Videosorveglianza: rifiuti, il Garante sanziona un Comune e due società. Utenti non informati adeguatamente sui sistemi installati

Tratto da www.garanteprivacy.it – Newsletter del 11/09/2023

Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina che tutela i dati personali.

Per contrastare il fenomeno diffuso dell’abbandono dei rifiuti, il Comune aveva incaricato due ditte, sanzionate anch’esse dal Garante, dell’acquisto, installazione e manutenzione di telecamere fisse, e della raccolta e analisi dei filmati relativi alle violazioni.

L’intervento dell’Autorità segue le segnalazioni di un cittadino che lamentava la ricezione di alcune multe per aver conferito i rifiuti indifferenziati in modo errato. Gli accertamenti della violazione sarebbero avvenuti più di un mese dopo la registrazione dei filmati, effettuata senza che i cittadini fossero stati adeguatamente informati della presenza delle telecamere e del trattamento dei dati. Il Comune infatti aveva apposto un cartello direttamente sul cassonetto, non facilmente visibile e per di più privo delle informazioni necessarie.

Il Municipio inoltre non aveva individuato i tempi di conservazione dei dati e non aveva nominato, prima dell’inizio del trattamento, le due aziende sopracitate quali responsabili del trattamento dati, come previsto dalla normativa privacy. Anche le società dunque operavano in modo illecito, ragion per cui entrambe sono state sanzionate anch’esse dal Garante, l’una per 10.000 euro, per non essere mai stata nominata responsabile del trattamento, e l’altra per 5.000 euro, per essere stata nominata responsabile in ritardo.

Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale e la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali. Anche in presenza di una condizione di liceità il titolare del trattamento, ha ribadito il Garante, è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di liceità, correttezza e trasparenza. In particolare, è necessario adottare misure appropriate per fornire all’interessato tutte le informazioni previste dal GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile.

Ai fini dell’applicazione delle sanzioni il Garante ha tenuto conto del fatto che il trattamento ha riguardato potenzialmente i dati dei residenti del Comune (circa 53.000 interessati) e dei soggetti non residenti (il cui numero non è quantificabile).

Di contro, l’Autorità ha considerato il comportamento non doloso del Municipio e delle aziende, nonché l’assenza di precedenti violazioni a loro carico.

Sito falso, il Garante Privacy ordina a Google la rimozione dell’indirizzo web. Creato da anonimi con il nominativo di un imprenditore e dati reperiti in rete

Tratto da www.garanteprivacy.it – Newsletter del 11/09/2023

Il Garante Privacy ha ordinato a Google la rimozione dai risultati di ricerca di un Url collegato a un sito web falso, il cui indirizzo era formato dal nome e cognome di un imprenditore italiano e al cui interno erano riportate affermazioni lesive della reputazione personale e professionale.

Il sito era stato creato da soggetti anonimi utilizzando i dati personali dell’interessato reperiti in rete, tra cui una foto e un indirizzo email la cui denominazione lasciava presupporre l’appartenenza ad un’organizzazione criminale. Il sito conteneva anche link a documenti pubblici relativi a supposte vicende giudiziarie.

Nel reclamo inviato all’Autorità, l’interessato, un imprenditore con attività anche all’estero, chiedeva la deindicizzazione del sito associato al suo nome e cognome e specificava di non aver mai riportato condanne, né di essere mai stato coinvolto in procedimenti giudiziari, vertenze, indagini legate a contesti di criminalità o malavita organizzata come invece riportato nel sito. L’imprenditore faceva inoltre presente di aver già ottenuto da Google, a seguito di una sentenza di un’autorità giudiziaria extraeuropea, la deindicizzazione dell’Url, che rimaneva tuttavia visibile in Europa.

Google, infatti, al quale l’interessato si era rivolto per ottenere una deindicizzazione globale, aveva dichiarato inammissibile il reclamo ritenendo che fosse basato sulla tutela della reputazione, dell’onore e dell’immagine e non sulla tutela dei dati personali, qualificabile quindi, forse, più come reato di diffamazione e non come violazione del diritto all’oblio.

Nel ritenere fondata la richiesta, il Garante Privacy ha accolto invece le ragioni del reclamante, che sosteneva l’uso improprio e a fini denigratori dei suoi dati personali all’interno del sito in questione, e ha precisato che il motore di ricerca non aveva considerato le plurime violazioni della disciplina privacy poste in essere dagli autori del sito, tra cui la mancanza di informativa e dei riferimenti dei titolari, che tutt’ora rendono impossibile esercitare i diritti di opposizione e di rettifica di cui all’art. 12 del Regolamento.

