Pillole di GDPR

 

1.Violazione della conservazione dei dati

Una società tedesca del settore recupero crediti è stata multata per 900.000 euro dal Garante della privacy di Amburgo per aver conservato dati personali oltre i termini legali, violando il GDPR. Le indagini hanno mostrato carenze nel processo di cancellazione e gestione dei dati, con oltre sei anni di informazioni archiviate senza giustificazione. La sanzione è stata attenuata grazie alla collaborazione dell’azienda.

2.Legittimo interesse nel trattamento dati infragruppo

L’EDPB ha pubblicato Linee Guida sul trattamento dei dati basato sul “legittimo interesse”, evidenziando i criteri per il bilanciamento tra necessità aziendali e diritti degli interessati. Gli esempi includono scambi dati all’interno di gruppi societari per fini organizzativi e statistiche sui clienti. Tuttavia, l’interesse deve essere documentato e verificabile, pena il rischio di sanzioni.

3.Autenticazione a più fattori per la sicurezza dei dati

L’ACN raccomanda nuove misure di cybersicurezza, tra cui l’autenticazione a più fattori e controlli rigorosi sugli accessi a database. Il protocollo, che integra privacy e sicurezza informatica, prevede 32 misure tecniche, fisiche e organizzative per prevenire abusi e migliorare la protezione dei dati.

4.Obblighi di cybersicurezza NIS2

Dal 1° dicembre 2024 è operativa la piattaforma per registrare enti pubblici e privati coinvolti nella direttiva NIS2. Gli obblighi includono la notifica di incidenti informatici e l’adozione di misure di sicurezza entro il 2026. La mancata registrazione comporta sanzioni fino allo 0,1% del fatturato annuo.

5.Sanzione per algoritmo discriminatorio

Foodinho srl, del gruppo Glovo, è stata multata per 5 milioni di euro per utilizzo illecito di dati personali dei rider, inclusi trattamenti automatizzati non trasparenti. È stato ordinato di garantire l’intervento umano nelle decisioni, riformulare i messaggi agli utenti e proteggere i dati di geolocalizzazione.

6.Violazione di dati sanitari

Un hacker ha trafugato e messo in vendita dati sanitari di 750.000 pazienti francesi, ottenuti sfruttando credenziali rubate. Il database conteneva informazioni sensibili, comprese terapie, prescrizioni e dettagli personali. Le autorità stanno indagando sull’accaduto.

7. Codice di condotta per i produttori di software gestionali

E’ stato approvato il codice di condotta che detta le linee guida, in tema di GDPR, dedicato alle software house che producono gestionali. Vengono dettate regole di sicurezza e definiti i ruoli GDPR corretti tra le imprese clienti e quelle fornitrici di gestionali. Non è obbligatoria l’adesione e, in ogni caso, le linee guida fornite, sono quelle che dovrebbero essere seguite per adempiere correttamente alla normativa.