti online accessibili a chiunque, non per mano di qualche pericoloso criminale informatico ma a causa dell’errore umano.
09 dicembre 2024 | Fonte: www.cybersecurity360.it
Trasferimento dati personali ad Autorità extra UE: l’EDPB chiarisce quando è lecito
Le linee guide dell’EDPB sull’articolo 48 del GDPR ribadiscono che una decisione giudiziaria straniera o una richiesta di un’autorità straniera non costituiscono un presupposto di liceità per il trasferimento di dati personali: occorre un accordo internazionale che giustifichi il trasferimento. Le linee guida EDPB n. 2/2024 (in pubblica consultazione) sull’ articolo 48 del GDPR ribadiscono un principio fondamentale e cioè che una decisione giudiziaria straniera o una richiesta di un’autorità extra UE non costituiscono di per sé un presupposto di liceità per il trasferimento di dati personali.
La disposizione, come chiarito dalle stesse linee guida, non si limita a stabilire regole tecniche per il trasferimento di dati personali verso paesi terzi: essa assume un significato profondo, riaffermando il primato del diritto europeo contro l’ingerenza di normative straniere.
Francesca Niola
Ph.D Researcher, Sapienza Università di Roma – Fellow ISLC, Università di Milano
10 dicembre 2024 | Fonte: www.federprivacy.org
Il patrimonio dei dati: da risorsa intangibile a asset di bilancio.
Nell’era digitale, i dati rappresentano un elemento cruciale per le aziende, non solo come supporto operativo ma anche come potenziale fonte di valore economico. La capacità di monetizzare i dati, ovvero di trasformarli in ricavi o vantaggi competitivi, ha portato alla necessità di considerarli come veri e propri asset aziendali. Tuttavia, l’inclusione dei dati nel bilancio aziendale richiede un’attenta valutazione in conformità ai principi contabili nazionali e internazionali.
La riflessione nasce dal sempre più utilizzato neologismo “data monetization” che si riferisce all’utilizzo strategico dei dati per generare valore economico, sia attraverso l’ottimizzazione dei processi interni che mediante la creazione di nuove opportunità di business. Ad esempio, le istituzioni finanziarie utilizzano i dati delle transazioni dei clienti per migliorare l’offerta di prodotti e servizi, incrementando così i ricavi. Similmente, aziende come Netflix sfruttano i dati relativi ai comportamenti dei propri utenti per personalizzare le raccomandazioni e migliorare l’esperienza cliente, aumentando il tasso di fidelizzazione.
11 dicembre 2024 | Fonte: www.garanteprivacy.it
Proteggere i dati per rafforzare la democrazia – Intervista a Ginevra Cerrina Feroni
I Large Language Model (LLM) pongono non pochi problemi riguardo alla protezione dei dati dei cittadini di un Paese e, di riflesso, alla sua sicurezza nazionale. Come tutelarli tramite il GDPR? Andrebbe implementato?
“I Large Language Model sono una tecnologia disruptive, come tale possono creare importanti benefici per la collettività e i singoli, così come possono tuttavia accrescere i rischi per la nostra democrazia e la tutela dei dati personali. Non a caso, come Autorità Garante siamo intervenuti su Chat-GPT con un provvedimento di limitazione provvisoria chiedendo al titolare, OpenAI, di implementare diverse misure di protezione dei dati e di rendere conto ai cittadini delle modalità di trattamento e raccolta dei dati personali e delle logiche di funzionamento degli algoritmi, applicando principi e norme del GDPR.
Intervista a Ginevra Cerrina Feroni, Vice Presidente del Garante per la protezione dei dati personali
(National Security Magazine, 11 dicembre 2024)
Link all’intervista: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10080336
11 dicembre 2024 | Fonte: www.federprivacy.org
Il Consiglio dell’UE adotta nuove norme per rafforzare le capacità di cibersicurezza in Europa
Per rafforzare la solidarietà e le capacità dell’UE di rilevamento delle minacce e degli incidenti di cibersicurezza, e di preparazione e risposta agli stessi, il 2 dicembre 2024 il Consiglio ha adottato due nuovi atti legislativi che fanno parte del “pacchetto” legislativo sulla cibersicurezza, vale a dire il cosiddetto “Regolamento sulla cibersolidarietà” e una modifica mirata del regolamento sulla cibersicurezza. Principali elementi del regolamento sulla cibersolidarietà – Il nuovo regolamento stabilisce le capacità dell’UE per rendere l’Europa più resiliente di fronte alle minacce informatiche, rafforzando nel contempo i meccanismi di cooperazione. Istituisce, tra l’altro, un “sistema di allarme in materia di cibersicurezza”, ossia un’infrastruttura paneuropea costituita da poli informatici nazionali e transfrontalieri in tutta l’UE.
13 dicembre 2024 | Fonte: www.cybersecurity360.it
Cyberwarfare ai tempi dell’AI: servono formazione, collaborazione e governance
Come cambia la guerra cibernetica con l’introduzione di algoritmi di intelligenza artificiale. Una sfida a cui è possibile rispondere con un approccio olistico su formazione, collaborazione, normazione e governance.
La crescita e il progresso nell’intelligenza artificiale (AI) sta cambiando significativamente il panorama delle operazioni cyber, nella cyberwarfare.
Anche se non esiste un’unica definizione, il dizionario linguistico di Oxford indica la cyberwarfare come l’uso delle tecnologie informatiche per interrompere le attività di uno Stato o di un’organizzazione e, in particolare, per effettuare attacchi deliberati ai sistemi informativi per scopi strategici o militari.
Alessia Valentini
Giornalista, Cybersecurity Consultant e Advisor
13 dicembre 2024 | Fonte: www.cybersecurity360.it
Il DPO nell’era dell’AI: custode della privacy e architetto dell’etica digitale
In un contesto in cui l’intelligenza artificiale sta trasformando il modo in cui le aziende e le organizzazioni in generale trattano i dati personali, il ruolo del DPO diventa sempre più strategico, richiedendo nuove competenze e un approccio proattivo per affrontare rischi e opportunità introdotte dall’AI.
L’era dell’intelligenza artificiale sta trasformando profondamente il modo in cui le aziende e le organizzazioni in generale trattano i dati personali. Questa rivoluzione tecnologica presenta una serie di sfide che richiedono una particolare attenzione al tema della protezione dei dati.
In questo contesto, il ruolo del Data Protection Officer (DPO) diventa sempre più strategico, richiedendo nuove competenze e un approccio proattivo per affrontare i rischi e le opportunità introdotte dall’uso e dall’evoluzione dell’AI. Marco Toiati
Ingegnere, IT Security Manager
16 dicembre 2024 | Fonte: www.garanteprivacy.it
Commissione Ue viola la privacy, perché è crepa nella democrazia – Intervento di Agostino Ghiglia
Lo dice il Garante europeo per la protezione dei dati: la commissione si è macchiata di un tentativo illecito di intrusione nella campagna elettorale dei Paesi Bassi attraverso un processo di micro targeting e profilazione degli elettori su X. Ecco perché serve da monito per proteggere i capisaldi della democrazia da attentati interni. Un’ombra sembra essersi allungata sulle istituzioni europee, quella di un tentativo illecito di intrusione nella campagna elettorale dei Paesi Bassi attraverso un processo di micro targeting e profilazione degli elettori.
I condizionali prudenziali, nonostante l’eclatante azione del GEPD (Garante europeo della protezione dei dati, Edps in inglese), sono d’obbligo vista la gravità del Caso ma una cosa è certa: stavolta non ci troviamo di fronte ad un attacco alla democrazia da parte di famigerati hacker che tentano di inquinare la libera scelta dei cittadini ma a qualche colletto bianco residente ai più alti piani degli asettici palazzi della Commissione Europea.
Intervento di Agostino Ghiglia, componente del Garante per la protezione dei dati personali
(AgendaDigitale,16 dicembre 2024)
Link all’intervista: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10082935
16 dicembre 2024 | Fonte: www.garanteprivacy.it
La Commissione Ue ha calpestato il diritto per fini politici: ecco i risvolti
La Commissione Europea ha cercato di influenzare le opinioni politiche nei Paesi Bassi con una campagna di micro-targeting su X. A “certificarlo” un provvedimento destinato a passare alla storia dell’EDPS, l’European Data Protection Supervisor, su ricorso di Nyob. Ecco perché è gravissimo e cosa apprendiamo.
La Commissione Europea ha cercato di influenzare le opinioni politiche nei Paesi Bassi con una campagna di micro-targeting su X.
