Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital4Executive il 10 ottobre 2017.

Le violazioni della sicurezza dei dati personali non riguardano solo la privacy. Gli adempimenti sono particolarmente rilevanti nel settore finance, chiamato a rispondere su più fronti: servizi fiduciari, tutela di network e sistemi informativi, sicurezza informatica. Con comunicazioni al Garante per la Privacy, all’organismo di vigilanza, al CSIRT e a Banca d’Italia o BCE. Oltre a eventuali notifiche ai soggetti direttamente interessati.

“Data breach” è termine ormai consueto nel linguaggio quotidiano di imprese e operatori: indica ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali. Questa è la definizione offerta dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 abrogherà la direttiva 95/46/CE e detterà la nuova disciplina in materia di privacy.

Il termine però non è nuovo e gli adempimenti successivi al data breach (come, ad esempio, la notifica) nemmeno: già il nostro Codice in materia di protezione dei dati personali (il d.lgs. 30 giugno 2003, n. 196) menziona e disciplina l’eventualità di “incidenti” della sicurezza unitamente agli adempimenti ad essi conseguenti.

L’attenzione rivolta a questi ultimi è recentemente aumentata proprio per il nuovo Regolamento europeo, che ha dettato una disciplina comune a tutti i titolari del trattamento (quella del Codice è riservata ai soli fornitori di servizi di comunicazione elettronica), specificando le modalità di notifica del data breach all’autorità di controllo, e di comunicazione all’interessato a cui i dati oggetto di violazione si riferiscono.

Occorre però specificare che si tratta di adempimenti non sempre obbligatori, a cui è necessario procedere solo se la violazione costituisce un rischio elevato per i diritti e le libertà delle persone fisiche. A prescindere dal grado di rischio, invece, il Regolamento prevede che, a determinate condizioni, la banca-titolare del trattamento possa essere esonerata dalla comunicazione all’interessato, come nel caso in cui siano state adottate misure tecniche e organizzative idonee a rendere i dati personali incomprensibili, quali ad esempio la cifratura.

Tuttavia non si può considerare il data breach soltanto alla luce della regolamentazione in materia di privacy. L’occorsa violazione della sicurezza è infatti oggetto di diverse discipline di settore e, per la peculiarità e la sensibilità delle informazioni coinvolte, risulta particolarmente rilevante nell’ambito bancario. In caso di data breach, le banche sono quindi tenute ad agire su più fronti per garantire una piena osservanza delle normative a cui sono assoggettate. Di seguito l’elenco.

Continua su DIGITAL4EXECUTIVE

Giusella Finocchiaro

Laura Greco

Facebook-loginUna falla del sistema di sicurezza avrebbe esposto al pubblico l’identità di oltre 1000 lavoratori afferenti a diversi dipartimenti della compagnia californiana, tra questi anche un moderatore che era intervenuto su post di sospetti terroristi e che ora teme per la sua incolumità.

Com’è noto, la policy di Facebook prevede che i moderatori controllino ed eventualmente rimuovano i contenuti sessualmente espliciti, o quelli che incitano all’odio, alla violenza o che contengono propaganda terroristica. La procedura prevede che i contenuti vengano rimossi in modo anonimo, senza un confronto con il moderatore: l’utente i cui contenuti vengono rimossi riceve solamente una comunicazione standard da parte del social network.

Purtroppo questo meccanismo si è recentemente inceppato. Il Guardian ha recentemente reso noto che un bug nel software ha esposto al pubblico i profili personali dei moderatori, i cui nomi sono apparsi come notifiche nell’elenco delle attività dei Gruppi di Facebook che ricevevano moderazioni, tra cui diversi gruppi filoterroristici.

Degli oltre 1000 impiegati coinvolti, 40 lavorano nell’unità anti-terrorismo di Facebook con base a Dublino. Tra questi sembra che in particolare 6 moderatori siano stati individuati da Facebook stessa come ad alto rischio, in quanto il loro profilo è stato visitato da potenziali terroristi. Uno dei moderatori, un ventenne di origine irachena rifugiato in Irlanda da bambino e con una storia familiare di persecuzioni politiche, ha dovuto licenziarsi e lasciare il Paese per nascondersi da 7 simpatizzanti terroristi dell’IS che aveva provveduto a bannare dal social network nell’ambito del suo lavoro.

