Christian Bernieri - DPO Profile picture
“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E - la privacy “È roba che va fatta fare a chi ne sa.” Il Blog è qui: https://t.co/iVsCzmsZtr
Feb 1 16 tweets 3 min read
@mmattana @signorina37H @sonoclaudio Sì l’ho spiegato più volte anche in modo abbastanza diffuso. Se cerchi nei tweet precedenti lo trovi di sicuro

Comunque in sintesi: … @mmattana @signorina37H @sonoclaudio 1) L’informativa privacy proposta non risponde ai requisiti previsti dal GDP R non associa correttamente e chiaramente finalità basi di legittimazione e tempo di trattamento
Jan 21 43 tweets 8 min read
Ogni anno torna, Sanremo. Personalmente mi coinvolge quasi quanto il campionato di calcio, vale a dire meno di niente, però torna anche @FantaSanremo e questo mi interessa poichè mille mila persone lo usano e condividono dati personali.

🧵🧵🧵lungo Image L’anno scorso ho cercato di dare una mano segnalando una serie di stupidaggini
Mi sarei immaginato una gestione scintillante e perfettamente compliant.
sono stato troppo ottimista.

Con alma e dall'inizio:
COOKIE BANNER
Entriamo nel sito e troviamo un bel cookie banner.
Male Image
Jan 6 13 tweets 4 min read
Oggi provo a dare una mano al comune di #Bormio che pare avere un #QualifiedDPO. Magari sta sciando ma io lo disturberei al telefono... tano per evitare figuracce e violazioni di legge.

Parliamo di #PRIVACY, #GDPR, #Cartelli, #QRCode e #videosorveglianza urbana.

🧵 1/ Image Partiamo dai cartelli in giro per il paese. Utili, magari un po' "burocratesi" ma capisco che questo sia il linguaggio dei burocrati.

Però, c'è un problema: il QRCode !
Sembra una cosa bella e utile ma è fatto male, molto male.
Il QR punta ad un servizio esterno...

2/ Image
Dec 26, 2023 15 tweets 5 min read
È arrivato, è arrivato!
Babbonatale ha portato i doni anche a #CATABO, la cooperativa dei taxi di Bologna che, qualche giorno fa, ha sospeso @RobertoRedSox.

Qui alcuni spunti:

1/
Image La "povera" cooperativa versava in grande difficoltà, tanto da avere un sito privo delle benché minime misure obbligatorie per la protezione dei dati personali, con testi contraddittori, lacunosi... un disastro.

Ecco com'era.

2/ Image
Dec 22, 2023 18 tweets 6 min read
Vorrei tanto dare una mano a @RobertoRedSox che stimo.
Non potendo farlo, cerco di dare una mano alla cooperativa (non è su X) che, non avendo il senso della realtà, si sta mettendo nei guai giorno dopo giorno.

vediamo cosa posso fare per voi, amici.
1/ CO.TA.BO
Image Carissimi Coop , partiamo dalla APP. La "NOSTRA APP", come dichiarate ovunque. Bene, direi che non ci sono dubbi: siete i titolari del trattamento e questo comporta una serie di responsabilità.
Hai, mi sa che partiamo maluccio.
2/ CA.Bo.TO
Image
Dec 17, 2023 11 tweets 2 min read
Cazzata atomica!🤯

Ma veramente ha senso questa posizione? Beh, allora abbiamo un problema grosso.

Proviamo a dirlo meglio:

Il "Dark Web" non è altro che una parte di internet non direttamente accessibile con un normale browser, ne serve uno fatto apposta.
E allora?

1/ Image Non è affatto inaccessibile, o meglio, una persona normale DEVE GIA AVERE le competenze necessarie per arrivarci che consistono in questo:

A) scaricare una applicazione apposita e installarla
B) usarla, aprendo dei link formattati appositamente

Sai quando lo facciamo? SEMPRE
2/
Mar 5, 2023 17 tweets 4 min read
Edizione speciale di #QualifedDPO S1E13

Oggi parliamo dei DPO di tutte le scuole raggiunte dalle perniciose PEC di MonitoraPa.

Colleghi, vorrei condividere con voi alcuni elementi utili per mettere nella giusta prospettiva le mefitiche PEC e per formulare risposte appropriate Dopo l'ultima PEC, alcuni DPO hanno dialogato per capire la situazione.