Già: il Governo di quell’Unione europea che, negli ultimi anni, si è faticosamente ritagliata nello scenario geopolitico globale il ruolo di alfiere della privacy come diritto-strumento e garanzia di ogni altro diritto e libertà e, per questo, baluardo ultimo delle nostre democrazie e della dignità delle persone ha violato le sue stesse regole in materia di privacy e lo ha fatto per ragioni politiche.
A “certificarlo” un provvedimento destinato a passare alla storia dell’EDPS, l’European Data Protection Supervisor.
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(AgendaDigitale,16 dicembre 2024)
Link all’intervista: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10084527
16 dicembre 2024 | Fonte: www.cybersecurity360.it
Commissione Ue viola la privacy, perché è crepa nella democrazia
Lo dice il Garante europeo per la protezione dei dati: la commissione si è macchiata di un tentativo illecito di intrusione nella campagna elettorale dei Paesi Bassi attraverso un processo di micro targeting e profilazione degli elettori su X. Ecco perché serve da monito per proteggere i capisaldi della democrazia da attentati interni.
Un’ombra sembra essersi allungata sulle istituzioni europee, quella di un tentativo illecito di intrusione nella campagna elettorale dei Paesi Bassi attraverso un processo di micro targeting e profilazione degli elettori.
I condizionali prudenziali, nonostante l’eclatante azione del GEPD (Garante europeo della protezione dei dati, Edps in inglese), sono d’obbligo vista la gravità del Caso ma una cosa è certa: stavolta non ci troviamo di fronte ad un attacco alla democrazia da parte di famigerati hacker che tentano di inquinare la libera scelta dei cittadini ma a qualche colletto bianco residente ai più alti piani degli asettici palazzi della Commissione Europea.
Agostino Ghiglia
Componente del Garante per la protezione dei dati personali
17 dicembre 2024 | Fonte: www.garanteprivacy.it
I nostri dati hanno un valore economico, quindi sono tassabili? – Intervista a Guido Scorza
La Procura di Milano contesta a Meta un’evasione fiscale da 887 milioni. Effetto di una tesi potenzialmente dirompente, e cioè che i dati in qualche modo siano una merce. Intervista a Guido Scorza del collegio Garante della Privacy.
Relazione ‘sinallagmatica’. Se si vuole comprendere perché la Procura di Milano contesta a Meta 887 milioni di evasione fiscale tocca comprendere questo inusuale termine giuridico che ha le radici nel greco antico. Per i giudici, acconsentire all’uso dei propri dati in cambio di un accesso gratuito a un servizio è di fatto un contratto. Synàllagma, nella lingua di Socrate e Platone.
Intervista a Guido Scorza, Componente del Garante per la protezione dei dati personali
(di Arcangelo Rociola, La Stampa, 17 dicembre 2024)
Link all’intervista: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10084511
18 dicembre 2024 | Fonte: www.federprivacy.org
In Australia lo scandalo Cambridge Analytica costa a Facebook 30 milioni di euro
Meta Platforms ha accettato di pagare una sanzione di 50 milioni di dollari australiani (pari circa 30 milioni di euro). Lo ha reso noto il garante della privacy australiano, chiudendo i procedimenti legali di lunga data per la società proprieraria di Facebook nell’ambito dello scandalo Cambridge Analytica.
L’Ufficio dell’Australian Information Commissioner aveva affermato che le informazioni personali di alcuni utenti venivano divulgate all’app di quiz sulla personalità di Facebook, “This is Your Digital Life”, come parte del noto scandalo.
Le violazioni erano state segnalate per la prima volta dal Guardian all’inizio del 2018 e Facebook aveva ricevuto multe dalle autorità di regolamentazione negli Stati Uniti e nel Regno Unito nel 2019.
Il regolatore della privacy australiano era stato coinvolto nella battaglia legale con Meta dal 2020. I dati personali di 311.127 utenti australiani di Facebook erano stati “esposti al rischio di essere divulgati” alla società di consulenza Cambridge Analytica e utilizzati per scopi di profilazione, secondo la dichiarazione del 2020.
18 dicembre 2024 | Fonte: www.edpb.europa.eu
Parere dell’EDPB sui modelli di IA: I principi del GDPR sostengono l’IA responsabile
Il Comitato europeo per la protezione dei dati (EDPB) ha adottato un “parere” sull’uso dei dati personali per lo sviluppo e la diffusione di modelli di IA. Il parere esamina
1) quando e come i modelli di IA possono essere considerati anonimi,
2) se e come l’interesse legittimo può essere utilizzato come base giuridica per lo sviluppo o l’utilizzo di modelli di IA e
3) cosa succede se un modello di IA viene sviluppato utilizzando dati personali trattati illegalmente. Il parere prende in considerazione anche l’uso di dati di prima e terze parti.
Il parere è stato richiesto dall’Autorità irlandese per la protezione dei dati (DPA) al fine di ottenere un’armonizzazione normativa a livello europeo. Per raccogliere contributi per questo parere, che tratta di tecnologie in rapida evoluzione che hanno un impatto importante sulla società, l’EDPB ha organizzato un evento per le parti interessate e ha avuto uno scambio con l’Ufficio AI dell’UE.
Il presidente dell’EDPB Talus ha affermato che: “Le tecnologie AI possono portare molte opportunità e benefici a diversi settori e aree della vita. Dobbiamo garantire che queste innovazioni siano realizzate in modo etico, sicuro e vantaggioso per tutti. L’EDPB vuole sostenere l’innovazione responsabile dell’IA garantendo la protezione dei dati personali nel pieno rispetto del Regolamento generale sulla protezione dei dati (GDPR)”.
18 dicembre 2024 | Fonte: www.federprivacy.org
Irlanda: Data breach Facebook, sanzione a Meta da 251 milioni di euro
La Data Protection Commission irlandese ha sanzionato Meta per 251 milioni di euro in relazione a un data breach avvenuto a settembre 2018, riguardante una violazione di sicurezza segnalata che ha coinvolto circa 29 milioni di account Facebook, di cui 3 milioni riconducibili ad interessati dell’Unione Europea.
Secondo quanto risulta dal comunicato stampa della Data Protection Commission irlandese sono stati compromessi i dati personali relativi a: nome dell’utente; indirizzo email; numero di telefono; posizione; luogo di lavoro; data di nascita; religione; genere; post sulle timeline; gruppi di cui un utente era membro; nonché dati personali dei bambini. La violazione è stata generata in ragione di un bug relativo ad una nuova funzionalità che ha consentito l’impiego abusivo da parte di terzi non autorizzati dei token utente della piattaforma, che sebbene risolta poco dopo la scoperta ha consentito una serie di accessi abusivi ai profili. L’azione è stata ricondotta all’azione di cybercriminali, che hanno sfruttato la vulnerabilità per raccogliere illecitamente i dati personali degli utenti.
20 dicembre 2024 | Fonte: www.federprivacy.org
Il valore economico dei dati in azienda porta con sé obblighi stringenti in termini di gestione e sicurezza
Nel contesto attuale dell’economia digitale, i dati rappresentano un asset strategico fondamentale per le aziende, determinando non solo vantaggi competitivi ma anche un valore economico misurabile. Tuttavia, questa valorizzazione porta con sé obblighi stringenti in termini di gestione e sicurezza, implicando costi significativi e opportunità che meritano un’analisi approfondita.
Dal punto di vista economico, i dati possono essere considerati un bene intangibile capace di generare ricavi diretti e indiretti. Ad esempio, i dati sui comportamenti dei consumatori permettono di sviluppare strategie di marketing mirate, ottimizzando le risorse aziendali e migliorando l’efficienza operativa. Inoltre, la monetizzazione dei dati attraverso modelli di business innovativi, come il data sharing e l’analisi predittiva, è in costante crescita.
20 dicembre 2024 | Fonte: www.cybersecurity360.it
Edpb: “I modelli di AI seguano il GDPR”, ecco i principi da seguire
L’EDBP, con il parere 28/2024 del 17 dicembre 2024, si concentra su alcuni aspetti della protezione dei dati connessi al trattamento dei dati personali nel contesto dei modelli di AI e giunge alla conclusione che per avere un’intelligenza artificiale responsabile occorre rifarsi ai principi dettati dal GDPR. Il GDPR si dimostra ancora una volta il capostipite delle normative in materia di diritto delle nuove tecnologie, facendo da faro per la evoluzioni successive, e non solo normative, alle quali stiamo assistendo.
Così Il Comitato europeo per la protezione dei dati personali (EDPB) ha adottato recentemente un parere sull’uso dei dati personali per lo sviluppo e la diffusione dei modelli di AI.
Illustriamone i contenuti, soffermandoci sugli aspetti salienti.Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
20 dicembre 2024 | Fonte: www.federprivacy.org
Il Garante infligge una multa da 15 milioni di euro ad OpenAI per violazione della privacy di ChatGPT
Il Garante per la protezione dei dati personali ha adottato nei giorni scorsi un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT.
Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.
Secondo il Garante la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
22 dicembre 2024 | Fonte: www.federprivacy.org
Usa: compromessi i dati sanitari di un milione di cittadini americani a causa di un data breach
Una grave violazione della sicurezza ha esposto i dati sensibili di quasi un milione di cittadini americani. Secondo quanto riportato dall’Ufficio per i Diritti Civili del Dipartimento della Salute degli Stati Uniti, sono stati colpiti da una fuga di dati ben 914.138 utenti di una piattaforma di telemedicina denominata ConnectOnCall, che è utilizzata per la comunicazione tra medici e pazienti.
La violazione ha compromesso informazioni condivise nelle comunicazioni tra medici e pazienti, tra cui nomi completi, numeri di telefono, date di nascita, condizioni di salute, trattamenti, farmaci e numeri di previdenza sociale. Specialmente i dati sanitari sono informazioni particolarmente sensibili, e la loro esposizione può avere gravi conseguenze per la privacy e la sicurezza delle persone coinvolte.
Secondo quanto dichiarato in un comunicato stampa diramato dall’azienda tecnologica sanitaria Phreesia, proprietaria della piattaforma colpita dal data breach, la violazione sarebbe avvenuta tra il 16 febbraio e il 12 maggio 2024, quando una terza parte non autorizzata ha avuto accesso alla piattaforma ConnectOnCall e ad alcuni dati all’interno dell’applicazione.
22 dicembre 2024 | Fonte: www.federprivacy.org
Intelligenza artificiale e protezione dei dati personali: la posizione dei Garanti europei
Sviluppare l’intelligenza artificiale senza violare la privacy è possibile? La risposta, affermativa, arriva da un recente parere del Comitato europeo dei Garanti privacy (Edpb), che ha analizzato in che modo le società possono usare i dati dei cittadini per creare o utilizzare modelli di IA rispettando le leggi privacy.
L’Edpb è composto da tutti i Garanti dell’Ue e ha il compito di guidare l’applicazione delle norme sulla protezione dei dati personali, e in particolare il Gdpr. Per questo, i suoi provvedimenti sono estremamente importanti, e quello appena adottato può essere considerato il primo vero testo di riferimento sui rapporti tra privacy e IA.
La pronuncia dell’Edpb nasce da una richiesta del Garante irlandese. Si tratta dell’autorità competente a controllare che molte grandi aziende di internet, che hanno stabilito la propria sede in Irlanda, rispettino le leggi sulla privacy europee. La Data Protection Commission irlandese ha chiesto all’Edpb di rispondere a una serie di quesiti, in modo che tutti i Garanti europei possano seguire le stesse linee guida quando applicano il Gdpr ai sistemi di intelligenza artificiale.
23 dicembre 2024 | Fonte: www.corriere.it
Cybersecurity: con l’AI attacchi più facili ma anche la difesa è diventata più intelligente. Ecco perchè
Il report pubblicato dalla Munich Security Conference (la più importante conferenza internazionale sulla sicurezza) include le liste dei rischi che più preoccupano l’opinione pubblica dei Paesi partecipanti. Per quelli del G7 gli attacchi informatici sono al secondo posto subito dopo i rischi dovuti alla crisi climatica. Anche per i Paesi Brics gli attacchi informatici sono tra i rischi più preoccupanti, al quarto posto in questo caso. Tutto ciò non stupisce: tanto più le nostre società diventano digitali, tanto più attacchi alle infrastrutture e servizi informatici sono problematici.
Considerate, per esempio, l’attacco informatico che ha colpito i maggiori provider di telefonia mobile negli Usa a novembre, con severe ripercussioni per privacy e sicurezza nazionale. Non rincuora sapere che questi attacchi sono diventati più sofisticati e pericolosi. Ci siamo abituati a sentire di milioni di dollari pagati per riscatto in risposta ai ransomware, a milioni di utenti la cui privacy viene violata. A guardare questo quadro sembra che l’industria della cybersicurezza sia fallimentare. Non è così. Il settore è in crescita.
23 dicembre 2024 | Fonte: www.federprivacy.org
Sanzione del Garante Privacy a un’azienda ospedaliera: software obsoleti e alert inadeguati hanno favorito l’attacco hacker
Con una sanzione di 25mila euro il Garante Privacy ha definito il procedimento aperto nei confronti di un’Azienda ospedaliero-universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022.
Il data breach – causato da un malware di tipo ransomware introdotto nei sistemi attraverso l’accesso a un PC aziendale con VPN aperta – aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati. Tra questi dipendenti, consulenti e pazienti.
La violazione non aveva però determinato il blocco dei servizi sanitari. L’Autorità si era attivata a seguito di una notifica dell’Azienda. Dalla documentazione trasmessa e dall’ispezione effettuata dal Garante sono emerse alcune carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all’adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l’utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell’attacco hacker.
23 dicembre 2024 | Fonte: www.garanteprivacy.it
Newsletter 23 dicembre 2024
• Telemarketing: dal Garante sanzione di 670mila euro a fornitore di luce e gas
• Certificati per l’assenza dal lavoro, Garante: no ai dati sulla salute
• Pubblicate le Faq per l’accesso ai dati personali della cartella clinica
• Sanità: il Garante Privacy sanziona un’azienda ospedaliera
24 dicembre 2024 | Fonte: www.federprivacy.org
Telemarketing e inadeguatezza del consenso acquisito
Il Garante per la protezione dei dati personali, con provvedimento n. 553 del 12 settembre 2024, ha sanzionato Sky Italia per diverse violazioni riscontrate durante le attività di telemarketing e di invio di comunicazioni commerciali, con particolare riferimento all’inadeguatezza del consenso acquisito.
In particolare, l’Autorità, ha accertato che la società ha svolto attività di marketing, telefonico e tramite sms, in assenza di adeguate verifiche sugli adempimenti in materia di informativa e consenso, e senza consultare l’iscrizione delle utenze contattate nel Registro Pubblico delle Opposizioni prima di ogni campagna promozionale.
Dall’istruttoria è emerso che:
– alcune delle utenze erano state contattate in base ad un consenso acquisito molto tempo prima e in alcuni casi in epoca antecedente alla piena efficacia del GDPR, senza che la società ne verificasse l’idoneità anche dopo il cambio del quadro normativo
– è stato considerato valido un consenso che conteneva, in un’unica formulazione, le distinte finalità di marketing e di comunicazione di dati a terzi per attività promozionali
– la società considerava idoneo il consenso al marketing automaticamente fornito dagli utenti in fase di registrazione al sito internet e quello reso obbligatoriamente per poter usufruire del servizio offerto
25 dicembre 2024 | Fonte: www.federprivacy.org
L’Enisa pubblica il suo primo rapporto sullo stato della cybersicurezza nell’Unione Europea
Secondo un rapporto dell’Agenzia dell’Unione Europea per la cybersicurezza (Enisa) è probabile che le istituzioni europee subiranno interruzioni a causa degli attacchi informatici nel prossimo futuro. Nella sua prima relazione “Report on the State of Cybersecurity in the Union”, pubblicata il 3 dicembre 2024, l’Enisa ha infatti affermato che il livello di minaccia informatica per l’UE tra il 2023 e il giugno 2024 è stato concreto.
Ciò significa che gli organismi dell’UE sono stati probabilmente direttamente presi di mira dagli hacker durante il periodo preso in esame o potrebbero essere stati esposti a violazioni sfruttando vulnerabilità scoperte di recente.
Secondo l’Enisa c’è stata una notevole escalation negli attacchi informatici durante il periodo, stabilendo nuovi parametri di riferimento nella varietà e nel numero di incidenti e nelle loro conseguenze.
Inoltre, a causa dei futuri attacchi informatici sono considerate una possibilità realistica le gravi perturbazioni degli organismi essenziali e vitali o delle istituzioni, degli organismi e delle agenzie dell’UE (Euiba). Nel comunicato stampa dell’Enisa che presenta il rapporto si legge: “Man mano che le tensioni geopolitiche ed economiche crescono, la guerra informatica si intensifica con lo spionaggio, il sabotaggio e le campagne di disinformazione che diventano strumenti chiave per le nazioni per manipolare gli eventi e garantire un vantaggio strategico”.
