Tag: Privacy

Il Regolamento UE n. 2016/679 (GDPR) si applica a tutte le realtà che trattano dati personali, indipendentemente dal settore produttivo. Questo significa che anche i gruppi societari, sia nazionali che internazionali, devono rispettarne le regole.

Ma come funziona la condivisione dei dati all’interno di un gruppo? Quali obblighi hanno le società controllate e la holding? Facciamo chiarezza.

Che cos’è un gruppo societario

Per gruppo societario si intende un insieme di società collegate da un rapporto di controllo esercitato da una società capogruppo (holding).

Questo legame comporta la necessità di scambio costante di informazioni, tra cui:

• banche dati dei dipendenti,
• elenchi clienti,
• altre informazioni di natura personale.

---

GDPR e gruppi societari: cosa prevede la normativa

Il GDPR ha agevolato i trasferimenti di dati personali all’interno dell’Unione Europea, permettendo alle imprese di condividere informazioni tra Stati membri.

Per quanto riguarda i gruppi societari, la norma centrale è l’articolo 26, che introduce l’istituto della contitolarità del trattamento (joint controller agreement).

---

L’accordo di contitolarità (art. 26 GDPR)

Quando due o più titolari determinano congiuntamente finalità e mezzi del trattamento, sono considerati contitolari. In questo caso è necessario stipulare un accordo interno che definisca in modo chiaro:

• Il riparto delle competenze per i trattamenti condivisi
• Le regole per l’esercizio dei diritti degli interessati
• I soggetti responsabili della comunicazione delle informazioni

Il contenuto essenziale dell’accordo deve essere sempre accessibile agli interessati.

---

Condivisione dei dati nei gruppi societari: le regole pratiche

Per garantire un trattamento conforme al GDPR nei gruppi societari è fondamentale:

• Stabilire regole comuni per gestire i dati condivisi
• Mantenere procedure uniformi in caso di violazioni (data breach)
• Assicurarsi che l’informativa agli interessati menzioni esplicitamente la contitolarità, indicando il punto di contatto per le richieste

---

Conclusione

Il GDPR nei gruppi societari richiede un approccio coordinato: non basta condividere i dati per esigenze di business, serve un accordo chiaro e trasparente che tuteli i diritti degli interessati e definisca responsabilità precise.

Le imprese che adottano procedure comuni non solo rispettano la normativa, ma garantiscono maggiore fiducia a dipendenti, clienti e partner.

Sempre più persone sono vittime di telemarketing aggressivo, quando non addirittura di vere e proprie azioni persecutorie da parte di call center o “consulenti indipendenti”.
Si tratta spesso di pratiche illegali, perché chi chiama non è in grado (o non vuole) indicare la fonte da cui ha ottenuto i nostri dati personali.

Perché il telemarketing aggressivo è un problema di privacy

Molti operatori ricorrono a elenchi di contatti acquistati illegalmente o provenienti addirittura dal Dark Web.
Se vuoi verificare se i tuoi dati sono presenti nel dark web, Google mette a disposizione un servizio gratuito di controllo.

Inoltre, chi è iscritto al registro delle opposizioni non può essere contattato, nemmeno nel caso di un precedente consenso alla cessione dei dati. Ignorare questa regola significa commettere un illecito.

---

Le sanzioni del Garante per violazioni sul telemarketing

Il Garante della Privacy ha più volte sanzionato imprese e centri di telemarketing:

• da 60 mila euro (novembre 2023, per un centro di telemarketing),
• fino a 79 milioni di euro (ENEL, per uso illecito di dati).

Questi numeri dimostrano che le autorità non sottovalutano il fenomeno.

---

Un caso concreto di telemarketing aggressivo

Recentemente ho subito almeno due “aggressioni telefoniche” da parte di operatori che non hanno accettato il mio rifiuto. Dopo aver interrotto la chiamata, sono stato richiamato 10 volte da 10 numeri diversi in meno di 3 minuti, con toni scortesi.

Un comportamento che può arrivare a configurare il reato di stalking telefonico (art. 612 bis del codice penale).

---

Come difendersi dal telemarketing aggressivo

1. Iscrizione o rinnovo al registro delle opposizioni

Puoi verificare e rinnovare l’iscrizione al registro delle opposizioni a questo link ufficiale:
Registro delle opposizioni – iscrizione

2. Segnalazione al Garante della Privacy

In caso di chiamate indesiderate, è possibile fare denuncia al Garante a questo indirizzo:
Segnalazione telemarketing illecito

La procedura è semplice e immediata. Chiunque può farlo, anche chi non ha particolare dimestichezza con gli strumenti digitali.

