“La Privacy degli ultimi” all’inaugurazione della VIII edizione del Master in Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert

by with Commenti disabilitati su “La Privacy degli ultimi” all’inaugurazione della VIII edizione del Master in Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert

Un doppio onore e un doppio piacere che la giornata inaugurale del Master in Privacy dell’Università di Roma Tre sia dedicata alla presentazione della mia ultima – assieme all’amico e collega qui in Autorità Eduardo Meligrana – minuscola fatica letteraria: La privacy degli ultimi, per i tipi di Rubbettino.
Grazie all’Università di Roma Tre e al Direttore del Master, Carlo Colapietro per avermi voluto ancora una volta tra i docenti del Master e grazie soprattutto per aver scelto il mio libretto come oggetto di discussione di questa giornata inaugurale.
Ma grazie, non di circostanza, anche ai tanti amici e colleghi che hanno scelto di partecipare a questa giornata inaugurale a cominciare dal Presidente della nostra Autorità, Pasquale Stanzione e dalla Vice-Presidente Ginevra Cerrina Feroni.
I nomi degli altri destinatari di questi miei ringraziamenti sono nel programma della giornata in corso.
Parlare di uno degli “ultimi” diritti nell’errata considerazione per gli “ultimi” della nostra società almeno secondo diffuse e errate opinioni e percezioni credo rappresenti per tutti, ciascuno nel proprio ruolo e con le proprie responsabilità, un dovere innanzitutto morale e, al tempo stesso, una straordinaria sfida.

26 gennaio, evento Bicocca Privacy Day

Questa mattina sono intervenuto al Bicocca Privacy Day, l’evento organizzato da ReD OPEN e Dipartimento di Giurisprudenza dell’Università degli Studi di Milano-Bicocca. L’iniziativa è stata organizzata nell’ambito del “Data Protection Day” (28 gennaio), la giornata internazionale che il Consiglio d’Europa ha scelto di dedicare alla protezione dei dati personali.

Per info clicca qui.

Privacy Daily 24/2023

L’autorità francese per la protezione dei dati, la Commission nationale de l’informatique et des libertés, ha lanciato una consultazione pubblica sulle questioni economiche associate alla raccolta e all’elaborazione dei dati da parte delle applicazioni mobili. Come annunciato nel suo piano d’azione del 24 novembre, la CNIL ha affermato che il suo obiettivo “è rendere visibili i flussi di dati e rafforzare la conformità delle applicazioni mobili e dei loro ecosistemi al fine di proteggere meglio la privacy degli utenti”. Nel comunicato la Cnil, ha aggiunto che l’approccio “dovrebbe consentire di misurare il potenziale impatto delle scelte normative della CNIL sugli attori francesi, europei e internazionali, in particolare sugli aspetti della concorrenza e dell’innovazione”. Il piano strategico 2022-2024 della CNIL, si è posto tra i temi prioritari: “la raccolta di dati personali nelle applicazioni per smartphone “. Di fronte alla polivalenza delle tecnologie e all’eterogeneità delle pratiche, l’obiettivo della CNIL è rendere visibili i flussi di dati e rafforzare la conformità delle applicazioni mobili e dei loro ecosistemi.

Il Rapporto dell’Università di Oxford dal titolo “Automating Immigration and Asylum: The Uses of New Technologies in Migration and Asylum Governance in Europe” analizza in 76 pagine il delicato tema dell’uso in tutta Europa delle nuove tecnologie anche nel campo della migrazione e dell’asilo. Diversi Stati hanno iniziato a usarle (o a testarle) per controllare chi entra nei propri confini o per scegliere chi può accedere o meno ai propri territori. L’uso di nuove tecnologie può talora accelerare i processi decisionali a vantaggio delle agenzie governative e di alcuni richiedenti. Tuttavia, l’impiego di questi sistemi potrebbe potenzialmente provocare anche nuove vulnerabilità e discriminazioni. Peraltro, i potenziali “errori della macchina” rappresentano una minaccia significativa per migranti e richiedenti asilo, dal momento che un’errata decisione di rimpatrio potrebbe tradursi in un serio rischio per la libertà e la vita. Inoltre, gli studiosi di Oxford evidenziano che, siccome la proposta di Regolamento europeo sull’IA classifica le applicazioni connesse all’immigrazione, all’asilo e al controllo delle frontiere come “ad alto rischio”, è necessaria un’indagine sistematica sulle pratiche attuali e sulla portata del loro utilizzo nei Paesi europei.