26 dicembre 2024 | Fonte: www.federprivacy.org
I princìpi cardine del Gdpr mettono la privacy al centro
I principi cardine all’interno del Gdpr presuppongono un’attenta analisi di ogni trattamento di dati che titolare o responsabile vogliano implementare con un’analisi ex ante, prima che questi vengano implementati. Il principio cardine di privacy by design e by default ai sensi dell’articolo 25 del Regolamentare europeo nasce dalla necessità di configurare il trattamento fin dalla progettazione «al fine di soddisfare i requisiti» del Gdpr e tutelare i diritti degli interessati, tenendo conto del contesto complessivo in cui il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio, il che richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono tradursi in una serie di attività specifiche e dimostrabili.
27 dicembre 2024 | Fonte: www.cybersecurity360.it
Security aziendale: sette regole d’oro per la gestione sicura delle nostre email
Le email sono un vettore privilegiato dal cyber crimine. Aumentarne la sicurezza non è complesso, bastano cinque regole semplicissime e due un po’ meno semplici ma non per questo proibitive. Le email sono semplici da usare e ciò ne ha favorito la diffusione, aprendo così le porte agli hacker. Alla semplicità d’uso corrisponde una relativa semplicità di difesa, fatta di sette regole per lo più immediate da mettere in pratica.
A titolo di esempio, rifacendoci ai dati raccolti dalla società di sicurezza Trend Micro Research, nei primi sei mesi del 2023 l’Italia ha occupato il terzo posto della graduatoria internazionale con 119.048.776 minacce via email.
Giuditta Mosca
Giornalista, esperta di tecnologia
28 dicembre 2024 | Fonte: www.tg24.sky.it
Attacco a siti web della Farnesina, di Malpensa e di Linate: hacker filorussi rivendicano
Gli hacker filorussi conosciuti su Telegram con il nickname ‘NoName057’ hanno attaccato i siti web del Ministero degli Esteri (la Farnesina) e degli aeroporti di Malpensa e Linate, creando disagi per gli utenti che desiderano controllare i voli in arrivo e in partenza. Ad annunciare l’azione – scrivendo sulla propria chat: “I russofobi italiani ricevono una meritata risposta informatica” – sono stati gli stessi criminali informatici elencando la lista di vari siti che attualmente risultano irraggiungibili o malfunzionanti. Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia postale è già operativo per supportare le attività degli obiettivi colpiti e per le indagini.
31 dicembre 2024 | Fonte: www.federprivacy.org
L’organizzazione deve garantire la continuità d’azione del Data Protection Officer
All’interno del provvedimento n. 581 del 26 settembre 2024 in cui l’Autorità Garante per la protezione dei dati personali ha sanzionato una AST, da cui si possono apprendere spunti per garantire la corretta gestione dei certificati medici, è presente anche un obiter dictum dedicato all’importanza di garantire la continuità d’azione alla funzione del Data Protection Officer (DPO).
Questa tematica ha un ruolo tutt’altro che secondario, dal momento che è stata oggetto dell’azione coordinata svolta dall’European Data Protection Board (EDPB) ed è condizione necessaria affinché il DPO possa costituire un efficace presidio di accountability.
Il fatto emerso nel corso dell’istruttoria e oggetto di specifica contestazione ha riguardato il mancato riscontro alla richiesta di informazioni formulata da parte del Garante con violazione dell’art. 157 Cod. Privacy:
«Nell’ambito dei poteri di cui all’articolo 58 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati».
31 dicembre 2024 | Fonte: www.clusit.it
Newsletter 31/12/2024
1. Rinnovate le cariche nel Clusit
2. Attività 2025-2026
3. Pubblicazioni – Articoli
4. Notizie e segnalazioni dai Soci
01 gennaio 2025 | Fonte: www.federprivacy.org
Per la difesa cibernetica dell’Italia è necessario uscire dall’angusta ed effimera logica del ‘day-by-day’
Tra le lesson learned della mia lunga esperienza professionale rimane significativa e illuminante quella con cui – in occasione di un lontano corso di formazione presso la Scuola Superiore dell’Amministrazione dell’Interno – appresi che il compito primario e prioritario di un dirigente pubblico sta nell’interrogarsi circa il futuro del proprio ufficio, ossia della destinazione verso la quale impostare il percorso di crescita della struttura di cui si è responsabili, e nel farsene carico.
Uscire, infatti, dall’angusta ed effimera logica del ‘day-by-day’ era e rimane un’essenziale necessità per indirizzare l’attività istituzionale al raggiungimento di traguardi realmente funzionali al miglior perseguimento del fine pubblico.
Questa di cui parlo – che è un’esigenza vitale per ogni struttura della Pubblica Amministrazione – lo è in maniera particolarmente perentoria per l’Agenzia per la cybersicurezza nazionale, che ha non solo il dovere di garantire la protezione del nostro sistema digitale per il presente ma ha anche (e, forse, soprattutto) di assicurarla per il futuro, cioè di progettarla e realizzarla in correlazione ai progressi della tecno-scienza.
05 gennaio 2025 | Fonte: www.federprivacy.org
Polizia postale: i risultati dell’attività svolte nel 2024 per il contrasto al crimine informatico
Tutela della persona e in particolare dei minori dai possibili reati commessi online; tutela del patrimonio di privati, imprese e istituzioni dalla criminalità finanziaria in rete; contrasto al cyberterrorismo; protezione delle infrastrutture critiche informatizzate strategiche per il Sistema Paese.
Sono state molteplici nel 2024 le sfide affrontate dalla Polizia Postale, e compendiate nel report annuale, che può contare su una rete di 100 uffici territoriali coordinati dal Servizio Polizia Postale e per la Sicurezza Cibernetica, oggi inserito nella nuova Direzione Centrale per la Polizia Scientifica e la Sicurezza Cibernetica del Dipartimento della Pubblica Sicurezza, dedicata all’alta investigazione tecnologica e alle scienze forensi.
Una struttura, quella della Polizia Postale, strategicamente diffusa e in grado di rispondere prontamente alle istanze di sicurezza dei cittadini, sempre più proiettate nel dominio cibernetico, anche attraverso l’azione dei suoi Centri: il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), presidio di sicurezza per le pubbliche amministrazioni e le imprese strategiche del Paese, in un unico grande “sistema” di pubblica sicurezza cyber; il Centro Nazionale per il Contrasto alla Pedopornografia Online (CNCPO), in prima linea nella lotta contro lo sfruttamento sessuale dei minori sulla rete; il Commissariato di PS online, sito ufficiale della Polizia Postale e strumento di diretto contatto con i cittadini, ai quali vengono fornite informazioni, approfondimenti e aiuto, nelle situazioni più delicate.
05 gennaio 2025 | Fonte: www.federprivacy.org
La posizione di garanti europei sui modelli di intelligenza artificiale: quali sono le conseguenze del trattamento illecito dei dati personali?
L’Opinione 28/2024 del Comitato Europeo per la Protezione dei Dati (European Data Protection Board) rappresenta un documento estremamente utile per affrontare le complesse questioni legate alla protezione dei dati personali nel contesto dello sviluppo e dell’implementazione dei modelli di intelligenza artificiale (IA).
La sua analisi dettagliata evidenzia aspetti fondamentali relativi alla definizione di anonimato, all’uso del legittimo interesse come base giuridica per il trattamento dei dati e alle implicazioni dell’uso illecito di dati personali durante lo sviluppo di modelli di IA.
L’anonimizzazione dei modelli di IA è un tema centrale affrontato nell’Opinione 28/2024 del Comitato. Essa costituisce un elemento critico per determinare se un modello di IA, addestrato utilizzando dati personali, possa essere considerato al di fuori dell’ambito di applicazione del GDPR. Questo aspetto assume particolare rilevanza, poiché se un modello viene riconosciuto come anonimo, il trattamento dei dati non è più soggetto alle rigorose disposizioni del regolamento. Tuttavia, l’EDPB evidenzia la complessità di raggiungere un’effettiva anonimizzazione, date le caratteristiche intrinseche dei modelli di IA e le tecnologie disponibili.
07 gennaio 2025 | Fonte: www.cybersecurity360.it
Sistema di gestione privacy e modello organizzativo privacy: quali differenze
La gestione efficace della privacy è essenziale in un contesto normativo e tecnologico in continua evoluzione. Due strumenti fondamentali per il successo di questa sfida sono il sistema di gestione privacy (SGP) e il modello organizzativo privacy (MOP). Pur essendo complementari, questi concetti spesso vengono confusi. Nell’era della trasformazione digitale, la privacy è diventata una componente essenziale di qualsiasi organizzazione. La crescente consapevolezza dei rischi legati alla protezione dei dati personali e l’introduzione di normative sempre più stringenti, come il GDPR, hanno portato le organizzazioni a sviluppare strumenti e processi specifici per garantire la conformità.