Il Garante ha ricordato infine che, nel valutare le richieste di deindicizzazione, occorre tenere conto, in particolare, oltre che del trascorrere del tempo, anche del criterio relativo all’esattezza del dato laddove si sottolinea l’esigenza di tenere in particolare conto di quelle informazioni che originino “un’impressione inesatta, inadeguata o fuorviante rispetto alla persona interessata”, come raccomandato dalle Linee Guida EDPB sul diritto all’oblio del 2014.

Direttiva NIS-2: come Endian supporta l’implementazione

Tratto da www.endian.com – 18/07/2023

La crescente digitalizzazione e i collegamenti in rete favoriscono gli attacchi informatici con conseguenze talvolta significative per l’economia e la vita pubblica. L’UE vuole contrastare questa sfida e ha quindi adottato la direttiva NIS-2. Con essa si applicano requisiti più severi per la sicurezza informatica alle aziende che operano nelle infrastrutture critiche e in alcuni settori chiave.

Quali sono le novità di NIS2?

Il numero di industrie appartenenti al settore delle infrastrutture critiche è significativamente aumentato rispetto a quello previsto dal regolamento NIS originario.
Per i settori interessati, il NIS si applica a tutte le medie e grandi imprese con più di 50 dipendenti o più di 10 milioni di fatturato. Anche le imprese più piccole possono essere tenute a implementare il NIS2 a determinate condizioni.

Entro ottobre 2024, gli Stati membri dell’UE devono applicare le norme NIS-2 nella legislazione nazionale.

Per saperne di più su NIS2 e su come Endian può aiutarvi a implementarla, consultate il whitepaper

Garante privacy: illecite le email pubblicitarie senza consenso. Inserire un link per disiscriversi non rende l’invio lecito

Tratto da www.garanteprivacy.it – Newsletter del 28/06/2023

Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio.

Lo ha precisato il Garante privacy nel comminare una sanzione di 10mila euro ad una società che aveva utilizzato questa modalità per le proprie campagne promozionali indirizzate a numerosi destinatari.

L’intervento dell’Autorità segue il reclamo di un utente che lamentava la ricezione di e-mail promozionali indesiderate, anche dopo essersi opposto a tali invii e non aver avuto alcun riscontro da parte della società.

La società si è difesa dichiarando di aver estratto i nominativi da diversi elenchi pubblici e che l’invio delle e-mail era diretto, oltre che al reclamante, anche ad altri professionisti. I dati, poi, sarebbero stati trattati sulla base di un legittimo interesse.

Il Garante ha ricordato che l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, essendo ammessa come unica deroga il rilascio dell’indirizzo e-mail da parte dell’interessato nel contesto di una vendita di beni o servizi analoghi.

Deroga che, nel caso in esame, non risulta applicabile, dato che le persone raggiunte dall’attività di marketing non avevano rilasciato il proprio indirizzo nell’ambito di un rapporto contrattuale pregresso non avendo alcuna conoscenza né del titolare né del trattamento.

Dall’istruttoria è dunque emerso che nessuna e-mail poteva essere inviata al reclamante, così come agli altri destinatari, senza un idoneo consenso. Rispetto al link inserito in calce alla mail per disiscriversi, il Garante ha poi ricordato che non ha alcuna rilevanza poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell’e-mail ad essere illecito.

Tenuto conto dell’ampia portata dei trattamenti e del fatto che l’azienda non ha mai dichiarato di aver interrotto la condotta limitandosi a cancellare i dati del reclamante, il Garante privacy ha imposto alla società il divieto di trattare per finalità promozionali tutti i dati inseriti nel data base oggetto di istruttoria per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso. In conseguenza di tale divieto, ha poi ordinato alla società di provvedere alla cancellazione dei dati in questione, ad eccezione di quelli necessari ad adempiere ad un obbligo di legge o per la difesa di un diritto in sede giudiziaria.

