fb

Un esempio di videosorveglianza non regolare (e sanzionabile)

by

Può bastare una segnalazione per incorrere in sanzioni “privacy” (o, meglio, sanzioni per trattamenti di dati personali non legittimi).

Proprio a seguito della segnalazione di un privato cittadino, il gestore di un’attività commerciale che aveva installato videocamere di sorveglianza senza fornire le informazioni agli interessati (in violazione degli artt. 5(1)(a) e 13 del GDPR) inquadrando anche aree di pubblico passaggio (in violazione del principio di minimizzazione di cui all’art. 5(1)(c) del GDPR), si è visto comminare una sanzione di 2.000 euro dal Garante per la protezione dei dati personali. L’Autoritò ha tenuto conto delle negligenze in fase di installazione (il sistema tecnicamente permetteva l’impostazione di aree “privacy” per le riprese), della scarsa collaborazione del Titolare del trattamento (che non ha inviato alcuna spiegazione all’Autorità) e, come fattore attenuante, dell’assenza di precedenti violazioni nonché del fatturato aziendale.

(fonte: Garante per la protezione dei dati personali)

Malware diffuso con false email da servizi di homebanking

by

il CERT-Agid segnala la diffusione di false email che sembrano provenire dal servizio “Relaxbanking” (servizi bancari online del gruppo ICCREA) e che mirano a rubare informazioni, credenziali di accesso, numeri di carte di credito e altro.

Il messaggio di phishing ha come oggetto “Bonifici SWIFT” e mostra le icone di due documenti pdf. Cliccando su una di queste si scarica un file con formato *.iso che, se eseguito, diffonderà il malware denominato “BluStealer”.

Come sempre, gli utenti sono invitati ad avere la massima attenzione vero i messaggi email che sembrano provenire dalle banche, anche perché non è la email in chiaro il canale attraverso cui le banche possono comunicare informazioni riservate.

(fonte: CERT-Agid)

Sanzione per nomina DPO in conflitto di interesse

by

L’autorità di controllo di Berlino ha comminato una sanzione di 525.000 euro alla filiale di una società di e-commerce con base nella stessa città.
La società ha nominato un Data Protection Officer (Responsabile della Protezione dei Dati) che ricopre anche l’incarico di managing director in due aziende di servizi che trattano dati personali per conto della stessa società per la quale il professionista agisce in qualità di RDP (o DPO). Le aziende di servizi fanno parte dello stesso gruppo al quale appartiene la società di e-commerce.
Considerata la situazione, l’autorità di controllo ha contestato la nomina di un RPD in conflitto di interesse in violazione dell’articolo 38(6) del GDPR. Nel caso specifico, nel corso del 2021 era già stato inviato un avvertimento alla società e, quando la nuova ispezione ha rilevato come non ci fossero state modifiche alla nomina, l’autorità ha deciso per la sanzione.

(fonte: GDPR Enforcement Tracker)