Giuseppe Alverone
Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024
Monica Perego
Consulente, Formatore Privacy & DPO
08 gennaio 2025 | Fonte: www.federprivacy.org
Apple, una mancia da 95 milioni di dollari per mettere a tacere le accuse di violazione della privacy Accusata di violare la privacy tramite l’assistente vocale Siri, che avrebbe registrato sistematicamente le conversazioni private degli utenti, Apple ha deciso di chiudere una class action avviata negli Stati Uniti accettando di pagare la bellezza di 95 milioni di dollari.
Secondo quanto sostenuto dai consumatori che nel 2021 avevano intentato l’azione legale contro l’azienda fondata da Steve Jobs presso la Corte distrettuale settentrionale della California, i possessori di iPhone e Apple Watch sarebbero stati spiati e registrati a causa delle ripetute attivazioni “accidentali” dell’assistente vocale, che in genere dovrebbe rispondere solo a comandi diretti dell’utente come il classico “Ehi, Siri…”, e già nel 2019 in un’inchiesta del The Guardian alcuni addetti dell’assistenza tecnica dell’assistente vocale avevano ammesso che spesso capitava loro di ascoltare le registrazioni dei dialoghi, che a volte riguardavano consultazioni tra medici e pazienti su problemi di salute, o argomenti confidenziali su rapporti sessuali e uso di droghe.
08 gennaio 2025 | Fonte: www.cybersecurity360.it
Corte UE sul caso Serpico: bilanciare diritto alla riservatezza e obblighi statali di tutela
La Corte UE dei diritti dell’uomo sulla protezione dei dati personali fa il punto dopo il caso dell’accesso abusivo al sistema informatico fiscale italiano, noto come “Serpico”, che ha innescato l’iter giudiziario che ha coinvolto autorità nazionali e istituzioni UE. Ecco cosa emerge dalla pronuncia sull’illecito italiano, a partire dal ruolo centrale del Garante Privacy.
La recente pronuncia della Corte Europea dei Diritti dell’Uomo (Cedu o Corte Edu) sulla protezione dei dati personali introduce una riflessione fondamentale sul bilanciamento tra diritto alla riservatezza e obblighi statali di tutela.
L’accesso abusivo al sistema informatico fiscale italiano, noto come “Serpico“, da parte di un pubblico ufficiale, ha innescato un complesso iter giudiziario che ha coinvolto tanto le autorità nazionali quanto le istituzioni europee. Francesca Niola
Ph.D Researcher, Sapienza Università di Roma – Fellow ISLC, Università di Milano
08 gennaio 2025 | Fonte: www.federprivacy.org
Attacco hacker a Infocert, il Garante Privacy chiede informazioni sul data breach
Infocert, uno dei principali provider di identità digitale Spid nel nostro Paese, ha subito un grave attacco informatico che potrebbe aver compromesso i dati personali di molti dei suoi clienti. Ad annunciarlo è stata la stessa azienda, che ha reso pubblica la notizia sul proprio sito ufficiale, dove la società ha confermato che alcuni dati sono stati sottratti dai suoi database e, in parte, pubblicati online.
Secondo dichiarazioni anonime apparse su diverse piattaforme web, gli attaccanti avrebbero trafugato circa 5,5 milioni di registrazioni, 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email. Alcuni di questi dati sono stati condivisi come prova dagli hacker per attirare potenziali acquirenti.
Nonostante la gravità dell’attacco, Infocert ha rassicurato i clienti dichiarando che “nessuna credenziale di accesso ai servizi Infocert e password è stata compromessa”.
L’azienda ha aggiunto che sono in corso “tutti gli opportuni accertamenti” e che ulteriori dettagli verranno forniti nei prossimi giorni.
L’incidente si è verificato il 27 dicembre ed è stato rivendicato online il giorno successivo.
09 gennaio 2025 | Fonte: www.cybersecurity360.it
Starlink e sicurezza nelle telecomunicazioni Italiane: le sfide da affrontare
La costellazione di satelliti in orbita bassa gestita da SpaceX rappresenta un sistema innovativo, ma il confronto con altre tecnologie terrestri e marittime richiede un’analisi approfondita in termini di sicurezza, resilienza e funzionalità. L’elemento di sicurezza rappresenta, però, una questione delicata. La recente attenzione verso l’integrazione di Starlink nei sistemi di comunicazione strategica italiana pone diverse domande di natura tecnica e funzionale.
La costellazione di satelliti in orbita bassa gestita da SpaceX rappresenta un sistema innovativo rispetto alle infrastrutture satellitari più tradizionali, ma il confronto con altre tecnologie terrestri e marittime richiede un’analisi approfondita in termini di sicurezza, resilienza e funzionalità.
Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
Tommaso Diddi
Analista Hermes Bay
Altri articoli sull’argomento:
13 gennaio 2025 | Fonte: www.cybersecurity360.it
Trattamento dati personali e Commissione UE: i rischi del trasferimento verso Paesi terzi
La questione al centro della controversia riguarda il trattamento di dati personali da parte della Commissione Europea mediante l’impiego di servizi di content delivery network gestiti da fornitori situati in Paesi terzi. Ecco perché è significativa la sentenza del Tribunale dell’Unione Europea nella causa T-354/22. Il delicato equilibrio tra protezione dei dati personali e necessità istituzionali di trattamento informatico è un tema che, ormai da decenni, interroga dottrina e giurisprudenza.
La sentenza resa dal Tribunale dell’Unione Europea nella causa T-354/22 rappresenta una tappa significativa in questo percorso, soprattutto per il suo valore paradigmatico nella ridefinizione dei limiti giuridici entro cui le istituzioni europee possono operare in materia di trasferimento dei dati verso paesi terzi.
Francesca Niola
Ph.D Researcher, Sapienza Università di Roma – Fellow ISLC, Università di Milano
13 gennaio 2025 | Fonte: www.geopop.it
Attacchi hacker in Italia contro siti di banche e aziende: chi c’è dietro e cosa sappiamo
Lo scorso weekend l’Italia ha subìto un’ondata di attacchi hacker che, nella fattispecie, ha interessato siti istituzionali e aziendali italiani, sollevando importanti preoccupazioni sulla sicurezza digitale del “Bel Paese”. Le offensive, rivendicate principalmente dal collettivo filorusso Noname057(16) e da gruppi filopalestinesi, come Alixsec, hanno preso di mira portali ministeriali, banche, aziende di trasporto e altre infrastrutture nevralgiche. Questi attacchi sono stati perpetrati tramite la tecnica del DDoS (Distributed Denial of Service), che consiste nell’invio massiccio di richieste fasulle a un server per sovraccaricarlo e renderlo inaccessibile. Sebbene gli effetti tangibili siano consistiti principalmente in disagi temporanei, la frequenza e la scelta degli obiettivi rivelano una strategia più ampia e strutturata, intrinsecamente legata all’attuale contesto geopolitico che, in un modo o nell’altro, interessa anche il nostro Paese.
Altri articoli sull’argomento:
13 gennaio 2025 | Fonte: www.cybersecurity360.itData center e sicurezza di rete nelle aziende: strategie efficaci
Un sistema informativo aziendale è realizzato mediante hardware e software normalmente contenuti in un data center. La sicurezza digitale di un S.I. è, dunque, la somma delle pratiche di sicurezza che mantengono l’intero sistema informativo (componenti e rete) al sicuro da minacce, attacchi e accessi non autorizzati. Qualsiasi sistema informativo (S.I.) aziendale è realizzato mediante sistemi di hardware (HW) e software (SW) normalmente contenuti in un data center ed eventualmente arricchito da sistemi distribuiti che possono comprendere Personal Computer, smart device e porzioni di sistemi in Cloud.
Proteggere un simile “sistema di sistemi” richiede l’attuazione di pratiche di sicurezza informatica applicate all’intero perimetro fisico e logico degli apparati con l’aggiunta della sicurezza applicata ai dati, ovvero delle informazioni digitalizzate e tenendo conto anche i processi e le persone che su questi sistemi lavorano e interagiscono.
Alessia Valentini
Giornalista, Cybersecurity Consultant e Advisor
13 gennaio 2025 | Fonte: www.federprivacy.org
Le autorità non possono imporre ai cittadini un limite sul numero di reclami per violazioni della privacy
La Corte di Giustizia dell’Unione Europea ha chiarito che ai cittadini non si può limitare di esercitare i diritti sulla privacy impedendo loro di presentare non più di due reclami al mese al Garante per la protezione dei dati personali, così come invece aveva imposto l’autorità austriaca.
Come riferisce infatti noyb.eu, da anni il garante Austriaco (Österreichische Datenschutzbehörde) ha infatti sviluppato vari “escamotage” per interrompere il più possibile i procedimenti contro le società. Ad esempio, nel corso di un’istruttoria gli interessati vengono spesso minacciati di vedersi interrompere l’avviamento di un procedimento se non si oppongono entro due settimane a seguito di ogni singola dichiarazione fatta da un’azienda per difendersi. L’autorità austriaca interrompe i procedimenti su larga scala anche se una società (dopo anni di controversie) si conforma al GDPR all’ultimo minuto.