Il lavoro dei “community operations analysts”, i moderatori di Facebook, è considerato ad alto rischio di burn out per via dell’impatto giornaliero con contenuti di violenza inaudita, basti pensare che su Facebook vengono pubblicati live-stream e video di suicidi, omicidi, assalti sessuali ecc.. Generalmente i moderatori sono giovani e il loro salario è tipicamente basso (13 euro all’ora), anche perché non sono dipendenti di Facebook ma vengono “somministrati” da un’agenzia di outsourcing, la Cpl Recruitement. Lo stesso Guardian, aveva denunciato l’impatto psicologico di questo lavoro in un articolo di qualche mese fa.

Facebook ha confermato il security breach, avvenuto negli ultimi mesi del 2016, e ha reso noto che ha già messo in atto migliorie tecniche volte ad evitare che questi incidenti possano ripetersi.

Il primo allarme riguardo ad una possibile falla di sicurezza era stato scoperto dai moderatori stessi, insospettiti dall’aver ricevuto richieste da amicizia da profili affiliati ai gruppi terroristici su cui stavano lavorando. Anche in seguito alla scoperta del bug da parte dei programmatori, la falla è rimasta scoperta per altre due settimane. In totale, i nomi dei moderatori sono rimasti visibili per oltre un mese.

Nel tentativo di compensare, Facebook ha offerto ai sei moderatori esposti a rischio, l’installazione gratuita di sistemi di sicurezza nelle loro case e il trasporto controllato tra casa e lavoro. Cpl Recruitment ha inoltre offerto ai suoi lavoratori assistenza psicologica.

Nel giugno 2017 il moderatore iracheno ha presentato un esposto contro Facebook e Cpl Recruitment presso l’Injury Board di Dublino, chiedendo un risarcimento per danni morali.

La falla nella sicurezza di Facebook e le sue possibili conseguenze riporta in primo piano il tema della valutazione dei rischi da parte del titolare del trattamento dei dati, sottolineata da Giusella Finocchiaro nel post di questo blog disponibile cliccando QUI.

Le autorità europee per la protezione dei dati del gruppo Article 29 Working Party hanno pubblicato un report relativo alle consultazioni avvenute in seno al Gruppo su aspetti controversi del Regolamento privacy, in particolare sul concetto di “consenso”, sull’adempimento relativo alla notificazione di data breach e sull’attività di profilazione.

Com’è noto il Regolamento europeo 679/2016 sul trattamento dei dati personali, già in vigore dal 24 maggio 2016, sarà pienamente efficace dal 25 maggio 2018. Allo scopo di intervenire tempestivamente con implementazioni e modifiche il gruppo Article 29 Working Party  ha organizzato alcuni workshop volti a costruire un confronto con partecipanti provenienti dal settore industriale europeo, dalle università, dal mondo associativo e dalla società civile. All’ultimo workshop, tenutosi in aprile a Bruxelles sono intervenuti 90 partecipanti che hanno dialogato con i Garanti privacy Europei su particolari aspetti del Regolamento Europeo.

Sul tema del “consenso”, che costituisce la principale base legale del trattamento dei dati, è emerso che in alcuni casi la definizione di consenso contenuta nel Regolamento potrebbe non rappresentare una base affidabile per l’utilizzo dei dati. Particolare preoccupazione desta il trattamento di dati relativi ad un minore perché attualmente non c’è un modo si verificare l’età di chi presta un consenso online né è possibile verificare l’identità di colui che dichiara online di detenere la responsabilità genitoriale.

Per quanto riguarda il consenso al trattamento dei dati utilizzati per fini di ricerca, sono state sollevate delle perplessità riguardo l’utilizzo dei dati per fini secondari alla ricerca.

I partecipanti hanno anche espresso incertezza riguardo alla possibilità di ritiro di un consenso già accordato e alle possibili conseguenze che affronta chi non accorda il proprio consenso. Particolare perplessità sono state espresse in merito a quelle situazioni in cui chi non dà il consenso non può usufruire di un servizio.

