Borsa: Hong Kong apre a +0,11% (Mon, 23 Sep 2019)
>> Continua a leggere

Manca accordo, Thomas Cook in bancarotta (Mon, 23 Sep 2019)
>> Continua a leggere

Polish DPA imposes €645,000 fine for insufficient organisational and technical safeguards (Fri, 20 Sep 2019)
The President of the Personal Data Protection Office imposed a fine of an amount higher than PLN 2.8 million (ca. 645,000 euros) on Morele.net. The company’s organisational and technical measures for the protection of personal data were not appropriate to the risk posed by the processing of personal data, which means that data of about 2.2 million people have fallen into the wrong hands. There was a lack of appropriate response procedures to deal with the emergence of unusual network traffic, concluded the President of the Personal Data Protection Office (UODO). While imposing the fine, the supervisory authority concluded that the breach which took place in this case was of considerable importance and of serious character, and concerned a large number of persons. In its decision, the supervisory authority also pointed out that, as a result of the infringement, there was a high risk of adverse effects on persons whose personal data fell into the wrong hands, such as identity theft. The data concerned included: name and surname, phone number, email, delivery address. However, in the case of about 35,000 people, the data leaked from their installment loan application. The scope of the data comprised the personal ID number (PESEL number), the series and the number of the identity document, educational background, registered address, correspondence address, source of income, amount of net income, the cost of living of the household, marital status, as well as the amount of credit commitments or maintenance obligations. In the decision imposing the fine, the President of UODO concluded that the company by failing to comply with the required technical means of data protection, has breached, inter alia, the principle of confidentiality, as set out in Article 5 (1)(f) of the GDPR. Therefore, there has been unauthorised access to and obtaining of customers’ data. The authority considered that unsuccessful measures for the authentication of data access were put in place. The company had implemented additional technical security measures after the breach. The investigation revealed that the infringement occurred also because of ineffective monitoring of potential risks. The investigation further revealed other misconduct, but it was the lack of appropriate technical (insufficient safeguards) and organisational measures (on the monitoring of potential risks related to atypical online behaviour) that led to imposing a fine. In determining its amount, however, the President of UODO took account of mitigating circumstances, such as: action taken by the company to put an end to the infringement, good cooperation with the controller and the fact that the company has not breached the  personal data protection law before. To read the full press release in Polish, click here The Polish text of the decision is available here For further information, please contact the Polish DPA: kancelaria@uodo.gov.pl
>> Continua a leggere