---

Perché segnalare conviene a tutti

Ogni regolamento o legge può sembrare solo burocrazia. Tuttavia, se usato correttamente, porta benefici reali.
Con pochi minuti dedicati alle segnalazioni, è possibile ridurre le chiamate indesiderate e rendere il telemarketing aggressivo sempre meno conveniente per chi lo pratica.

---

Conclusione

La difesa dalla violazione della privacy nel telemarketing dipende anche dal nostro impegno personale.
Iscriversi al registro delle opposizioni e segnalare gli abusi al Garante sono strumenti efficaci per tutelare la propria tranquillità quotidiana.

Francesco De Lucia

La privacy dei pazienti è un aspetto fondamentale nella gestione dei dati sanitari. Una recente sanzione da 10 mila euro del Garante per la protezione dei dati ha colpito un centro medico che, per errore, aveva scambiato nel proprio gestionale le informazioni di due pazienti omonimi.

Violazioni e principi fondamentali

Uno dei pazienti aveva ricevuto SMS di promemoria per visite mai prenotate e riscontrato nella dichiarazione dei redditi fatture per oltre 4 mila euro emesse con il proprio codice fiscale.
Il Garante ha rilevato violazioni ai principi di esattezza, integrità e riservatezza, poiché i dati non erano stati registrati correttamente.

Con il provvedimento, è stato ribadito che anche le strutture sanitarie devono adottare misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali rispetti il Regolamento (UE) 2016/679 – GDPR.

---

12 linee guida per la protezione della privacy dei pazienti

Ecco le principali indicazioni operative per i centri medici:

1. Consapevolezza e formazione: formare tutto il personale sull’importanza della protezione dei dati personali.
2. Designare un DPO: ove previsto, nominare un responsabile della protezione dei dati.
3. Limitare l’accesso: consentire l’accesso ai dati solo al personale autorizzato.
4. Crittografare i dati: proteggere con crittografia quelli sensibili.
5. Sistemi di sicurezza informatica: firewall, antivirus e altre misure di protezione.
6. Backup regolari: effettuare copie di sicurezza e testarne l’affidabilità.
7. Distruzione sicura dei dati: eliminare correttamente quelli non più necessari.
8. Monitoraggio delle attività: rilevare accessi sospetti o anomali.
9. Politiche di accesso e privacy: stabilire e comunicare regole chiare.
10. Conformità normativa: rispettare il GDPR e le leggi locali in materia.
11. Proteggere i dati fisici: archiviazione sicura di documenti cartacei e dispositivi.
12. Consenso informato: ottenere il consenso per raccolta e uso dei dati personali.

---

Conclusione

Proteggere la privacy dei pazienti non è solo un obbligo di legge, ma un impegno etico e professionale. Le strutture sanitarie che adottano buone pratiche evitano sanzioni e costruiscono un rapporto di fiducia con i pazienti.

L’invio di email pubblicitarie senza il consenso esplicito dei destinatari è considerato spam e viola le normative sulla privacy e il trattamento dei dati personali.

Di recente, il Garante per la protezione dei dati personali ha sanzionato con 10.000 € una società che inviava comunicazioni promozionali senza consenso. Il fatto che i messaggi contenessero un link di disiscrizione non ha reso lecito l’invio.

Il consenso è la base per le email pubblicitarie

Il caso è nato dalla segnalazione di un utente che lamentava la ricezione continua di email indesiderate, senza risposta alla sua opposizione.

La società ha provato a giustificarsi dichiarando di aver estratto i nominativi da elenchi pubblici e di aver trattato i dati sulla base del “legittimo interesse”. Tuttavia, il Garante ha ribadito che:

• l’invio di comunicazioni automatizzate è lecito solo con il consenso dell’interessato;
• l’uso di elenchi pubblici non giustifica trattamenti non autorizzati;
• chi invia email promozionali senza consenso rischia pesanti sanzioni.

Questo provvedimento rappresenta un richiamo importante per tutte le aziende: il consenso non può mai essere dato per scontato e deve essere raccolto in modo libero, specifico e documentabile. Anche la gestione delle richieste di revoca del consenso deve essere tempestiva ed efficace, perché ignorarle comporta un ulteriore aggravamento della posizione dell’organizzazione.