Un altro tema su cui sono state espresse perplessità riguarda le notifiche dei “data breach”. Dai partecipanti è emersa la necessità di una maggiore flessibilità sul contenuto della notifica in considerazione del danno reputazionale che si profila per le compagnie vittime di attacchi.

Viene inoltre richiesta  maggiore chiarezza sui sulle modalità. In particolare, si richiedono chiarimenti sul destinatario della notifica nel caso di dati relativi a cittadini di diversi paesi. E’ necessario comunicare la notifica alle Authority di ogni stato coinvolto?

I partecipanti si sono inoltre confrontati sul tema della profilazione come particolare trattamento dei dati personali. Ci sono molte forme di profilazione che variano da settore a settore e non possono essere regolamentate da un’unica disposizione. È stata dunque richiesta la produzione di linee guida differenziate per tipologia. Inoltre le linee guida dovranno tenere conto delle finalità diverse per cui si fa profilazione. A questo proposito è emerso il dubbio se non ci debba essere una limitazione nelle tipologie di dati utilizzabili. In particolare per quanto riguarda dati di minori. I partecipanti hanno anche obiettato che attualmente non c’è una chiara distinzione tra le profilazioni basate su intervento umano e quelle invece completamente automatizzate.

L’intero report dell’incontro è disponibile sulla pagina della Commissione Europea dedicata all’Article 29 Working Party.

posted by admin on maggio 24, 2016

data breach

(No comments)

Il Garante per la protezione dei dati personali ha pubblicato un’infografica volta a fare il punto sui provvedimenti che introducono per amministrazioni pubbliche e aziende l’obbligo di comunicare i casi in cui – a seguito di attacchi informatici, accessi abusivi, incidenti, incendi e altre calamità – si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.

Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante privacy ha adottato negli anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

I casi e gli adempimenti previsti dai provvedimenti del Garante riguardano le aree della Biometria, delle Società telefoniche, delle Pubbliche Amministrazioni e del Dossier Sanitario Elettronico. Sono riassunti in una infografica che, con mere finalità divulgative, riassume i casi finora esaminati.

Infografica Garante Privacy

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema delle responsabilità e degli oneri del controller e la figura del Data Protection Officer.

La Proposta di regolamento responsabilizza maggiormente i controller (titolari del trattamento), i quali saranno, in particolare, gravati dalla predisposizione di misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (art. 30). A carico dei medesimi viene posto, inoltre, l’obbligo di comunicare senza ritardo sia alle autorità sia agli interessati i cc.dd. data breach, ossia le violazioni dei dati avvenute durante le operazioni di trattamento (artt. 31 e 32).

Viene poi prevista la figura dei joint controller (contitolari), i cui ruoli e le cui responsabilità dovranno essere ripartite sulla base di un accordo a cui gli stessi interessati potranno far riferimento, fatta salva una diversa determinazione da parte della legge europea o nazionale (art. 24).

A tutela del rispetto dei diritti e delle libertà fondamentali dei cittadini e a garanzia della conformità delle operazioni di trattamento al Regolamento, vengono confermate le figure del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) e di una Supervisory Authority indipendente a livello nazionale (rispettivamente, artt. 35 e 46). Mentre il primo dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili, l’Autorità di sorveglianza dovrà essere obbligatoriamente istituita in ogni Stato membro. Quest’ultima ha, tra gli altri, il primario obiettivo di garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’Unione europea (art. 46), potendo contare anche sui meccanismi di one-stop-shop (o “sportello unico”) che prevedono una collaborazione reciproca tra le diverse autorità nazionali e la possibilità di adottare una decisione di controllo unica nei casi transfrontalieri che comportano un coinvolgimento plurimo delle Autorità (art. 54a).

In quest’ottica di mutua assistenza è da segnalare anche l’istituzione di un Comitato europeo per la protezione dei dati (art. 64), che dovrebbe comprendere rappresentanti di tutte le 28 Autorità di controllo indipendenti e sostituire il c.d. “Gruppo Art. 29”, cioè il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, di cui all’articolo 29 della dir. 95/46/CE.

