Piano ispettivo del Garante privacy per il primo semestre 2019: focus su Banche, dati sanitari e carte fedeltà
Con la deliberazione del 14 febbraio 2019, il Garante per la protezione dei dati personali ha approvato il piano ispettivo che si svolgerà, anche per mezzo della Guardia di finanza, nel periodo gennaio-giugno 2019.
L'attività ispettiva per il primo semestre 2019 si concentrerà sugli Istituti di credito, sul settore della sanità, sul sistema statistico nazionale (SISTAN), sul sistema per il rilascio dell’identità federata (SPID), sulle società che svolgono attività di marketing e di profilazione degli interessati che aderiscono a carte di fedeltà, sugli Enti pubblici, con riferimento a banche dati di notevoli dimensioni.
L'attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, riguarderà innanzitutto i trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti; i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; la gestione delle carte di fidelizzazione da parte delle aziende; il rilascio dell´identità digitale ai cittadini italiani (Spid); il Sistema Integrato di Microdati (Sim) dell´Istat.
I controlli si concentreranno anche sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese pubbliche e private che trattano dati sensibili, il rispetto delle norme sull´informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. L'attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi.
Per informazioni è possibile contattarci al numero 011.5534737 oppure via e-mail: info@regip.it
Caratteristiche
REGIP è partner ufficiale dell’Associazione Italiana Acquisti e Supply Management (ADACI)
Partnership REGIP ADACI Acquisti Supply Chain Proprietà Industriale
Caratteristiche
Bando Marchi+3 | Rifinanziamento del programma per la registrazione di Marchi Comunitari ed Internazionali
GDPR E PRIVACY – Marriott ha subito un data breach che ha coinvolto 500 milioni di record dati in tutto il mondo
Le strutture alberghiere del colosso turistico Marriott hanno subito un pesantissimo data breach che ha coinvolto i dati personali di 500 milioni di record dati in tutto il mondo.
A quanto pare, l’attacco informatico va avanti dal 2014 ma la falla nel sistema di sicurezza è stato scoperto solo a settembre di quest’anno. L’azienda ha precisato che il data breach ha interessato il database delle prenotazioni della catena di alberghi Starwood, oltre ai seguenti hotels: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts , che fanno parte del gruppo americano.
Per 327 milioni di ospiti, oltre a nome, indirizzo e numero di telefono, tra le informazioni esposte rientra una combinazione di:
- Indirizzo e-mail
- Numero di passaporto
- Genere e data di nascita
- Informazioni sull'account del programma fedeltà
- Data di prenotazione con le informazioni di arrivo e partenza
Inoltre, per alcuni di questi 327 milioni di ospiti, i numeri di carta di pagamento crittografati e le date di scadenza sono stati potenzialmente compromessi. Stando alle fonti ufficiali non è ancora noto se le informazioni siano state anche decrittografate.
Che cosa è possibile fare?
Se tra il 2014 e il 2018 avete soggiornato, o nel caso di agenzie di viaggio avete prenotato per i vostri clienti una di queste strutture alberghiere, è opportuno avviare tutte le necessarie procedure di controllo per scongiurare un possibile furto di dati personali dei soggetti interessati.
Se pensi di rientrare tra le persone interessate, segui la procedura indicata per mettere subito in sicurezza i tuoi dati personali e tutelare la tua privacy online.
- Cambia tutte le password, gli indirizzi e-mail e gli altri dati associati agli account del programma fedeltà dell'hotel.
- Utilizza una combinazione di lettere maiuscole e minuscole, simboli e numeri.
- Monitora i tuoi conti finanziari e carte di credito utilizzate nel periodo in questione e segnala qualsiasi attività sospetta alla tua banca.
- Fare attenzione ai siti Web che offrono la possibilità di verificare se i propri dati personali sono interessati dalla violazione, in quanto potrebbe trattarsi di un trucco per rubare i dati personali degli utenti.