Questo è un esempio di "dialogo" come inteso da MonitoraPa (che, per la cronaca, non ha nominato alcun DPO e che sta collezionando una quantità di violazioni al GDPR da far sembrare GAFAM dei santi)
Feb 13, 2023 13 tweets 5 min read
Questa è veramente grossa.

Il Garante @GPDP_IT contro @instagram, @Facebook e @Meta e @DPCIreland. Un provvedimento che apre le porte ad un intervento mastodontico.

Molte violazioni che echeggiano i fatti di Cambridge Analytica.

Giu le mani dai nostri dati !

Spiegone... Il sistema "Election Day Information”, EDI, adottato da Meta sui suoi social, è stato presentato come filantropia pura e di pubblica utilità.

L'idea è di far comparire un avviso per ricordare alla gente di andare a votare. Sembra quasi una buona idea, peccato che...
Feb 12, 2023 4 tweets 2 min read
Quando un abile commerciale dotato di colorato opuscolo vi promette che il suo sistema di riconoscimento biometrico è a norma gdpr, non credetegli. Anzi, scappate a gambe levate... o meglio, sbattetelo fuori dalla porta.

Nuova sanzione del Garante
garanteprivacy.it/web/guest/home… Comune di Vicchio sanzionato per 8.000,00 Euro per adozione di un sistema di timbrature basato su biometria.

Sempre la solita storia, non se ne salva uno!

NON USATE SISTEMI BIOMETRICI IN AMBITO LAVORATIVO.
Certo, non è una regola, chi vuole essere il prossimo a rischiare?
Feb 12, 2023 4 tweets 1 min read
Grafici fantastici e dove trovarli: sul sito di un ministero italiano, naturalmente.

I dati sono solo numeri, ma la loro rappresentazione li può far sembrare ben altro: tanto, poco, crescono, diminuiscono, crescono veloci, stazionari… ecc.

Ecco un esempio. Stesse identiche cifre.
Anche solo buttando i numeri in Excel e generando un grafico standard si può notare un dato evidente, ben nascosto nello stesso grafico del min. Interni.

C’è un raddoppio.

Piaccia o non piaccia, questa informazione è rilevante.
Feb 10, 2023 6 tweets 4 min read
Cosa accomuna queste aziende?
I dati degli utenti iscritti #fantasanremo

@lavazza
@Pandora_UK
@MDLZ (Philadelphia)
@TicketOneIT
@IlCrodino
e
@ActionAidItalia
@3BeeHiveTech
@RadioItalia
@RaiPlay (RaiRadio2) Image In sintesi: gli iscritti hanno dovuto dare un consenso obbligatorio alla condivisione dei dati per fini di marketing, quindi un consenso non valido, acquisito in violazione del GDPR

Per questo le accomuna un DATABASE che NON POTRANNO USARE

Feb 6, 2023 15 tweets 5 min read
S1E9 #QualifiedDPO

Ce la prendiamo con i santi?
S A N R E M O?

Quasi, parliamo di @FantaSanremo

Ragazzi, avete la visibilità di una partita della nazionale e vi impegolate con la privacy? Ma non lo avete un DPO a cui chiedere? Ci sono due modi per accedere... tramite SOCIAL-LOGIN (che Dio ci scampi) o con registrazione diretta.

I disclaimer sono leggermente differenti.

Questo è quello con la registrazione classica con email. Non si può procedere senza cliccare e direi che è un click cumulativo
Feb 2, 2023 12 tweets 4 min read
S1E8 #QualifiedDPO

Oggi è tutto bellissimo.

ALTROCONSUMO, paladino dei consumatori, pagherà 100.000 Euro di sanzione al Garante per violazione del GDPR nell'attività di telemarketing.

Una batosta eclatante che fa traballare la limpidezza degli altissimi ideali sbandierati. @Altroconsumo è in prima linea per la tutela dei diritti... combatte con noi per un mondo migliore, fa inchieste sulle aziende brutte e cattive che trattano male i dati personali... tipo questa giusto giusto di un anno fa
altroconsumo.it/vita-privata-f…
Feb 1, 2023 5 tweets 2 min read
S1E6 #QualifiedDPO

Come dimostrare al mondo che non te ne frega niente della privacy? Chiediamolo ad Amazon AWS.

Il tutorial (pubblicitario) del fighissimo servizio di analisi facciale di AWS... dice tutto, tranne una cosa: non lo puoi usare se non chiedi il permesso! Non c'è traccia di avvertimento, non si cita mai la normativa (il GDPR), non si fa cenno al contesto, non si suggerisce di avere una base di legittimazione o anche solo una finalità legittima per farlo.