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco

In seguito all’attacco hacker di alcune settimane fa, i dati sensibili degli iscritti ad Ashley Madison, portale di dating espressamente dedicato agli incontri extraconiugali, sono stati resi pubblici.

Come già riportato su questo blog, lo scorso luglio il gruppo di hacker “Impact Team” aveva minacciato di rendere pubblici i dati dei 37 milioni di utenti registrati sul portale se la compagnia Avid Life Media non avesse chiuso i due siti di appuntamenti Ashley Madison e Established Men, istantaneamente e in maniera definitiva.

Nei giorni scorsi, vista la decisione Avid Life Media di non sottostare alle richieste degli estorsori, gli hacker hanno messo in pratica le minacce rendendo i file accessibili online con evidente e dirette conseguenze per la vita privata delle persone coinvolte.

I dati ammontano a un totale di 9,7 GB, e comprendono i nomi degli utenti, i loro indirizzi email, le conversazioni private e le transazioni compiute tramite carta di credito.

Le informazioni riguardano sia gli attuali iscritti al sito sia coloro che in passato hanno posseduto un account e che successivamente ne hanno chiesta e ottenuta la cancellazione. Sebbene in molti casi gli utenti abbiano usato false generalità per registrarsi sul sito, i profili violati contengono anche numeri di carte di credito e indirizzi email, in molti casi riconducibili anche a enti governativi, militari e parastatali.

La diffusione dei dati è stata accompagnata da un messaggio degli hacker che accusa Avid Life Media di ingannare i propri utenti attraverso l’utilizzo di profili femminili virtuali fittizi creati per intrattenere ed equilibrare la sovrabbondanza di profili maschili; oltre a ciò, la compagnia è stata accusata di violare la privacy dei suoi iscritti perché conserva i dati personali degli utenti che ne avevano chiesto a rimozione attraverso un servizio a pagamento che garantiva la cancellazione dalla piattaforma di tutti i dati sensibili.

L’azienda Avid Life Media ha replicando sottolineando di non ritenere l’attacco subito alla stregua di un atto di denuncia, ma di un semplice atto criminale.

A rischio i dati sensibili degli iscritti ad Ashley Madison, un portale di dating espressamente dedicato agli incontri extraconiugali.

Un gruppo di hacker, autonominatosi Impact Team, si è servito di una falla del sito web per venire in possesso dei dati sensibili di 37 milioni di utenti.

I dati riguardano non solo gli attuali membri, ma anche coloro che in passato hanno posseduto un account e che successivamente ne hanno chiesta e ottenuta la cancellazione.

Noel Bilderman, Ceo della Avid Life Media, società proprietaria del sito, ha confermato la notizia, senza però offrire informazioni ulteriori sulla gravità del furto avvenuto. Impact Team, che ha invece dichiarato di essersi impossessato della totalità dei dati disponibili, ha intimato la chiusura immediata e definitiva di Ashley Madison e Established Men, altro sito di dating controllato dalla Avid Life Media. In caso di rifiuto, la totalità dei dati dei profili, i nomi, gli indirizzi, i numeri delle carte di credito, le transazioni bancarie e le conversazioni private degli utenti iscritti saranno resi pubblici.

Nel 2011, Ashley Madison si era reso noto in Italia per una campagna pubblicitaria che faceva esplicito riferimento alle vicende private dell’allora Presidente del Consiglio. In quel periodo oltre 200.000 italiani decisero di creare un account.

La natura dei dati sensibili raccolti dal portale fa ipotizzare gravi danni alla sfera privata di molti cittadini in caso di diffusione non autorizzata.

posted by admin on aprile 27, 2015

Computer Crimes, data breach

(No comments)

Documenti non riservati della Casa Bianca sarebbero stati raggiunti da una azione di hackeraggio.

Il New York Times ha recentemente riferito di un attacco informatico, presumibilmente operato da hacker russi, eseguito a danno degli account del presidente degli Stati Uniti. L’azione, che sarebbe stata compiuta l’anno scorso, è stata individuata e bloccata dal Joint Worldwide Intelligence Communications System (Jwics), il sistema di difesa governativo per le informazioni classificate della Casa Bianca.

