La view dell’Ivass sui rischi cyber e i presidi che devono adottare gli intermediari.

L’IVASS nei giorni scorsi ha pubblicato l’indagine IVASS sulle polizze di cyber risk. In particolare, il report sottolinea come il cyber risk “può derivare da incidenti che comportano la violazione, la perdita o la diffusione di dati sensibili, di natura personale ma anche finanziaria, truffe ed estorsioni, (…)” e “può a sua volta generare rischi […]

GDPR – marketing via sms senza consenso: come si esprime il Garante privacy

Il Garante per la privacy (provv. del 18 luglio 2023 n. 393, doc. web n. 9939507) ha sanzionato (75 mila euro) recentemente un ente per aver inviato sms promozionali senza il consenso dei destinatari. L’Autorità è intervenuta in seguito al reclamo di alcuni cittadini che lamentavano la ricezione di sms indesiderati e, in un caso, di telefonate promozionali reiterate per sei anni, anche dopo essersi opposti a tali invii e […]

GDPR – GESTIONE DEI DIRITTI DEGLI INTERESSATI E SPAM: le recenti indicazioni del Garante privacy

Il Garante per la privacy ha sanzionato (5 mila euro) recentemente una società che trasmetteva e-mail promozionali anche dopo l’opposizione al trattamento effettuata dall’interessato. Di seguito si riepilogano gli insegnamenti dell’Authority: 👉 l’Autorità ribadisce che tale violazione sussiste anche quando l’invio promozionale indesiderato sia singolo, non distinguendo la disposizione dell’art. 130, commi 1 e 2, […]

GDPR: L’utilizzo degli indirizzi e-mail e indirizzi PEC pubblicati online per attività di marketing: cosa insegna il Garante privacy

Il Garante per la privacy ha sanzionato (10 mila euro) recentemente un’azienda che trasmetteva e-mail promozionali senza consenso estraendo i nominativi da diversi elenchipubblici utilizzando impropriamentela base giuridica del legittimo interesse(provvedimento n. 202 del 17 maggio 2023, doc. web n. 9899880). Si seguito si riportano alcune regole e principi ormai consolidati nella “giurisprudenza” dell’Autorità. Nel dettaglio: 👉 l’invio di comunicazioni tramite sistemi automatizzati (per esempio, e-mail, sms, etc.) è consentito solo […]

Compliance GDPR: per quanto tempo si possono conservare i dati degli (ex) iscritti al servizio newsletter?

La nostra Autorità Garante in un recente provvedimento ha sanzionato una società (provv. n. 188 del 27 aprile 2023, doc. web n. 9902472) per aver conservato per un arco di tempo di dieci anni i dati anagrafici degli utenti disiscritti dal servizio newsletter. Nella fattispecie in parola, in particolare, era emerso che l’azienda aveva conservato quasi 250 mila dati di ex (iscritti) anche a seguito della disattivazione da parte dei medesimi dal servizio.Secondo il Garante, la durata decennale della conservazione dei dati (soprattutto qualora contenente dettagli riferiti a gusti e preferenze […]

Cybersecurity e assicurazioni: regolamento dora, ecco le indicazioni delle autorità europee

Struttura dei dati e strumenti informativi per il networking aziendale e la sicurezza informatica.

Il 6 febbraio scorso sono state pubblicate dalle Autorità di vigilanza europee (EBA, EIOPA ed ESMA) le indicazioni sull’applicazione del regolamento DORA (“Digital Operational Resilience Act”), entrato in vigore il 17 gennaio 2023, le cui norme impatteranno radicalmente sugli operatori del mondo finanziario e assicurativo. DORA introduce, in particolare, specifichi obblighi di gestione dei rischi […]

GDPR e cybersecurity: Garante, non è “compliant” utilizzare il protocollo internet HTTP

rimo piano del browser Web scuro sullo schermo LCD con messa a fuoco superficiale sul lucchetto https.

“Per scongiurare il rischio di furti d’identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”)”. Questo è il principio ribadito recentemente dal Garante nel Provvedimento n. 328 del 6 ottobre 2022 [doc. […]

Cybersecurity e data breach: quanto valgono i dati sottratti

Le violazioni di dati personali non impattano esclusivamente sui profili di security delle aziende ma, soprattutto, determinano importanti conseguenze finanziarie sugli operatori colpiti e anche sui consumatori. Al riguardo, si noti come alcuni report (in particolare, il recente rapporto annuale di IBM Security) abbiano identificato in 143 euro il costo medio di ogni violazione nel […]