Per approfondire, consulta direttamente il Regolamento UE 2016/679 – GDPR.

---

Cosa fare se ricevi email pubblicitarie senza consenso

Se sei destinatario di comunicazioni non richieste, ecco alcune misure pratiche:

• Segnala come spam: i principali provider riconosceranno i futuri messaggi come indesiderati.
• Cancellazione o disiscrizione: se presente, utilizza il link di opt-out.
• Blocca il mittente: aggiungi l’indirizzo alle blacklist del tuo client di posta.
• Segnalazione al Garante: in caso di violazioni, puoi rivolgerti all’Autorità Garante Privacy.

È bene ricordare che segnalare questi comportamenti non è solo un diritto del singolo, ma contribuisce anche a creare un ambiente digitale più sicuro e rispettoso delle regole. Le azioni collettive degli utenti aiutano le autorità a individuare e sanzionare chi non rispetta la normativa.

---

Conclusione

Le email pubblicitarie inviate senza consenso non solo sono fastidiose, ma espongono le aziende a sanzioni significative.
Rispettare il GDPR significa tutelare i diritti degli utenti e rafforzare la fiducia nei confronti dell’organizzazione.

Vuoi approfondire questi temi? Partecipa a una call in Zoom con il nostro esperto privacy: compila il form qui sotto.

La cybersecurity è oggi una delle sfide principali per aziende e privati. Secondo i dati di Cybersecurity Ventures, i costi globali del crimine informatico cresceranno del 15% all’anno, fino a raggiungere i 10,5 trilioni di dollari entro il 2025.

I cyber attacchi colpiscono chiunque – privati, PMI e multinazionali – e nel 95% dei casi la causa è l’errore umano. Ciò dimostra come la cybersecurity sia strettamente legata alla formazione e alla consapevolezza degli utenti.

Cybersecurity: i principali attacchi tra phishing e ransomware

Cos’è il phishing

Il phishing è una delle tecniche più diffuse di cybercrime. Consiste nell’inviare comunicazioni false (di solito email) che inducono l’utente a cliccare su link o allegati dannosi, al fine di rubare credenziali, numeri di carte di credito o diffondere malware.

Varianti comuni del phishing:

• Smishing (via SMS)
• Vishing (truffa telefonica)
• QRishing (QR code fasulli con link malevoli)
• Spear phishing (attacco mirato a una specifica organizzazione)
• Watering hole (infezione di siti visitati dalle vittime)

Cos’è un ransomware

Un ransomware è un malware che blocca l’accesso ai dati di un dispositivo tramite crittografia e spesso li sottrae per poi minacciare la loro diffusione (double extorsion).

L’attaccante chiede un riscatto, che negli ultimi anni è cresciuto fino a raggiungere milioni di dollari.
I principali vettori di infezione sono:

• email di phishing
• navigazione su siti compromessi
• chiavette USB e supporti rimovibili
• software scaricati illegalmente
• connessioni remote (es. VPN)

---

Cybersecurity: esempi di attacchi e rischi concreti

• Email di phishing → rappresentano circa l’80% dei vettori di attacco.
• File malevoli (Word, Excel, PDF) → sfruttano le macro per inoculare malware.
• Attacchi omografici (typosquatting) → registrazione di domini simili a quelli reali per ingannare l’utente.

Questi attacchi minacciano non solo la continuità operativa, ma anche la conformità normativa. Infatti, nel caso di furto di dati personali, un’azienda rischia pesanti sanzioni ai sensi del Regolamento UE 2016/679 – GDPR.

---

Cybersecurity: come difendersi

La prevenzione è l’arma principale. Ogni organizzazione dovrebbe adottare misure di cybersecurity come:

• prestare attenzione a email e allegati sospetti
• non inserire chiavette USB sconosciute
• disabilitare le macro nei programmi Office
• effettuare backup periodici
• evitare banner e siti non sicuri
• installare antivirus e sistemi di protezione aggiornati

---

Conclusione

La cybersecurity non è un tema tecnico riservato agli specialisti, ma una responsabilità diffusa. Conoscere e prevenire minacce come phishing e ransomware permette di ridurre i rischi, proteggere dati sensibili e garantire continuità aziendale.