Stando a quanto riferito al quotidiano da un rappresentate dell’amministrazione, non esiste prova di intrusione nell’account che il presidente Obama usa abitualmente tramite il suo BlackBerry, i cui server sono protetti. Ad essere colpito sarebbe stato un indirizzo di posta elettronica utilizzato dallo staff del presidente per la comunicazione con l’esterno, riguardante informazioni non riservate, e perciò non coperto dal sofisticato sistema di sicurezza della Casa Bianca. Attraverso questo account, gli hacker avrebbero avuto accesso a mail inviate e ricevute da persone che si relazionano quotidianamente con Obama.

I contenuti violati comprendono “appuntamenti, scambi di mail con ambasciatori e diplomatici, discussioni riguardo strategie” che coinvolgono inevitabilmente l’attività politica del presidente. Il NYT sottolinea come l’attacco appaia “più invasivo e preoccupante di quanto pubblicamente dichiarato”. Non è al momento noto il numero e il contenuto delle mail a cui gli hacker hanno avuto accesso.

All’inizio di aprile, l’amministrazione Obama aveva diffuso la notizia di un attacco informatico che aveva coinvolto i sistemi del Dipartimento di Stato nel corso del 2014, senza però specificarne l’obiettivo e senza offrire notizie più dettagliate degli autori.

Negli Stati uniti la notizia ha riaperto il dibattito sulla sicurezza nazionale: già nel dicembre 2014 l’FBI aveva indicato la Corea del Nord responsabile dell’azione che a novembre aveva interessato la casa di produzione Sony Pictures, mentre nel 2008 era stata la stessa campagna elettorale di Obama ad essere colpita da hacker cinesi.

Il NYT riferisce di una inchiesta in corso che riconduce ad hacker “presumibilmente legati al governo russo, se non addirittura suoi dipendenti”. In proposito, il portavoce della Casa Bianca Josh Earnest, ha espresso l’intenzione degli investigatori di non voler precisare l’identità degli hacker.

Il caso, verificatosi in un momento di tensione diplomatica con il governo russo, rappresenta un ulteriore elemento critico nei rapporti fra i due paesi.

Comunicati i dati relativi alle attività investigativa e sanzionatoria dell’anno trascorso, e il piano ispettivo del primo semestre 2014.

Aziende e Pubblica Amministrazione non informano adeguatamente utenti e cittadini dell’uso che fanno dei loro dati personali, e sono ancora molti i casi in cui le informazioni personali risultano utilizzate senza il consenso degli interessati. Il resoconto del 2013 delle attività investigative e sanzionatorie svolte dal Garante fa emergere le carenze di trasparenza e messa in sicurezza dei dati personali da parte di chi li usa, li gestisce e controlla.

Le ispezioni effettuate, focalizzate in particolare sull’attività di telefonate promozionali e banche dati pubbliche, ma anche su novità come l’uso dei sistemi di localizzazione satellitare e sui nuovi strumenti di mobile payment, sono state 411 (+4% in più rispetto al 2012), per un un totale riscosso dall’erario da parte di soggetti pubblici e privati di oltre 4 milioni di euro.

Gli 850 procedimenti sanzionatori avviati (578 nel 2012, con un aumento del 47%) hanno riguardato la omessa o inidonea informativa (476 casi), il trattamento illecito dei dati (277), l’utilizzo senza consenso dei dati personali, la mancata adozione di misure di sicurezza e le violazioni connesse alla conservazione dei dati di traffico telefonico, all’omessa notificazione al Garante e all’inosservanza dei provvedimenti dell’Autorità.

Si registra inoltre una crescita delle segnalazioni all’Autorità giudiziaria (71, 27% in più rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

Oltre alla prosecuzione dei controlli già avviati e degli accertamenti conseguenti a segnalazioni e reclami, il Garante annuncia per il primo semestre 2014 l’avvio di nuove ispezioni in ambiti significativi e la pianificazione di circa 200 accertamenti rispetto ai nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazioni dei database causate da attacchi informatici o eventi avversi.