Password MyTiscali salvate in chiaro

No comment

matteocontrini Dice anche di proteggere le informazioni personali in modo adeguato per scongiurare accessi non autorizzati.

Appunto, hai delle credenziali di accesso prima di poter vedere i dati personali.

matteocontrini Suppongo che avere le password in chiaro esuli un po' da questo, ma immagino che eventualmente venga valutato caso per caso

Non si fa menzione nella norma di come trattare le credenziali.

EDIT: se è l'area clienti, e l'utente ha chiesto il ripristino, gliele hanno inviate via messaggio su un cellulare? Se sì, chi lo dice che la password è in chiaro? Perché è uguale a quella che aveva prima? Ma allora perché richiederla nuovamente? Magari se era la prima password hanno un modo deterministico di generarla a partire da alcuni dati forniti (sempre che si possa cambiare, non ho mai provato).

matteocontrini Area clienti

Non è chiaro se si parla dell'area clienti o della PPP. Io ho capito della PPP.
Fosse quella dell'area clienti è modificabile sul sito o quella inviata magari è solo temporanea. Non so perchè non ho mai provato.

matteocontrini Sì, ma se poi le credenziali non le proteggi serve a poco. C'è già stato qualche caso di sanzione per via delle password in chiaro se non sbaglio, per me è al limite

Nope. Ti sanzionano se ti "bucano" il database. A quel punto aver le credenziali in chiaro o meno serve a poco.
Che sia una pratica deprecabile sono assolutissimamente d'accordo con te, sia chiaro, ma non mi sembra ricada nei casi trattati appunto dal GDPR.

EDIT: mmm... come ogni legge va ad interpretazione.
https://iapp.org/news/a/germanys-first-fine-under-the-gdpr-offers-enforcement-insights/

During the course of the following investigation of the data breach it became apparent that the passwords of the users had been stored in unencrypted, plaintext format by the social media platform. The LfDI found that the company thereby infringed its obligation to guarantee the security of personal data under Article 32 (1)(a) of the GDPR. IAPP readers will no doubt be aware that this provision includes a requirement pseudonymise or encrypt personal data, but only “as appropriate.”

In its official press release, the LfDI stated: “By storing the passwords in plain text, the company knowingly violated its obligation to ensure data security pursuant to Art. 32 para. 1 lit a DS-GVO when processing personal data.”

Dove nella fattispecie l'articolo 32 1 a dice che

[...] il titolare del trattamento [...] mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;

Molto labile la sottigliezza delle password, sopratutto se paragonata alla pseudorandomizzazione che si usa tipicamente per gli ambienti di test o comunque dove gli utenti devono avere in mano un set di dati coerenti ma non necessariamente significativi.

[cancellato] Le credenziali della mia area personale, dove si vedono i miei dati personali

E scrivilo chiaro. Quella non è la password della linea ma la password dell'area privata/cliente.

[cancellato] ma leggete? Mi ha inviato la mia!!! Quella che avevo impostato io e che non ricordavo, madonna, sennò lo avrei detto se fosse stata una pw temporanea

Sinceramente... potevi prendere un altro minuto per scrivere il primo post. Non è molto chiaro.

[cancellato] spero che chi amministra tiscali legga e provveda: ho fatto il recupero pw della linea fissa e me la ha inviata in chiaro, per le linea mobile invece mi ha mandato un pw creata dal sito penso.

Da cosa dovrebbe intuire, un lettore, che ti hanno mandato in chiaro la stessa password dell'area clienti che avevi prima ?