VERSIONE ITALIANA
SPAGNA, L’AEPD AGGIORNA LE LINEE GUIDA SUL PROCESSO DECISIONALE AUTOMATIZZATO
Quando si parla di trattamenti con possibili decisioni automatizzate, è importante valutare il coinvolgimento umano, tanto nel sistema utilizzato quanto nel trattamento stesso e nel suo contesto. Secondo l’articolo 22 del GDPR le persone hanno il diritto di non essere sottoposte a decisioni basate solo su trattamenti automatizzati, a meno che ci siano delle eccezioni. La definizione di “decisione basata unicamente sul trattamento automatizzato” è stata elaborata nelle linee guida del WP 251. Per avere un coinvolgimento umano questo deve essere significativo e svolto da una persona competente in grado di modificare la decisione, prendendo in considerazione tutti i dati pertinenti. Nel quadro della valutazione dell’impatto sulla protezione dei dati (PIA), il responsabile del trattamento deve quindi identificare e registrare il coinvolgimento umano nel processo decisionale.
https://www.aepd.es/prensa-y-comunicacion/blog/evaluacion-de-la-intervencion-humana-en-las-decisiones-automatizadas
USA, UNITEDHEALTH HA PAGATO UN RISCATTO DI 22 MILIONI DI DOLLARI PER RECUPERARE I DATI
Si è scoperto grazie ad un post pubblicato dal ransomware Blackcat che UnitedHealth Group avrebbe pagato 22 milioni di dollari per riprendere il controllo dei propri dati e sistemi crittografati. Nonostante la società e gli hacker non abbiano confermato il pagamento, una società di tracciamento di criptovalute ha parzialmente confermato quanto avvenuto. Le grandi aziende spesso pagano gli hacker per ripristinare le reti in caso di significativi data breach. Il post sul forum affermava che il partner di Blackcat era responsabile dell’attacco a UnitedHealth e mostrava un link che tracciava il trasferimento di circa 350 bitcoin, equivalenti a 23 milioni di dollari, in altri portafogli digitali. La società di analisi blockchain TRM Labs ha confermato poi che l’indirizzo dei fondi è associato ad AlphV, alias Blackcat, e ha visto quell’indirizzo essere utilizzato per raccogliere pagamenti di riscatto da altre vittime di AlphV.
https://www.reuters.com/technology/cybersecurity/hacker-forum-post-claims-unitedhealth-paid-22-mln-ransom-bid-recover-data-2024-03-05/
CILE, IL REGISTRO NAZIONALE DEI TIFOSI SOLLEVA PROBLEMI DI PRIVACY
In Cile la partita tra Universidad de Chile e Audax Italiano sarà la prima durante la quale verrà implementato il Registro Nazionale dei Tifosi. Questo registro richiederà a tutti i partecipanti alle partite nazionali di registrarsi utilizzando la propria carta d’identità e un selfie. Jessica Matus, avvocato specializzato in protezione dei dati e sicurezza informatica, ha dichiarato che lei stessa non si iscriverà al registro. Secondo Matus, l’implementazione della misura ha bisogno di ulteriori valutazioni e sopratutto deve essere valutato l’impatto sull’uso dei dati. Inoltre, ha concluso che il registro comporta un trattamento massiccio di dati personali e sensibili e che quindi è necessaria una base legale per consentirlo, poiché il consenso da solo non è sufficiente a giustificarlo. Pertanto, Matus solleva preoccupazioni riguardo alla fornitura di dati sensibili dei tifosi all’ANFP.
https://www.futuro.cl/2024/02/no-estaria-listo-para-ser-utilizado-experta-en-ciberseguridad-cuestiona-uso-de-datos-sensibles-en-registro-nacional-de-hinchas/
VERSIONE INGLESE
SPAIN, THE AEPD UPDATES GUIDELINES ON AUTOMATED DECISION-MAKING
When it comes to processing with possible automated decisions, it is important to assess human involvement, both in the system used and in the processing itself and its context. According to Article 22 of the GDPR, individuals have the right not to be subjected to decisions based solely on automated processing, unless there are exceptions. The definition of ‘decision based solely on automated processing’ was elaborated in the WP 251 guidelines. In order to have human involvement this must be meaningful and carried out by a competent person capable of modifying the decision, taking into account all relevant data. As part of the data protection impact assessment (PIA), the controller must therefore identify and record human involvement in the decision-making process.
https://www.aepd.es/prensa-y-comunicacion/blog/evaluacion-de-la-intervencion-humana-en-las-decisiones-automatizadas
USA, UNITEDHEALTH PAID A $22 MILLION RANSOM TO RECOVER DATA
It was discovered through a post published by the Blackcat ransomware that UnitedHealth Group allegedly paid $22 million to regain control of its encrypted data and systems. Although the company and the hackers have not confirmed the payment, a cryptocurrency tracking company has partially confirmed what happened. Large companies often pay hackers to restore networks in the event of significant data breaches. The forum post claimed that Blackcat’s partner was responsible for the attack on UnitedHealth and showed a link that tracked the transfer of about 350 bitcoins, equivalent to $23 million, into other digital wallets. Blockchain analysis company TRM Labs later confirmed that the address of the funds was associated with AlphV, aka Blackcat, and saw that address being used to collect ransom payments from other AlphV victims.
https://www.reuters.com/technology/cybersecurity/hacker-forum-post-claims-unitedhealth-paid-22-mln-ransom-bid-recover-data-2024-03-05/
CHILE, NATIONAL FAN REGISTER RAISES PRIVACY CONCERNS
In Chile, the match between Universidad de Chile and Audax Italiano will be the first during which the National Fan Register will be implemented. This registry will require all participants of national matches to register using their identity card and a selfie. Jessica Matus, a lawyer specialising in data protection and cybersecurity, said that she herself will not register for the registry. According to Matus, the implementation of the measure needs further evaluation and above all the impact on the use of data must be assessed. Furthermore, he concluded that the register involves massive processing of personal and sensitive data and that therefore a legal basis is needed to allow it, as consent alone is not sufficient to justify it. Therefore, Matus raises concerns about the provision of sensitive fan data to ANFP.
https://www.futuro.cl/2024/02/no-estaria-listo-para-ser-utilizado-experta-en-ciberseguridad-cuestiona-uso-de-datos-sensibles-en-registro-nacional-de-hinchas/