L’ultimo “trucco” escogitato dalla Österreichische Datenschutzbehörde era addirittura quello di limitare il numero di reclami a un massimo di due al mese, anche se talvolta (anzi spesso) gli utenti sono colpiti da violazioni del GDPR quotidianamente.
13 gennaio 2025 | Fonte: www.cybersecurity360.it
Trattamento dati personali e Commissione UE: i rischi del trasferimento verso Paesi terzi
La questione al centro della controversia riguarda il trattamento di dati personali da parte della Commissione Europea mediante l’impiego di servizi di content delivery network gestiti da fornitori situati in Paesi terzi. Ecco perché è significativa la sentenza del Tribunale dell’Unione Europea nella causa T-354/22.
Il delicato equilibrio tra protezione dei dati personali e necessità istituzionali di trattamento informatico è un tema che, ormai da decenni, interroga dottrina e giurisprudenza.
La sentenza resa dal Tribunale dell’Unione Europea nella causa T-354/22 rappresenta una tappa significativa in questo percorso, soprattutto per il suo valore paradigmatico nella ridefinizione dei limiti giuridici entro cui le istituzioni europee possono operare in materia di trasferimento dei dati verso paesi terzi. Francesca Niola
Ph.D Researcher, Sapienza Università di Roma – Fellow ISLC, Università di Milano
14 gennaio 2025 | Fonte: www.cybersecurity360.it
Dare forma e sostanza al GDPR, con un sistema di gestione privacy: ecco come
C’è un rapporto intrigante, e a tratti poco compreso, tra GDPR e sistemi di gestione privacy (SGP). Il GDPR stabilisce “cosa” va fatto, senza definire “come” agire. Standard internazionali, quali ISO 27001, ISO 27701 e altri framework forniscono, invece, linee di azione metodologiche utili a tradurre i requisiti del GDPR in azioni concrete. Nel complesso panorama della protezione dei dati personali, il GDPR si configura come un solido e chiaro punto di riferimento normativo. Questo particolare corpus normativo, sebbene indichi con precisione “che cosa” sia necessario fare per tutelare i diritti e le libertà fondamentali delle persone, non fornisce indicazioni dettagliate su “come” tali prescrizioni debbano essere concretamente attuate all’interno delle organizzazioni.
Giuseppe Alverone
Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024
Monica Perego
Consulente, Formatore Privacy & DPO
14 gennaio 2025 | Fonte: www.federprivacy.org
Viola la privacy l’estensione di Chrome che permette di scoprire i dati di contatto degli utenti di Linkedin
La società informatica Kaspr commercializzava un’estensione a pagamento per il browser Chrome che consentiva ai propri clienti di ottenere i dati di contatto delle persone che visitano il proprio profilo sul social network LinkedIn, funzione sicuramente molto utile nelle attività di marketing per poter contattare gli utenti potenzialmente interessati al proprio business, peccato che tale applicazione violasse la privacy degli utenti.
Infatti, per poter raggiungere questo obiettivo, l’azienda disponeva di un database di contatti da Linkedin e altri siti Web (come le directory dei nomi di dominio) di circa 160 milioni di contatti.
I dati di contatto così raccolti potevano così consentire ai clienti che compravano l’estensione di contattare le persone target, ad esempio per la prospezione commerciale o la verifica dell’identità.
L’autorità per la protezione dei dati francese (CNIL) aveva però ricevuto diverse denunce da persone infastidite che erano state contattate da soggetti che erano venuti a conoscenza dei loro dati personali di contatto avvalendosi dell’estensione di Kaspr.
15 gennaio 2025 | Fonte: www.garanteprivacy.it
L’ombra di Musk si allunga su Tiktok – Intervento di Guido Scorza
Elon Musk, l’uomo più ricco del mondo, il proprietario di X, fu Twitter, secondo alcuni il neopresidente ombra degli Stati Uniti d’America, potrebbe acquistare il ramo d’azienda americano di ByteDance, la società che gestisce TikTok per consentirle di continuare a operare a seguito dell’ormai imminente entrata in vigore della legge che impone alla società cinese di scegliere se vendere o chiudere il socialnetwork negli Usa.
È questa l’ipotesi rimbalzata ieri su Bloomberg News, immediatamente smentita e bollata come «pure fiction» dalla società cinese. Vero o falso? Difficile a dirsi specie tenuto conto della matrice indiscutibilmente politica della decisione di sottrarre TikTok all’ingerenza del governo di Pechino per ragione legate alla sicurezza nazionale, dell’imprevedibilità e spregiudicatezza imprenditoriale di Musk e della sua straordinaria vicinanza al presidente eletto.
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(La Stampa,15 gennaio 2025)
Link all’intervista: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10092870
15 gennaio 2025 | Fonte: www.federprivacy.org
Usare i titoli di cortesia viola la privacy: per rispettare il GDPR meglio essere maleducati
Dai conti pubblici al lavoro, dall’ambiente ai servizi, dal demanio alle imprese, e anche sugli alimenti e sull’abbigliamento, in Italia siamo ormai abituati da anni a sentirci dire che dobbiamo fare riforme o modernizzare il nostro ordinamento perché “ce lo chiede l’Europa”, e ora l’UE ci chiede persino di abbandonare il tradizionale bon ton per rispettare la privacy.
Secondo una discutibile sentenza della Corte di Giustizia dell’Unione Europea (Cgue) del 9 gennaio 2025, d’ora in poi le aziende dovrebbero infatti smettere di usare gli appellativi di cortesia “signora” e “signor” perché violerebbero il principio di “minimizzazione” dei dati previsto dal GDPR, secondo cui non bisogna esagerare con la richiesta di dati personali degli interessati, ma limitarsi a raccogliere le informazioni strettamente necessarie a gestire il servizio o il prodotto richiesto.
16 gennaio 2025 | Fonte: www.ilsole24ore.com
Attacchi informatici russi all’Italia: sono di bassa qualità, ma arrivano a segno. Quali sono le contromisure?
La guerra informatica è una parte integrante della strategia di attacco della Russia nei confronti dell’Ucraina. Già prima dell’inizio ufficiale del conflitto, il Cremlino ha fatto largo uso di attacchi informatici, più o meno estesi e più o meno eclatanti, per testare le infrastrutture del Paese bersaglio. Dopo la mobilitazione militare, le attività sono ovviamente state intensificate, con una coda che è debordata dal bersaglio primario per ricadere sui Paesi che stanno cercando di aiutare l’Ucraina a reggere l’impatto di una guerra impari. Questi attacchi di tipo “secondario” hanno due origini ben distinte: una è frutto dei gruppi di hacker governativi che lavorano in modo organico e organizzato con gli altri enti statali; l’altra dipende da gruppi di hacker attivisti più o meno organizzati che perorano la causa russa senza troppe ambizioni e per lo più a scopo propagandistico (anche se non è ben chiaro a vantaggio di chi).
22 gennaio 2025 | Fonte: www.cybersecurity360.it
One-Stop-Shop e applicazione del diritto di accesso ai dati: gli esempi dell’EDPB
A conclusione dei lavori della 101esima plenaria, l’EDPB ha pubblicato un utile documento sul case digest one-stop-shop che fornisce esempi utili sull’esercizio del diritto di accesso in vari contesti, ad esempio in caso di profili o account falsi che impersonano gli interessati.
L’EDPB ha pubblicato un altro bel documento che, come gli altri paper del Comitato Europeo per la Protezione dei Dati, aiuta a districarsi nell’interpretazione e applicazione del GDPR: questa volta ci riferiamo al case digest one-stop-shop realizzato anche grazie al supporto di un pool di esperti coordinati dal Prof. Dr. Hanne Marie Motzfeldt, nel novembre 2024.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
20 gennaio 2025 | Fonte: www.agendadigitale.eu
Cybersecurity: le (troppe) lacune che l’Italia deve colmare
La cybersecurity è diventata centrale nei dibattiti pubblici, ma l’Italia continua a mostrare lacune significative in termini di consapevolezza e competenze digitali. Investimenti mirati e formazione sono cruciali per affrontare le crescenti minacce informatiche.
Dopo le varie vicende che hanno tenuto banco sui mass media legate alla sicurezza digitale, anche il grande pubblico si è accorto dell’esistenza della cybersecurity. Quando certe vicende diventano trend e generano hype, tengono banco su giornali e telegiornali per molti giorni è positivo, dal momento che viviamo in un Paese che clicca ancora sugli SMS di phishing provenienti da un sedicente Inps che promette 2.000 euro con un semplice click.
