In questo articolo parleremo delle ultime notizie sulla protezione dei dati. In particolare, parleremo delle nuove prospettive riguardanti l’IA, andremo a capire cosa è accaduto in occasione del clamoroso attacco hacker subito da InfoCert, affronteremo la questione del backup delle e-mail dopo la cessazione del rapporto di lavoro e scopriremo il motivo per cui LinkedIn ha subito una sostanziosa multa.
AI Act, i divieti assoluti
Tra il 6 e l’8 dicembre scorsi si sono tenuti nuovi negoziati intorno all’AI Act. Le riunioni del Trilogo (Parlamento europeo, Consiglio dell’Unione europea e Commissione europea) hanno, in particolare, chiarito i divieti assoluti riguardanti l’Intelligenza Artificiale, fra i quali:
- manipolazione comportamentale cognitiva
- categorizzazione biometrica allo scopo di dedurre dati sensibili
- riconoscimento delle emozioni sul posto di lavoro
- attribuzione di un credit scoring (punteggio sociale)
- scraping facciale non mirato, tratto da internet o da immagini a circuito chiuso
Ricordiamo che l’IA Act è entrato in vigore l’1 agosto 2024 e, come chiarito dalla Commissione Europea “mira a promuovere lo sviluppo e la diffusione responsabili dell’intelligenza artificiale nell’UE”.
Notizie protezione dei dati: il clamoroso attacco a InfoCert
L’attacco subito da InfoCert nelle scorse settimane ci insegna, una volta di più, come la sicurezza dei dati sia un cammino ricco di insidie. Ma cosa è accaduto?
InfoCert è una azienda specializzata in servizi di certificazione digitale (in tal senso, è tra le fornitrici di SPID e PEC), che negli ultimi giorni di dicembre ha subito il furto di 5,5 milioni di dati. L’allarme ha suscitato clamore proprio per la particolare delicatezza dei dati in possesso della società del gruppo Tinexta.
Ma che fine hanno fatto i dati rubati? Purtroppo, sono apparsi nel deep web. Il furto, infatti, è stato perpetrato da un hacker che ha messo in vendita il database sottratto a InfoCert per 1400 Euro.
I dati violati comprendono 2,5 milioni di indirizzi email, 1,1 milioni di numeri di telefono e dati scaturiti da conversazioni fra utenti e assistenza clienti di InfoCert. L’azienda ha emesso una nota sull’episodio in cui ha rassicurato sul furto.
Le rassicurazioni di InfoCert
“Ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care. I dati interessati sono limitati a quelli necessari per evadere le richieste di assistenza inviate dai clienti mediante il sistema di ticketing”.
“Ribadiamo che la sicurezza e il funzionamento dei servizi SPID, firma digitale e PEC, oltre che di tutti gli altri servizi InfoCert, non sono mai state compromesse dall’illecita sottrazione di dati“.
Purtroppo, l’attacco subito da InfoCert è solo l’ultimo di una serie di minacce che hanno toccato, fra gli altri, colossi come il Ministero degli Esteri e gli aeroporti di Linate e Malpensa. Casi che ribadiscono come la cybersecurity sia un tema quanto mai delicato. Un atteggiamento proattivo, ben sottolineato fra l’altro dal GDPR, è decisivo nella difesa dei dati.
Notizie protezione dati, leggi anche: le strategie efficaci per la sicurezza dei dati
La gestione delle e-mail dopo la fine del rapporto di lavoro
Il Garante ha sanzionato la società Selectra per aver mantenuto attivo e accessibile l’account di posta elettronica di un ex dipendente, anche dopo la cessazione del rapporto di lavoro.
L’intervento del Garante della privacy ha fatto seguito alla denuncia proprio dell’ex dipendente. La sentenza ha messo in rilievo la violazione dei limiti imposti da proporzionalità e minimizzazione sottolineati dal GDPR e verte sul principio di accountability.
Il datore di lavoro deve sempre giustificare le misure adottate. In questo caso, non era necessario conservare le e-mail (tramite software Mail Store) per tre anni. Selectra è stata condannata al pagamento di una sanzione pecuniaria di 80mila euro.
La Maxi multa subita da LinkedIn
A proposito di notizie protezione dati, è interessante il caso che ha recentemente riguardato LinkedIn. Il noto social network è stato condannato al pagamento di una multa pari a 310 milioni di euro.
La sentenza prende le mosse dalla denuncia dell’organizzazione no-profit La Quadrature du Net, datata 20 agosto 2018 per il modo in cui LinkedIn gestisce i dati degli utenti. Ad intervenire è stata l’autorità irlandese per la protezione dei dati che, al termine di un’indagine durata ben 6 anni, ha emesso la condanna e la conseguente maxi sanzione.
Le indagini si sono, in particolare, concentrate sul modo in cui le informazioni degli utenti vengono trattate allo scopo di fornirgli pubblicità mirate.
Il caso è destinato a fare scuola, anche perché si tratta della sesta multa più alta comminata da quando è entrato in vigore il GDPR. LinkedIn, dal canto suo, ha così commentato la notizia. “Pur ritenendo di aver agito in conformità con il (GDPR), stiamo lavorando per garantire che le nostre pratiche pubblicitarie siano in linea con i requisiti imposti dalla sentenza“.
Conformità al GDPR, scegli un alleato sicuro
I casi che hanno riguardato InfoCert, Selectra e LinkedIn fanno capire che nella protezione dei dati nulla deve essere lasciato al caso.
Sei un consulente, un DPO o rappresenti un’azienda o un ente pubblico? GENIAM Privacy supporta la compliance al GDPR con una suite completa, intuitiva ed efficace, grazie alla quale potrai seguire tutte le prescrizioni del Garante e metterti al riparo da sanzioni.