Niente!
Come se niente fosse.

aws.amazon.com/it/getting-sta…
Feb 1, 2023 4 tweets 2 min read
Hei @TwitterSupport
Oggi è comparso questo banner. Cos'è? Un rimasuglio di un lontano passato oppure l'anticipazione di un buio futuro?

Se questa è l'intenzione, meglio che ci ripensiate: in Europa questa cosa non è legale.

Spiace.

Serve uno spiegone? solo i cookie tecnici o analitici di prima parte possono essere usati senza consenso.

Qui si assimilano tutti: cookie tecnici, analytics, marketing, profilazione.
Tutti usati senza chiedere consenso.
Dec 27, 2022 10 tweets 3 min read
Oggi parliamo di ARETI spa (gruppo @AceaGruppo)
Il Garante Privacy ha sanzionato per € 1.000.000 e obbligato l'azienda ad aggiornare/correggere i dati che tratta.

Una batosta notevole che arriva non senza una ragione.

Vediamo alcune luci e ombre del provvedimento del @GPDP_IT Areti ha trattato per anni dati senza alcuna procedura di controllo per garantirne l'esattezza e l'aggiornamento.

Questo ha coinvolto 16.743 clienti e ha portato a 47.767 casi di richieste di variazione di gestore non accettate dall'operatore con evidenti danni per gli utenti.
Dec 21, 2022 8 tweets 3 min read
MAI usare dati trovati per caso... mai!

Il Conservatorio Santa Cecilia (Roma) è stato sanzionato dal Garante Privacy (@GPDP_IT) per aver utilizzato la registrazione di una assemblea studentesca "trovata" su una pendrive usb rinvenuta per caso.

È ILLECITO FARLO = € 6.000

Segue Il provvedimento evidenzia vari temi tra i quali l'uso illegittimo di dati rinvenuti per caso, il fatto di non poter considerare pubbliche le parole dette in una assemblea aperta, la nomina di un DPO in conflitto di interessi, aver condiviso i dati con terzi in modo illecito.
Dec 20, 2022 5 tweets 2 min read
Di nuovo, oggi, il Garante pubblica un provvedimento e sanziona il COMUNE di CISTERNA DI LATINA @ComuneCisterna

€5000 ed errori nella gestione degli adempimenti in materia di protezione dei dati personali. il Comune ha comunicato dati riservati in due accessi agli atti, ha omesso di nominare per diversi mesi un nuovo RPD dopo le dimissioni del precedente e non ha dato riscontro agli interessati.

Una tripletta niente male.

cosa imparare?
Dec 19, 2022 10 tweets 3 min read
Regione Lazio riceve una sanzione pesantissima dal Garante Privacy. €100.000 + Limitazione del trattamento + cancellazione dei dati.

Una batosta INCREDIBILE motivata da violazioni gravissime... Regione Lazio, con l'indispensabile supporto di Lazio Crea, non poteva fare peggio! Il trattamento illecito riguarda l'uso scorretto delle email utilizzate dagli avvocati della regione e dai controlli datoriali. Tutto effettuato in palese violazione del GDPR e dello statuto dei lavoratori.

Vediamo nel dettaglio le principali violazioni accertate dal Garante:
Nov 28, 2022 15 tweets 4 min read
Ieri, entrando in fiera, ho detto alle mie figlie:
"Ragazze, spegnete wifi e bluetooth, non temporaneamente ma dalle impostazioni, così non si riattiva"

Loro in coro: "Perchè papà?"

Non faccio a tempo a iniziare lo spiegone che, dopo pochi passi, vediamo questo Come ti sbagli? è l'nformativa che avvisa della presenza di un sistema di acquisizione dei segnali wifi presenti nell'area. Peccato che sia molto sintetica e che sul sito richiamato non ci sia assolutamente NULLA a riguardo.

Si, ho controllato. Direi che QUESTO E' UN PROBLEMA.
Nov 27, 2022 12 tweets 3 min read
Il punto interessante di questo data breach è questo:
come si fa a perdere qualcosa che non si dovrebbe avere?
Per il GDPR i dati non si conservano per sempre. Ci devono essere politiche di retention ben definite e applicate.
vediamo alcuni casi (casistica random e non esaustiva) A) l'utente chiede la cancellazione.
Non si cancella nulla nell'immediato. Si mette semplicemente offline finché non cessa l'interesse legittimo alla conservazione o l'obbligo di legge di conservare laddove previsto.