Trend Micro presenta Trend Vision One™ Platform: la piattaforma con capacità XDR e di intelligenza artificiale di ultima generazione

Tratto da www.trendmicro.com

Autore: Lorenzo Gamba – Imageware Srl – 20/06/2023

Trend Micro, leader globale di cybersecurity, presenta la piattaforma di cybersecurity di ultima generazione e stabilisce un nuovo standard per rafforzare la postura di sicurezza e la difesa dalle minacce. La nuova versione della piattaforma Trend Vision One™ rappresenta un significativo passo in avanti nella cybersecurity delle aziende e comprende una solida gestione del rischio della superficie di attacco, una protezione multilivello in ambienti ibridi e XDR di nuova generazione, amplificata dalla potente tecnologia di intelligenza artificiale generativa.

Le funzionalità avanzate di rilevamento e risposta estesi (XDR) della piattaforma, includono il più ampio set di sensori di sicurezza nativi, per offrire la protezione dalle minacce più completa e cross-domain. La piattaforma porta sul mercato l’XDR di prossima generazione, grazie al consolidamento dei dati che provengono da fonti interne e da terze parti e attraverso analisi avanzate di IA, machine learning e modelli di rilevamento correlati.

Con una visibilità e insight sugli eventi senza pari, le aziende hanno a disposizione una difesa più proattiva, un rilevamento tempestivo e una risposta agli incidenti più rapida.

Consolidando i dati da fonti interne e di terze parti e utilizzando l’intelligenza artificiale avanzata, report di machine learning e i modelli di rilevamento correlati, la piattaforma porta sul mercato la nuova generazione di XDR e protegge da tutte le tecniche e tattiche dei cybercriminali, tra cui estorsioni, attacchi DDoS, ransomware e altro ancora.

Una piattaforma potenziata dall’intelligenza artificiale generativa

Trend introduce nella piattaforma le capacità di intelligenza artificiale generativa trasformativa, attraverso l’implementazione di Companion, un assistente per la sicurezza informatica basato sull’intelligenza artificiale. Companion supporta gli addetti di cybersecurity indipendentemente dal livello di competenza ed è in grado di amplificare le operazioni di sicurezza, aumentare la produttività e l’efficienza e accelerare il rilevamento delle minacce, la risposta e la gestione del rischio informatico. Questo è l’inizio di una futura implementazione continua di funzionalità di IA e LLM, integrate in Trend Vision One.

Le capacità generative di IA e LLM di Trend danno priorità alla sicurezza e alla compliance in linea con le normative. Misure rigorose garantiscono la visibilità su come ciascun modello gestisce i dati aziendali. Inoltre, vengono implementati controlli e meccanismi di isolamento aggiuntivi per impedire la combinazione di Trend LLM con istanze e dati di altri fornitori.

Gestione proattiva dei rischi della superficie di attacco (Attack Surface Risk Management – ASRM), basata sui principi Zero Trust

Trend Vision One consente alle organizzazioni di creare programmi cyber resilienti e gestire in modo proattivo il rischio, contrastando potenziali eventi e violazioni con una gestione del rischio della superficie di attacco all’avanguardia. Sfruttando la scoperta continua della superficie di attacco e la valutazione del rischio in tempo reale, le aziende possono identificare e correggere rapidamente i rischi critici, comprese le vulnerabilità e l’esposizione, in base alla probabilità e all’impatto dell’attacco.

Grazie alla continua scoperta di asset interni e connessi a Internet, alla visibilità e alla valutazione in tempo reale, Trend Vision One accelera il viaggio verso un’architettura zero trust basata sul concetto “mai fidarsi, verificare sempre”. Questo è un framework di sicurezza molto desiderato ma difficile da implementare.

Per la prima volta, le organizzazioni sono in grado di gestire controlli di sicurezza granulari, applicazione delle policy e punti decisionali sulle policy da un’unica piattaforma per monitorare, gestire ed eseguire automaticamente controlli di sicurezza dinamici basati sui dati degli insight ASRM e sulla gestione integrata del sistema XDR, per ridurre la complessità e orchestrare l’accesso con privilegi minimi, con uno sforzo manuale irrilevante.

Attraverso un percorso chiaro verso l’operatività zero trust, le organizzazioni possono ridurre al minimo la superficie di attacco in modo più efficace, rallentare gli aggressori e proteggersi da minacce interne dannose e non, garantendo la conformità e la protezione dei dati.

Per ulteriori informazioni su Trend Vision One: dircom@argonavis.it e www.trendmicro.com/en_us/business/products/one-platform.html

L’intero articolo, pubblicato sul sito Trend Micro, è disponibile qui

Categorie