Il DPO non paga i danni in caso di attacco informatico (aggiornamento)

Avevo scritto di una sentenza del Tribunale di Firenze relativo alle responsabilità del DPO: https://blog.cesaregallotti.it/2026/06/il-dpo-non-paga-i-danni-in-caso-di.html.

 

Nicola Manzi mi ha risposto su LinkedIn dicendomi, in sintesi, che non avevo approfondito a dovere. E infatti l'ha fatto lui: https://www.linkedin.com/posts/nicolamanzi_dpo-gdpr-compliance-activity-7468665788628127744-65CW.

 

Vale la pena leggere il post, con anche il link alla sentenza.

 

Mi scuso con tutti e ringrazio Nicola Manzi.

Sanzione a Carrefour per accessibilità

Andrea Solimeno di Selexi mi ha segnalato la sanzione a Carrefour per inadempienze relative all'accessibilità. Questo in particolare riguarda l'e-commerce.

 

Segnalo questo articolo: https://www.digital360.it/blog-connect/website-carrefour-non-accessibile-condanna-accessibilita-digitale.

Data broker e sanzione del Garante

Il Garante ha sanzionato due aziende che avevano acquistato dati da un data broker senza aver verificato tutte le condizioni per trattare i dati personali.

 

Devo dire che ho avuto modo di vedere le condizioni di altri data broker e mi hanno lasciato molto perplesso, per non dire che mi sono sembrati discutibili.

 

Faccio prima a rimandare all'articolo di Christian Bernieri, forse un po' troppo sopra le righe, ma istruttivo: https://garantepiracy.it/blog/lusha/.

Linee guida CE sulla marcatura dei contenuti generati dall'IA

Chiara Ponti, Idraulica della privacy, ha segnalato che "la Commissione europea ha pubblicato il codice di condotta definitivo sulla marcatura e l'etichettatura dei contenuti generati dall'intelligenza artificiale": https://digital-strategy.ec.europa.eu/en/news/commission-publishes-code-practice-marking-and-labelling-ai-generated-content (si può chiedere la traduzione in italiano).

La pagina è chiara quando indica i casi per cui è necessario etichettare contenuti e non si applica solo ai fornitori, ma anche agli utilizzatori ("deployer").

Le icone proposte non sono particolarmente fantasiose e quindi potrebbero essere utili.

D. Lgs. 96 del 2026: Trasparenza retributiva

E' stato approvato e pubblicato il D. Lgs. 96 del 2026 sulla trasparenza retributiva: https://www.altalex.com/documents/2026/06/05/trasparenza-retributiva-d-lgs-96-2026-attua-direttiva-ue-2023-970

Molti articoli si soffermano su alcune difficoltà attuative, ma non riguardano né la sicurezza delle informazioni né la privacy.

Per quanto riguarda la privacy, segnalo le seguenti:

- art. 5 comma 2: "Ai candidati a un impiego non possono essere chieste informazioni sulle retribuzioni percepite negli attuali o nei precedenti rapporti di lavoro";

- art. 7 comma 1: [...] "è riconosciuto ai lavoratori il diritto di richiedere e ricevere per iscritto [...] le informazioni sui livelli retributivi medi, ripartiti per sesso, delle categorie di lavoratori che svolgono lo stesso lavoro o un lavoro di pari valore"; però, al comma 8, è indicato che "Al fine di evitare l'identificazione diretta o indiretta dei singoli lavoratori in conformità al [GDPR...], per i datori di lavoro che occupano fino a quarantanove dipendenti, le informazioni di cui al comma 1 possono essere fornite con le modalità previste dall'articolo 9, comma 4";

- art. 9, comma 4: dice che saranno pubblicati uno o più decreti del Ministro del lavoro e delle politiche sociali, sentito il Garante per la privacy, per fornire indicazioni per "le modalità di raccolta ed esposizione dei dati";

- art. 11 comma 2: "l'accesso alle informazioni di cui agli articoli 7, 9 e 10 è riservato esclusivamente ai rappresentanti dei lavoratori, all'Ispettorato del lavoro e agli organismi per la parità territorialmente competenti ove comporti la divulgazione, diretta o indiretta, della retribuzione di un lavoratore identificabile. I rappresentanti dei lavoratori o l'organismo per la parità forniscono consulenza ai lavoratori in merito a eventuali ricorsi connessi al principio della parità di retribuzione senza divulgare i livelli retributivi effettivi dei singoli lavoratori che svolgono lo stesso lavoro o un lavoro di pari valore".