The Belgian data protection authority imposes a fine of € 10,000 (Thu, 19 Sep 2019)
The Belgian data protection authority imposed a fine of €10,000 on a merchant for the disproportionate use of the electronical identity card for the purpose of creating a loyalty card. L’Autorité a sanctionné un commerçant qui propose comme seul moyen de création d’une carte de fidélité la lecture de la carte d’identité électronique. L’amende administrative imposée s’élève à 10.000 €. La carte d’identité électronique contient de nombreuses données sur son titulaire et l’utilisation de ces données, sans consentement du client, est considérée comme disproportionnée au regard du service proposé. Exposé des faits : lecture de l'eID en échange d’une carte de fidélité L’APD a reçu une plainte concernant l’utilisation par un commerçant de la carte d’identité électronique (eID) dans le cadre d’un service commercial, à savoir la création d’une carte de fidélité. Le plaignant ne voulant pas présenter sa carte d’identité, la carte de fidélité lui a été refusée alors qu'il a proposé de transmettre par écrit au commerçant les données le concernant pour pouvoir bénéficier d’une carte de fidélité. La Chambre Contentieuse de l’APD a jugé cette pratique non conforme au Règlement général sur la protection des données (RGPD) pour plusieurs motifs. Non-respect du principe de minimisation des données Le principe de minimisation est un principe important dans le RGPD qui impose aux responsables du traitement de limiter la quantité de données personnelles collectées ainsi que la durée de conservation de celles-ci à ce qui est strictement nécessaire au vu du but poursuivi. Pour la création de la carte de fidélité, le commerçant exige de lire des données sur l’eID telles que le nom, les prénoms, l'adresse, etc., mais ce dernier veut également accéder à la photo et au code-barres qui est lié au numéro de Registre national. La Chambre Contentieuse rappelle que le numéro de Registre national est une donnée qui est soumise à des règles strictes quant à sa consultation et à son utilisation. La Chambre Contentieuse estime par conséquent que la lecture et l’utilisation de toutes les données présentes sur la carte d’identité électronique dans un cadre commercial sont des traitements de données disproportionnés au regard de l’objectif de création d’une carte de fidélité. Absence de consentement valable Un traitement de données à caractère personnel, pour être licite, doit reposer sur l’une des six bases légales prévues par le RGPD. Le commerçant invoque le consentement comme base légale pour justifier le traitement des données reprises sur l'eID du client mais la Chambre Contentieuse conteste la validité de cette base légale. Pour être valable, un consentement doit être libre, spécifique et informé. La Chambre Contentieuse estime que le consentement donné dans le cas d’espèce ne peut être considéré comme un consentement donné librement car aucune alternative n’est proposée aux clients. Si les clients refusent que leur carte d’identité électronique soit utilisée pour la création d’une carte de fidélité, ils sont de ce fait pénalisés et ne peuvent jouir d’avantages et de réductions car aucune alternative ne leur est proposée. Hielke Hijmans, Président de la Chambre Contentieuse explique : "Les entreprises ou commerçants doivent avoir une approche plus consciencieuse lorsqu'ils réclament toutes sortes de données à caractère personnel pour un service, surtout en l’absence d’un consentement valable du client. Le RGPD prévoit des principes et des obligations qui doivent servir de fil conducteur pour traiter correctement des données à caractère personnel." Sanctions Au vu du non-respect du principe de minimisation des données et de l’absence d’une base légale valable, la Chambre Contentieuse décide d’ordonner au commerçant de se conformer aux exigences du RGPD et de lui imposer une amende administrative s’élevant à 10.000 €. "L’utilisation de cartes d’identité électronique comme cartes de fidélité est une pratique courante. Cependant, le RGPD ne permet pas d’accéder à de nombreuses données à caractère personnel si celles-ci ne sont pas strictement nécessaires pour l’offre d’un service et sans une base légale valable. La Chambre Contentieuse considère qu’il s’agit d’une infraction grave et impose de ce fait une amende s’élevant à 10.000 €", précise Hielke Hijmans, Président de la Chambre Contentieuse. David Stevens, Président de l'APD : “Cette décision constitue une nouvelle balise importante du chemin vers une meilleure protection de la vie privée de nos citoyens." To read the full press release in Dutch, click here For further information, please contact the Belgian DPA: contact@apd-gba.be
>> Continua a leggere

Gli ultimi articoli dell'Avv. Emiliano Vitelli










Le slide del Convegno sul GDPR tenuto dall'Avv. Emiliano Vitelli il 28 iugno 2017, con focus sul data breach QUI

Pubblicato il libro sulla nuova legge sul Cyberbullismo con un contributo dell'avv. Emiliano Vitelli sugli aspetti inerenti il processo penale monirile.

Le slide del corso di formazione tenuto dall'Avv. Vitelli presso il Comune di Grottaferrata in materia di delitti contro la pubblica amministarzione e riforma sull'anticorruzione QUI

Le dispense sintetiche del corso sul Codice amministrativo digitale tenuto dall'Avv. Emiliano Vitelli persso l'ATER di Roma per conto di Manpower Formazione Srl QUI

L'11 ed il 12 dicembre 2014 l'Avv. Vitelli è stato docente per il corso di Analisi dei rischi ed Business Impact Analysis organizzato da Ithum S.r.l

8 aprile 2014 - Università di Roma "La Sapienza"

Furto di identità attuali strumenti di tutela e le principali criticità.

ISACA

Stampa Stampa | Mappa del sito
© 2016 - 2019 Studio Legale Vitelli - Via Satrico n. 14, 04100 Latina