Gira un video e diventa “ambasciatore della privacy”. Il contest del Garante privacy dedicato alle scuole, un concorso per gli studenti delle scuole superiori di secondo grado chiamati a realizzare un video per spiegare ai coetanei cosa è per loro la privacy e come tutelarla. L’iniziativa del Garante, realizzata con il supporto tecnico di Skuola.net, ha lo scopo di coinvolgere insegnanti e ragazzi in progetti di informazione e sensibilizzazione sul valore dei dati personali e sull’importanza di difenderli, soprattutto nella dimensione digitale. L’Autorità mette a disposizione degli istituti scolastici che intendono partecipare un apposito kit didattico per sviluppare percorsi di formazione su temi di grande impatto, soprattutto per i più giovani, tra i quali, in particolare il cyberbullismo; i furti di identità; il revenge porn; la profilazione on line; gli assistenti digitali; i dispositivi indossabili; i deepfake.

English Translation

The French data protection authority, the Commission nationale de l’informatique et des libertés, launched a public consultation on the economic issues associated with the collection and processing of data by mobile applications. As announced in its action plan of 24 November, the CNIL stated that its goal ‘is to make data flows visible and strengthen the compliance of mobile applications and their ecosystems, to better protect users’ privacy’. It added that the approach ‘should make it possible to measure the potential impact of CNIL’s regulatory choices on French, European and international actors, particularly on competition and innovation aspects’. The CNIL’s 2022-2024 strategic plan set as one of its priority themes ‘the collection of personal data in smartphone applications’. Faced with the polyvalence of technologies and the heterogeneity of practices, the CNIL’s objective is to make data flows visible and to strengthen the compliance of mobile applications and their ecosystems.

The Oxford University report entitled ‘Automating Immigration and Asylum: The Uses of New Technologies in Migration and Asylum Governance in Europe’ analyses in 76 pages the sensitive topic of the use of new technologies in the field of migration and asylum throughout Europe. Several states have started to use (or test) them to control who enters their borders or to choose who may or may not enter their territories. The use of new technologies can sometimes speed up decision-making processes to the benefit of government agencies and some applicants. However, the use of these systems could also potentially lead to new vulnerabilities and discrimination. Moreover, potential ‘machine errors’ pose a significant threat to migrants and asylum seekers, as a wrong return decision could result in a serious risk to freedom and life. Furthermore, the Oxford scholars point out that since the proposed European AI Regulation classifies applications related to immigration, asylum and border control as ‘high-risk’, a systematic investigation of current practices and the extent of their use in European countries is necessary.

Shoot a video and become a ‘privacy ambassador‘. The Privacy Guarantor’s contest dedicated to schools, a competition for secondary school students called upon to make a video to explain to their peers what privacy means to them and how to protect it. The Garante’s initiative, realised with the technical support of Skuola.net, aims to involve teachers and students in information and awareness-raising projects on the value of personal data and the importance of defending them, especially in the digital dimension. The Authority is making a special teaching kit available to schools wishing to participate in order to develop training courses on topics of great impact, especially for young people, including, in particular, cyberbullying; identity theft; revenge porn; online profiling; digital assistants; wearable devices; and deepfakes.

Lectio Magistralis su “Antitrust & privacy intersection. Condotte abusive e problemi di tutela della privacy” – Luiss Guido Carli

by with Commenti disabilitati su Lectio Magistralis su “Antitrust & privacy intersection. Condotte abusive e problemi di tutela della privacy” – Luiss Guido Carli

Privacy, pratiche commerciali scorrette e disciplina antitrust non sono mai state così vicine. È la naturale conseguenza della sempre crescente centralità che i dati personali hanno conquistato sui mercati fino a diventare, probabilmente, il principale elemento di globalizzazione, quello che ieri fu l’oro. Ne ho parlato questo pomeriggio durante la Lectio Magistralis che ho avuto l’onore di tenere agli studenti del Master della Luiss Guido Carli, in Diritto della concorrenza e dell’innovazione, diretto da Gustavo Ghidini e Gustavo Olivieri e coordinato da Silvia Scalzini.

La Lectio Magistralis è stata anche l’occasione per riflettere su un altro tema cruciale della questione. Mentre infatti le Autorità di protezione dei dati europee non hanno ancora sciolto il nodo della compatibilità delle pratiche di monetizzazione dei dati con la natura di diritto fondamentale del diritto alla privacy, le Autorità antitrust si trovano a decidere, sempre più di frequente, su pratiche commerciali scorrette basate, proprio, sulla violazione della disciplina in materia di privacy e su questioni antitrust basate proprio sull’abuso di posizioni dominante conquistate grazie all’accumulo e allo sfruttamento di dati personali nella dimensione di mercato.

GIRA UN VIDEO E DIVENTA “AMBASCIATORE DELLA PRIVACY”. IL CONTEST DEL GARANTE PRIVACY DEDICATO ALLE SCUOLE

(GARANTE PRIVACY) – COMUNICATO STAMPA, 20 GEN – ira un video e diventa “ambasciatore della privacy”.