- art. 11 comma 3: "I dati trattati ai sensi degli articoli 7, 9 e 10 non sono utilizzabili per scopi diversi dall'applicazione del principio della parità di retribuzione. La trasmissione dei dati personali è consentita nei casi, nelle forme e nei limiti previsti dalla normativa vigente".

Temo ci siano informative da aggiornare.

Il DPO non paga i danni in caso di attacco informatico

Dalla sentenza n. 3034 del 29 maggio 2026 del Tribunale di Firenze, sezione terza civile, si ricava il principio che DPO non paga danni per attacco informatico: https://it.linkedin.com/posts/daniele-gulinatti-b7592a_dpo-non-paga-danni-per-attacco-hacker-activity-7468204590765854720-NZA5.

Il fatto che il DPO non avesse responsabilità era cosa facilmente leggibile dal GDPR e alcune tariffe lo confermano. Poi bisognerà vedere se e come questa sentenza andrà in appello e in Cassazione.

Il furto di credenziali Instagram con Meta AI (e l'IA agentica)

Simone Ceccherini mi ha segnalato l'articolo "Meta AI usata per rubare gli account Instagram, il caso che coinvolge Obama e Sephora": https://www.wired.it/article/instagram-meta-ai-vulnerabilita-account-alto-profilo/.

Il suo commento: Trovo fondamentale riflettere sull'utilizzo di bot per queste operazioni delicate. Equivale quasi dare il controllo alle AI e a chiunque parli con loro...

L'IA sicuramente si evolverà e migliorerà. Nel frattempo credo proprio che dobbiamo stare molto attenti (però un cliente rifletteva che le operazioni di sicurezza IT dovranno sempre più basarsi sull'IA, perché ormai la velocità degli attacchi, con strumenti IA, è tale che possono essere contrastati solo da altre IA).

Nuova ISO 19011 sulla conduzione degli audit

E' stata pubblicata la nuova versione della ISO 19011:2026 "Guidelines for auditing management systems": https://www.iso.org/standard/19011.

I cambiamenti sono pochi e faccio prima a rimandarvi a un articolo di Monica Perego (che si basa sulla bozza finale, ma eventuali cambiamenti sarebbero solo editoriali): https://www.agendadigitale.eu/sicurezza/iso-190112025-cosa-cambia-guida-alle-novita/.

Ringrazio Monica stessa e Paolo Sferlazza di Gerico per avermelo segnalato.

Carola Frediani

Il 3 giugno 2026 è morta Carola Frediani, la fondatrice di Guerre di rete e non solo: https://www.lastampa.it/cronaca/2026/06/03/news/addio_a_carola_frediani_voce_critica_delle_guerre_digitali-15645599/.

Non la conoscevo né, ahimè, la conoscerò mai di persona.

La qualità delle sue indagini, in termini di argomenti scelti e di approfondimenti, ci dicono cosa abbiamo perso da un punto di vista professionale e tecnico.

Posso immaginare che abbia dimostrato il suo valore anche nell’impresa di Guerre di rete, ossia coinvolgendo persone che non solo hanno imparato da lei a scegliere e scrivere bene temi importanti (e questo è sotto gli occhi di tutti), ma che sapranno portarla avanti e, perché no?, migliorarla. A loro vanno tutti i miei auguri.

Per chi non conoscesse ancora Guerre di rete: https://www.guerredirete.it/.