Gabriele Gobbo
Consulente e docente in digital marketing, divulgatore della cultura digitale
22 gennaio 2025 | Fonte: www.cybersecurity360.it
Le sfide di cyber security del 2025 secondo il World Economic Forum
Il report è un’analisi dettagliata dei principali fattori che contribuiscono alla complessità del settore. Fornisce preziose informazioni sulle sfide informatiche più pressanti per il prossimo anno e le loro potenziali implicazioni per i leader.
Il rapporto Global Cybersecurity Outlook 2025 del World Economici Forum evidenzia come diversi fattori stiano aumentando la complessità del panorama informatico.
Le tensioni geopolitiche creano un ambiente di incertezza, mentre la crescente integrazione e la dipendenza da catene di approvvigionamento complesse rendono il contesto del rischio più opaco e imprevedibile.
Inoltre, l’adozione rapida di tecnologie emergenti, quali l’Intelligenza Artificiale (IA) introduce nuove vulnerabilità e minacce.
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Direttivo, ENIA Comitato Scientifico
22 gennaio 2025 | Fonte: www.garanteprivacy.it
Zero limiti all`intelligenza artificiale, occupazione e fake senza rete
Lo aveva promesso in campagna elettorale e lo ha fatto, a poche ore dalll’insediamento alla Casa Bianca, il neo-rieletto Presidente Trump ha cancellato l’ordine esecutivo firmato nel 2023 dal suo predecessore, Joe Biden, nel tentativo di provare a governare e mitigare – sebbene in maniera edulcorata rispetto a quanto sta provando a fare l’Unione europea – i rischi legati all’impatto dell’intelligenza artificiale sulla società. Secondo Trump quelle regole avrebbero frenato l’innovazione tecnologica sulla quale, al contrario, intende scommettere per rilanciare l’economia americana. Una decisione che non sorprende sia perché ampiamente annunciata, sia perché la Casa Bianca non è mai stata così vicino alle big tech come da quando Elon Musk è sceso in campo accanto a Trump.
(La Stampa, 22 gennaio 2025)
23 gennaio 2025 | Fonte: www.agendadigitale.ue
Istanze digitali: il grande puzzle della PA
L’adozione di SPID, CIE e app IO accelera l’evoluzione digitale delle interazioni con le Pubbliche Amministrazioni. Le normative CAD e TUDA regolano il processo, mentre il Piano Triennale supporta l’innovazione. L’IT-Wallet sull’app IO irrompe tra le forme di interazione con la Pubblica Amministrazione accanto a prassi consolidate come la PEC o le firme elettroniche e a pratiche tradizionali come lo sportello o la posta cartacea. Le nuove forme di comunicazione sono organizzate dal Piano Triennale e da eIDAS 2 al tempo stesso rientrano nel quadro delle istanze e delle dichiarazioni, stabile ma non sempre coerente. Quale il contesto e quali le prospettive? Roberto Marchiori
Referente gestione documentale e privacy della Camera di Commercio di Pordenone-Udine, socio Anorc Professioni
24 gennaio 2025 | Fonte: www.cybersecurity360.it
I contratti di lavoro devono essere disapplicati se violano il GDPR: la sentenza CGUE
I contratti collettivi nazionali di lavoro devono rispettare la privacy. A stabilirlo è la Corte di Giustizia dell’Unione Europea che, in una recente sentenza, ha stabilito paletti ben precisi per il rispetto del GDPR in assenza del quale il Garante privacy e il giudice devono disapplicare il Ccnl. Altro intervento della Corte di Giustizia della UE che questa volta è stata chiamata a pronunciarsi sull’interpretazione del GDPR e nello specifico sul trattamento dati personali nei rapporti di lavoro (art. 88).
Con la causa C-65/23 ha stabilito due principi che cementificano l’importanza del GDPR. Da un lato, la CGUE è netta nel dire che anche i contratti collettivi nazionali del lavoro – CCNL devono sottostare alle regole del GDPR; dall’altro, se il Giudice trova una violazione in materia di protezione dati personali è obbligato a disapplicare il CCNL.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
24 gennaio 2025 | Fonte: www.agendadigitale.ue
Libertà d’impresa e obblighi Gdpr: il ruolo del responsabile del trattamento
Il responsabile del trattamento deve adeguarsi alle istruzioni del titolare secondo il GDPR, mentre cerca di preservare la propria autonomia imprenditoriale. Le sfide emergono nel conciliare queste esigenze con il principio di libertà economica garantito dalla normativa.
Il titolare del trattamento ha il potere di condizionare l’operato dei propri responsabili e di costringerli al rispetto delle istruzioni che, per altro verso, ha il dovere di impartire loro.
Giorgia Benatti
Avvocato – ESSE CI Centro Studi
24 gennaio 2025 | Fonte: www.cybersecurity360.it
Trump, primo strappo all’accordo UE-USA sui dati: cosa può succedere ora
La richiesta di dimissioni inviata dal presidente Trump ad alcuni membri del Privacy and Civil Liberties Oversight Board (PCLOB) rende decisamente incerto il destino della decisione di adeguatezza UE-USA per il trasferimento di dati personali che, lo ricordiamo, è stata già impugnata dall’associazione NOYB. Ecco i possibili scenari.
La base giuridica per i trasferimenti dei dati personali dall’Unione Europea agli Stati Uniti, che negli ultimi anni è stata a dir poco precaria, potrebbe presto trovarsi in una situazione ancora più incerta.
Domenico Orlando
Cybersecurity e data protection law researcher, Cefriel
Altri articoli sull’argomento:
24 gennaio 2025 | Fonte: www.cybersecurity360.it
Cosa dice il report Enisa, State of Cybersecurity in The Union 2024
Tra ciò che spicca nel report State of Cybersecurity in The Union curato da Enisa c’è il fatto che le Pubbliche amministrazioni sono le più esposte agli incidenti, seguite dal comparto dei trasporti e dalle banche. Il report State of Cybersecurity in The Union 2024 (qui nella versione ridotta) curato dall’European Union Agency for Cybersecurity (Enisa) offre diversi spunti di riflessione.
L’informazione più rilevante è che le pubbliche amministrazioni hanno registrato la porzione di incidenti più alta (il 19,96%), a seguire il comparto dei trasporti (11%) e poi le banche (9%).
Giuditta Mosca
Giornalista, esperta di tecnologia
27 gennaio 2025 | Fonte: www.agendadigitale.ue
Piano Triennale informatica PA, update 2025: i punti chiave
Arriva la versione 2025 del piano triennale 2024-2026 AGID per l’informatica nella PA. Questa nuova versione del Piano si distingue per un approccio più strutturato alla governance digitale e per l’introduzione di elementi innovativi che meritano una particolare attenzione, anche se non è ancora integrato rispetto alle normative sulla sicurezza informatica definite dalla L90 e…
La trasformazione digitale della Pubblica Amministrazione italiana segna un nuovo capitolo con la pubblicazione dell’aggiornamento 2025 del Piano Triennale per l’Informatica nella PA 2024-2026.
Il documento, che rappresenta lo strumento fondamentale per guidare l’evoluzione tecnologica del settore pubblico, arriva in un momento cruciale caratterizzato da rapidi cambiamenti socioeconomici e tecnopolitici.
Andrea Marella
Consulente trasformazione digitale pa
Andrea Tironi
Project Manager – Digital Transformation
27 gennaio 2025 | Fonte: www.cybersecurity360.it
AgID aggiorna il Piano Triennale per l’informatica: come cambia la cyber nella PA
Pubblicato l’aggiornamento 2025 del Piano Triennale per l’Informatica nella PA 2024-2026 di AgID. Sempre più attenzione alla cyber security con un aumento di strumenti operativi messi a disposizione delle PA, che salgono a 16, e l’introduzione di nuovi temi come l’IT wallet, la data quality e una spinta alla dematerializzazione documentale.
Era una notizia attesa da tanti: l’Agenzia per l’Italia Digitale (AgID) ha pubblicato l’aggiornamento del Piano triennale per l’informatica nella pubblica amministrazione che si pone nel solco del Piano pubblicato lo scorso anno 2024, pur tenendo conto che siamo nella fase finale di esecuzione del PNRR, quindi il raggiungimento degli obiettivi prima di tutto.
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista
27 gennaio 2025 | Fonte: www.agendadigitale.ue
PA più efficiente con l’IA: otto soluzioni concrete
Dall’automazione documentale all’assistenza virtuale multilingue, l’Intelligenza Artificiale può trasformare radicalmente i servizi della Pubblica Amministrazione, ottimizzando efficienza e accessibilità per cittadini e dipendenti.