Questo caso evidenzia l’importanza per le aziende che operano nel settore turistico e non solo nell’adeguarsi al nuovo Regolamento Generale sulla Protezione dei Dati (2016/679) - GDPR.
Ricordiamo che il mancato adeguamento al GDPR prevede pesanti sanzioni amministrative e penali per i Titolari e Responsabili. Il Regolamento fissa esclusivamente il tetto massimo di ammenda, lasciando alla singola Autorità Europea un ampio potere discrezionale in merito al valore economico della singola sanzione.
Da ciò ne deriva che le sanzioni amministrative pecuniarie possono essere somministrate fino a un valore massimo di 10.000.000 di Euro o fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, per violazioni relative agli obblighi del Titolare e del Responsabile del Trattamento.
Le sanzioni amministrative pecuniarie possono altresì innalzarsi fino a un valore massimo di 20.000.000 di Euro o fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, per violazioni relative ai principi di base del trattamento a condizioni relative al consenso o per violazione dei diritti degli interessati o per trasferimenti di dati personali a destinatario in paese terzo all’organizzazione.
REGIP mette a disposizione della propria clientela specifiche figure professionali esperte di temi di Privacy, GDPR (Regolamento Europeo n.679) per supportare le imprese sia in caso di data breach che nelle delicate fasi di adeguamento ed aggiornamento al fine di essere in compliance al Regolamento Generale sulla Protezione dei Dati (2016/679) - GDPR.
Per maggiori informazioni è possibile contattarci al numero 011.5534737 oppure via e-mail: info@regip.it
GDPR – Privacy Aziedale – Regolamento UE 2016/679 – Cosa cambia per le imprese
Il 25 maggio 2016 è entrato in vigore il Nuovo Regolamento Europeo n. 679 (GDPR) relativo alla protezione dei dati che ha modificato in modo sostanziale il quadro normativo in tema di privacy in tutti gli Stati membri dell’Unione Europea.
A partire dal prossimo 25 maggio 2018 tutte le organizzazioni che raccolgono e trattano dati personali dovranno essere conformi al GDPR.
Detto regolamento, uniforma ed armonizza la normativa di protezione dei dati personali a livello europeo, con lo scopo di ottenere un quadro legislativo comune all’interno dei paesi facenti parte dell’UE.
Numerose sono le novità introdotte dal Regolamento che rinnovano organicamente la tutela della privacy e la protezione dei dati personali rispetto all’attuale quadro normativo.
Il GDPR non prevede nessuna esenzione per le piccole o micro imprese. L'unica esenzione riguarda le imprese che non raccolgono dati di persone fisiche ma solo sulle persone giuridiche.
Per rientrare nell'ambito di applicazione del GDPR in realtà è sufficiente avere anche solo un dipendente o un sito internet per la gestione della propria attività commerciale.
Le principali novità sono:
- Ambito di applicazione territoriale del regolamento;
- Introduzione del principio di responsabilizzazione (accountability);
- Responsabilità civile solidale tra titolare, contitolare e responsabile del trattamento;
- Approccio basato sulla “Privacy by design” e “Privacy by default”;
- Adozione di misure tecniche ed organizzative adeguate;
- Valutazione dell’impatto sulla protezione dei dati;
- Obbligo - nella maggior parte dei casi - di tenere il registro delle attività di trattamento;
- Designazione di una figura professionale in qualità di Responsabile della protezione dei dati personali (Data Protection Officer – DPO);
- Notifica e comunicazione degli eventi di “data breach”;
- Nuovo sistema sanzionatorio.
Le imprese dovranno adeguarsi obbligatoriamente entro il termine ultimo del 25 maggio 2018.
REGIP mette a disposizione della clientela specifiche figure professionali esperte di temi di Privacy, GDPR (Regolamento Europeo n.679) per supportare le imprese nelle delicate fasi di adeguamento ed aggiornamento al fine di essere in compliance al regolamento.
Per maggiori informazioni è possibile contattarci al numero 011.5534737 oppure via e-mail: info@regip.it