Il Garante per la protezione dei dati personali lancia un concorso per gli studenti delle scuole superiori di secondo grado chiamandoli a realizzare un video per spiegare ai coetanei cosa è per loro la privacy e come tutelarla.

L’iniziativa del Garante, realizzata con il supporto tecnico di Skuola.net, ha lo scopo di coinvolgere insegnanti e ragazzi in progetti di informazione e sensibilizzazione sul valore dei dati personali e sull’importanza di difenderli, soprattutto nella dimensione digitale.

L’Autorità mette a disposizione degli istituti scolastici che intendono partecipare un apposito kit didattico per sviluppare percorsi di formazione su temi di grande impatto, soprattutto per i più giovani, tra i quali, in particolare il cyberbullismo; i furti di identità; il revenge porn; la profilazione on line; gli assistenti digitali; i dispositivi indossabili; i deepfake.

Al temine dei percorsi formativi, le classi coinvolte dovranno realizzare dei brevi video sugli argomenti affrontati con i docenti, promuovendo azioni di sensibilizzazione e informazione sulla protezione dei dati e l’educazione digitale. Gli studenti diventeranno quindi, idealmente, degli “ambasciatori della privacy” al fianco del Garante.

Una giuria di esperti valuterà i video realizzati e procederà ad assegnare 3 premi – rispettivamente del valore di 3.000, 1.500 e 1.000 euro – che le scuole vincitrici potranno destinare ad acquisti di tecnologie per la didattica.

Il kit didattico e il regolamento del contest – con tutte le informazioni utili per partecipare e i dettagli sui requisiti tecnici dei video – sono consultabili su www.gpdp.it/ambasciatoriprivacy e https://ambasciatoriprivacy.it.

IMMEDIAPRESS/KASPERSKY E LE MINACCE PER LE AZIENDE NEL 2023: MEDIA BLACKMAIL, FAKE DATA LEAK E PIU’ ATTACCHI VIA CLOUD

(Adnkronos) – Milano, 18 gennaio 2023. I ricercatori di Kaspersky Security Services hanno condiviso le loro previsioni sulle minacce informatiche del prossimo anno, a cui grandi aziende e pubbliche amministrazioni dovrebbero prepararsi. Tra queste, i criminali informatici utilizzano i media per ricattare le aziende, segnalando presunte fughe di dati e ottenendo gli accessi iniziali delle società precedentemente compromesse sulla darknet. Il seguente report fa parte del Kaspersky Security Bulletin (KSB), una serie annuale di previsioni e report analitici sui principali cambiamenti nel mondo della cybersecurity consultabile su Securelist.com.

Nell’ambito del Kaspersky Security Bulletin, gli esperti di Kaspersky Security Services – un gruppo che aiuta le aziende a migliorare i sistemi di sicurezza esistenti e ad attrezzarli per affrontare le nuove minacce – hanno esaminato le minacce che saranno più rilevanti per le grandi aziende e le pubbliche amministrazioni nel prossimo anno.

Blackmailing: i post degli hacker con un countdown per le fughe di dati

Gli autori di ransomware pubblicano sempre più spesso post dedicati a nuovi episodi di hacking di successo eseguiti ai danni di aziende. Il numero è cresciuto nel 2022 e il picco massimo ha superato i 500 post mensili, verificandosi più volte tra la fine del 2021 e la prima metà del 2022. All’inizio del 2021 gli esperti contavano 200-300 post mensili. I cyber criminali sono stati attivi anche alla fine dell’anno scorso: a settembre e novembre, la Digital Footprint Intelligence di Kaspersky ha rilevato rispettivamente circa 400 e 500 post.

I criminali informatici prima contattavano direttamente la vittima ora invece comunicano la violazione direttamente attraverso i loro blog, impostando un conto alla rovescia per la pubblicazione dei dati trapelati, senza chiedere privatamente un riscatto. Questo dark trend continuerà ad aumentare nel 2023 perché, a prescindere dal fatto che la vittima paghi o meno, questa tattica avvantaggia i criminali informatici. I dati, infatti, vengono spesso messi all’asta e l’offerta finale a volte supera il riscatto richiesto.

I criminali informatici pubblicano post su false fughe di notizie per aumentare la propria credibilità

I blog post sull’estorsione attirano l’attenzione dei media e nel 2023 alcuni attori meno noti potrebbero approfittarne, sostenendo di aver presumibilmente violato un’azienda. Indipendentemente dal fatto che l’hacking sia realmente avvenuto o meno, una segnalazione di fuga di notizie potrebbe danneggiare l’azienda. La soluzione per garantire la sicurezza identificare tempestivamente questi messaggi e avviare un processo di risposta simile a quello utilizzato per gli incidenti di sicurezza delle informazioni.