Il 2025 sarà probabilmente l’anno della trasformazione aziendale guidata dall’AI. Le organizzazioni passeranno da un approccio sperimentale a una strategia integrata, dove l’intelligenza artificiale diventerà il motore dell’innovazione e dell’efficienza operativa.
Anche negli enti locali se non nel 2025, facilmente nel 2026 verso la fine del PNRR inizieranno a esserci proposte per soluzioni nuove con presenza di AI o per nuove soluzioni AI-based. Andrea Tironi
Project Manager – Digital Transformation
27 gennaio 2025 | Fonte: www.federprivacy.org
Email aziendale del dipendente, vietati i controlli retroattivi
Le indagini eseguite dal datore di lavoro sulla posta elettronica aziendale del dipendente possono riguardare solo informazioni successive al momento in cui è sorto un “fondato sospetto” di un potenziale illecito, e non sono quindi ammesse ai fini disciplinari le indagini tecnologiche svolte su periodi antecedenti all’insorgenza di tale sospetto.
Lo ha ribadito la Cassazione con l’ordinanza 807/2025, chiarendo quali sono i limiti che deve rispettare il datore di lavoro quando decide di effettuare delle indagini sull’email aziendale utilizzata dal dipendente.
La vicenda in questione era partita dal licenziamento intimato da un datore di lavoro a un proprio dirigente, sulla base di informazioni acquisite mediante un controllo della posta elettronica aziendale.
La necessità di svolgere tale controllo era scaturita da un “alert” inviato dal sistema informatico aziendale; la ricerca svolta dal datore di lavoro aveva avuto ad oggetto i file di log relativi alle email inviate dal dirigente in un momento antecedente rispetto al fondato sospetto creato da questo alert informativo.
27 gennaio 2025 | Fonte: www.cybersecurity360.it
Spazio europeo dei dati sanitari: arriva la rivoluzione europea, ecco di che si tratta
Il Regolamento sullo spazio europeo dei dati sanitari rappresenta una tappa fondamentale verso la modernizzazione e l’integrazione dei sistemi sanitari nell’UE. Oltre a garantire un controllo più diretto sui dati sanitari, vuole creare le condizioni per una collaborazione innovativa tra professionisti del settore e una gestione più efficace delle risorse sanitarie.
Dopo mesi di trattative e rifiniture, è in corso di pubblicazione in questi giorni (nella Gazzetta Ufficiale europea) il Regolamento sullo spazio europeo dei dati sanitari (European Health Data Space – “EHDS”), un pilastro fondamentale nella gestione e condivisione dei dati sanitari all’interno dell’Unione Europea.
Oltre che della “rivoluzione normativa sui dati” in corso da tempo con altri interventi normativi, rientrando nella mappa sulla Strategia Europea per i Dati.Andrea Michinelli
Avvocato, FIP (IAPP), ISO/IEC 27001 e 42001, Of counsel 42 Law Firm
Alessia Bottazzo
Trainee lawyer IT and Data Protection, 42 Law Firm
28 gennaio 2025 | Fonte: www.garanteprivacy.it
COMUNICATO STAMPA – IA: il Garante privacy chiede informazioni a DeepSeek. Possibile rischio per i dati di milioni di persone in Italia
Il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni a Hangzhou DeepSeek Artificial Intelligence e a Beijing DeepSeek Artificial Intelligence, le società che forniscono il servizio di chatbot DeepSeek, sia su piattaforma web che su App.
L’Autorità, considerato l’eventuale alto rischio per i dati di milioni di persone in Italia, ha chiesto alle due società e alle loro affiliate di confermare quali siano i dati personali raccolti, da quali fonti, per quali finalità, quale sia la base giuridica del trattamento, e se siano conservati su server collocati in Cina.
Il Garante, inoltre, ha chiesto alle società che tipo di informazioni vengano utilizzate per addestrare il sistema di intelligenza artificiale e, nel caso in cui i dati personali siano raccolti attraverso attività di web scraping, di chiarire come gli utenti iscritti e quelli non iscritti al servizio siano stati o vengano informati sul trattamento dei loro dati.
Entro 20 giorni le società dovranno fornire all’Autorità le informazioni richieste.
28 gennaio 2025 | Fonte: www.federprivacy.org
Data Protection Officer: questioni di nomina, competenze, e incompatibilità
I dati personali costituiscono una risorsa cardine per le organizzazioni e la loro protezione è centrale sia a fini privacy che di tutela di un asset primario. I processi di trattamento, che includono anche la security, richiedono un’attenta formalizzazione dei ruoli e delle responsabilità fra cui quella, centrale, del Responsabile della Protezione dei Dati (Data Protection Officer), introdotta dal GDPR.
Sulla base di alcune pronunce giurisprudenziali, afferenti oltre all’ambito privacy anche quello della salute e sicurezza sul lavoro, possono essere individuati alcuni utili parametri per approfondire il ruolo e responsabilità del Data Protection Officer con riguardo al profilo delle competenze e a quello delle incompatibilità / conflitto di interesse, e ipotizzare le possibili azioni di mitigazione dei rischi di non compliance alle disposizioni europee e nazionali in materia di privacy.
29 gennaio 2025 | Fonte: www.cybersecurity360.it
Più cyber attacchi nel 2024. E nel 2025 il trend non si fermerà
I report di livello Europeo forniti da ENISA e quelli centrati sull’Italia aiutano a comprendere lo scenario della minaccia, nel lasso temporale che va dal 2023 ad oggi, con uno sguardo sul futuro prossimo.
Le feste sono finite ma sembrerebbe che “la festa” di attacchi informatici non accenni a terminare. L’inizio dell’anno si contraddistingue per la continuità con gli attacchi di fine 2024, un anno che ha fatto rilevare una ulteriore crescita delle attività criminali, sia stampo geopolitico che di attivismo, senza mai dimenticare l’appetto di pura speculazione finanziaria. I report di livello Europeo forniti da ENISA (Agenzia dell’Unione europea per la cibersicurezza) e quelli centrati sull’Italia aiutano a comprendere lo scenario della minaccia, nel lasso temporale che va dal 2023 ad oggi, con indicazioni sui trend per il 2025 e fino al 2030.
Alessia Valentini
Giornalista, Cybersecurity Consultant e Advisor
30 gennaio 2025 | Fonte: www.agendadigitale.ue
Cybersecurity Italia: la mappa dei rischi 2025
Cinque esperti nazionali delineano lo scenario delle minacce informatiche, analizzando l’evoluzione degli attacchi, i nuovi rischi per le infrastrutture critiche e le strategie di difesa basate sull’ intelligenza artificiale. Il 2024 ha visto affermarsi minacce informatiche sempre più sofisticate, che rendono fondamentale l’adozione di tecnologie avanzate. Tra le principali minacce che stanno ridisegnando il panorama della cybersecurity si distinguono gli attacchi mirati contro le infrastrutture critiche, un uso sempre più pervasivo dell’intelligenza artificiale (IA) per eludere i sistemi di difesa e un incremento preoccupante delle campagne ransomware verso i settori manifatturiero, della sanità, dei trasporti e della pubblica amministrazione.
Martina Rossi
Alé Comunicazione
30 gennaio 2025 | Fonte: www.repubblica.it
Il Garante per la Privacy blocca l’IA cinese DeepSeek
Il Garante per la privacy blocca DeepSeek, l’intelligenza artificiale made in China. La disposizione d’urgenza, e con effetto immediato, che limita il trattamento dei dati personali degli italiani arriva due giorni dopo la richiesta di chiarimenti inviata dall’Autorità alla società cinese, la cui risposta – recapitata giovedì – è stata giudicata “del tutto insufficiente”: la società, spiega il Garante, si è limitata a dichiarare di non operare in Italia sostenendo quindi che a lei non sarebbe applicabile la legge europea. Il provvedimento è stato adottato “a tutela dei dati degli utenti italiani”. Già da mercoledì l’applicazione di DeepSeek non risultava più scaricabile dagli store digitali del nostro Paese, senza alcuna spiegazione ufficiale. La versione web però è sempre rimasta accessibile e mentre scriviamo queste righe lo è ancora.
Altri articoli sull’argomento:
Altre news
Rifiuti abbandonati: telecamere e multe più facili con il “Decreto Terra dei Fuochi”
arrow_forwardGDPR: rassegna stampa N° 8/2025 agosto
arrow_forwardTRIBUTI: rassegna stampa N° 9/2025 agosto
arrow_forwardBuone pratiche di cybersecurity di base per i dipendenti della PA
arrow_forwardTRIBUTI: rassegna stampa N° 8/2025 luglio
arrow_forward