Ancora fughe di dati personali ed e-mail aziendali a rischio

Gli esperti prevedono che la tendenza alla fuga di dati personali continuerà anche nel 2023. Nonostante influisca direttamente sulla privacy delle persone, anche la cybersecurity aziendale messa a rischio. Spesso infatti i dipendenti utilizzano gli indirizzi e-mail lavorativi anche per registrarsi a siti di terze parti, che possono essere esposti a fughe di dati. Quando le informazioni sensibili come gli indirizzi e-mail diventano pubblicamente accessibili, possono suscitare l’interesse dei criminali informatici e innescare discussioni su potenziali attacchi all’azienda su siti web darknet; inoltre, i dati possono essere utilizzati per il phishing e il social engineering.

Malware-as-a-service, attacchi attraverso il cloud e dati compromessi provenienti dal dark web

Gli esperti prevedono inoltre che gli attacchi ransomware diventeranno sempre più simili a causa dell’aumento degli strumenti malware-as-a-service (MaaS). La complessità degli attacchi aumenterà, il che significa che i sistemi automatizzati non saranno sufficienti a garantire una sicurezza completa. Inoltre, la tecnologia cloud diventerà un vettore di attacco popolare, poiché la digitalizzazione porta con sé maggiori rischi per la cybersecurity. Inoltre, nel 2023 i criminali informatici ricorreranno più spesso ai siti dark web per acquistare l’accesso a organizzazioni precedentemente compromesse.

Per proteggere l’azienda dalle minacce Kaspersky consiglia di:
• Tenere sempre aggiornato il software su tutti i dispositivi utilizzati per evitare che gli attaccanti si infiltrano nella rete sfruttando le vulnerabilità. Installare le patch per le nuove vulnerabilità il prima possibile. Una volta scaricata, gli attori delle minacce non possono più sfruttarla.
• Usare le informazioni più recenti di Threat Intelligence per essere sempre al corrente degli attuali TTP utilizzati dagli attori delle minacce.
• Utilizzate la Digital Footprint Intelligence per aiutare gli analisti della sicurezza a esaminare la situazione delle risorse aziendali da parte di un avversario, scoprire tempestivamente i potenziali vettori di attacco a loro disposizione e regolare di conseguenza le difese.
• In caso di incidente, il servizio Kaspersky Incident Response consente di reagire e ridurre al minimo le conseguenze, in particolare di identificare i nodi compromessi e di proteggere l’infrastruttura da attacchi simili in futuro.

Messina Denaro: eccessivo pubblicare referti e dettagli strettamente clinici

(GARANTE PRIVACY) – COMUNICATO STAMPA, 18 GEN – Anche in casi di vicende di assoluto interesse pubblico, riguardanti persone che si sono macchiate di crimini orribili, la pubblicazione integrale di referti, o la diffusione di dettagli particolareggiati presenti nelle cartelle cliniche relativi a patologie, non appare giustificata.

E’ quanto ribadisce il Garante che richiama l’attenzione di media, siti web e social media al rigoroso rispetto del principio di essenzialità fissato dalle Regole deontologiche per l’attività giornalistica.

L’Autorità ha già avviato iniziative di sua competenza.

Sanità: liste di attesa, Garante privacy avvia istruttoria su algoritmo Regione veneto

(GARANTE PRIVACY) – COMUNICATO STAMPA, 18 GEN – Il Garante per la protezione dei dati personali ha inviato alla Regione Veneto una richiesta di informazioni per verificare la conformità alla normativa privacy di una delibera, in base alla quale non sarebbero più i medici di medicina generale a scegliere la classe di priorità della prestazione richiesta per il paziente, ma un sistema basato sull’intelligenza artificiale. Sarebbe in sostanza un algoritmo a stabilire i tempi di attesa per le prestazioni prescritte.

Di fronte ad un possibile trattamento su larga scala di dati particolarmente delicati come quelli sulla salute, che coinvolgerebbe peraltro un numero rilevante di pazienti, il Garante ha deciso di avviare un’istruttoria. L’iniziativa della Regione era stata segnalata da alcuni articoli di stampa.

Entro 20 giorni la Regione Veneto dovrà comunicare all’Autorità ogni elemento utile alla valutazione del caso, precisando in particolare se l’attribuzione della classe di priorità delle prestazioni sanitarie (urgente, breve, differita, programmata) sia realmente effettuata in forma automatizzata, attraverso algoritmi. L’indicazione della classe di priorità non sarebbe, peraltro, modificabile dal medico.

La Regione dovrà indicare la norma giuridica alla base del trattamento, la tipologia di algoritmo utilizzato, i data base e i tipi di informazioni e documenti clinici che verrebbero trattati.

Dovrà inoltre specificare le modalità utilizzate per informare gli assistiti dell’iniziativa, fornire elementi sulla valutazione di impatto effettuata e indicare il numero di pazienti coinvolti dal trattamento.