Misure di sicurezza inadeguate: il Garante sanziona una Asl

Tratto da www.garanteprivacy.it – Newsletter del 23/10/2023

Sanzione del Garante privacy di 30.000 euro ad una Asl napoletana per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.

La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l’accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.

Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito.

Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.

Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl. Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.

Videosorveglianza: rifiuti, il Garante sanziona un Comune e due società. Utenti non informati adeguatamente sui sistemi installati

Tratto da www.garanteprivacy.it – Newsletter del 11/09/2023

Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina che tutela i dati personali.

Per contrastare il fenomeno diffuso dell’abbandono dei rifiuti, il Comune aveva incaricato due ditte, sanzionate anch’esse dal Garante, dell’acquisto, installazione e manutenzione di telecamere fisse, e della raccolta e analisi dei filmati relativi alle violazioni.

L’intervento dell’Autorità segue le segnalazioni di un cittadino che lamentava la ricezione di alcune multe per aver conferito i rifiuti indifferenziati in modo errato. Gli accertamenti della violazione sarebbero avvenuti più di un mese dopo la registrazione dei filmati, effettuata senza che i cittadini fossero stati adeguatamente informati della presenza delle telecamere e del trattamento dei dati. Il Comune infatti aveva apposto un cartello direttamente sul cassonetto, non facilmente visibile e per di più privo delle informazioni necessarie.

Il Municipio inoltre non aveva individuato i tempi di conservazione dei dati e non aveva nominato, prima dell’inizio del trattamento, le due aziende sopracitate quali responsabili del trattamento dati, come previsto dalla normativa privacy. Anche le società dunque operavano in modo illecito, ragion per cui entrambe sono state sanzionate anch’esse dal Garante, l’una per 10.000 euro, per non essere mai stata nominata responsabile del trattamento, e l’altra per 5.000 euro, per essere stata nominata responsabile in ritardo.

Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale e la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali. Anche in presenza di una condizione di liceità il titolare del trattamento, ha ribadito il Garante, è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di liceità, correttezza e trasparenza. In particolare, è necessario adottare misure appropriate per fornire all’interessato tutte le informazioni previste dal GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile.

Ai fini dell’applicazione delle sanzioni il Garante ha tenuto conto del fatto che il trattamento ha riguardato potenzialmente i dati dei residenti del Comune (circa 53.000 interessati) e dei soggetti non residenti (il cui numero non è quantificabile).

Di contro, l’Autorità ha considerato il comportamento non doloso del Municipio e delle aziende, nonché l’assenza di precedenti violazioni a loro carico.

Sito falso, il Garante Privacy ordina a Google la rimozione dell’indirizzo web. Creato da anonimi con il nominativo di un imprenditore e dati reperiti in rete

Tratto da www.garanteprivacy.it – Newsletter del 11/09/2023

Il Garante Privacy ha ordinato a Google la rimozione dai risultati di ricerca di un Url collegato a un sito web falso, il cui indirizzo era formato dal nome e cognome di un imprenditore italiano e al cui interno erano riportate affermazioni lesive della reputazione personale e professionale.

Il sito era stato creato da soggetti anonimi utilizzando i dati personali dell’interessato reperiti in rete, tra cui una foto e un indirizzo email la cui denominazione lasciava presupporre l’appartenenza ad un’organizzazione criminale. Il sito conteneva anche link a documenti pubblici relativi a supposte vicende giudiziarie.

Nel reclamo inviato all’Autorità, l’interessato, un imprenditore con attività anche all’estero, chiedeva la deindicizzazione del sito associato al suo nome e cognome e specificava di non aver mai riportato condanne, né di essere mai stato coinvolto in procedimenti giudiziari, vertenze, indagini legate a contesti di criminalità o malavita organizzata come invece riportato nel sito. L’imprenditore faceva inoltre presente di aver già ottenuto da Google, a seguito di una sentenza di un’autorità giudiziaria extraeuropea, la deindicizzazione dell’Url, che rimaneva tuttavia visibile in Europa.

Google, infatti, al quale l’interessato si era rivolto per ottenere una deindicizzazione globale, aveva dichiarato inammissibile il reclamo ritenendo che fosse basato sulla tutela della reputazione, dell’onore e dell’immagine e non sulla tutela dei dati personali, qualificabile quindi, forse, più come reato di diffamazione e non come violazione del diritto all’oblio.

Nel ritenere fondata la richiesta, il Garante Privacy ha accolto invece le ragioni del reclamante, che sosteneva l’uso improprio e a fini denigratori dei suoi dati personali all’interno del sito in questione, e ha precisato che il motore di ricerca non aveva considerato le plurime violazioni della disciplina privacy poste in essere dagli autori del sito, tra cui la mancanza di informativa e dei riferimenti dei titolari, che tutt’ora rendono impossibile esercitare i diritti di opposizione e di rettifica di cui all’art. 12 del Regolamento.

Il Garante ha ricordato infine che, nel valutare le richieste di deindicizzazione, occorre tenere conto, in particolare, oltre che del trascorrere del tempo, anche del criterio relativo all’esattezza del dato laddove si sottolinea l’esigenza di tenere in particolare conto di quelle informazioni che originino “un’impressione inesatta, inadeguata o fuorviante rispetto alla persona interessata”, come raccomandato dalle Linee Guida EDPB sul diritto all’oblio del 2014.

Garante privacy: illecite le email pubblicitarie senza consenso. Inserire un link per disiscriversi non rende l’invio lecito

Tratto da www.garanteprivacy.it – Newsletter del 28/06/2023

Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio.

Lo ha precisato il Garante privacy nel comminare una sanzione di 10mila euro ad una società che aveva utilizzato questa modalità per le proprie campagne promozionali indirizzate a numerosi destinatari.

L’intervento dell’Autorità segue il reclamo di un utente che lamentava la ricezione di e-mail promozionali indesiderate, anche dopo essersi opposto a tali invii e non aver avuto alcun riscontro da parte della società.

La società si è difesa dichiarando di aver estratto i nominativi da diversi elenchi pubblici e che l’invio delle e-mail era diretto, oltre che al reclamante, anche ad altri professionisti. I dati, poi, sarebbero stati trattati sulla base di un legittimo interesse.

Il Garante ha ricordato che l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, essendo ammessa come unica deroga il rilascio dell’indirizzo e-mail da parte dell’interessato nel contesto di una vendita di beni o servizi analoghi.

Deroga che, nel caso in esame, non risulta applicabile, dato che le persone raggiunte dall’attività di marketing non avevano rilasciato il proprio indirizzo nell’ambito di un rapporto contrattuale pregresso non avendo alcuna conoscenza né del titolare né del trattamento.

Dall’istruttoria è dunque emerso che nessuna e-mail poteva essere inviata al reclamante, così come agli altri destinatari, senza un idoneo consenso. Rispetto al link inserito in calce alla mail per disiscriversi, il Garante ha poi ricordato che non ha alcuna rilevanza poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell’e-mail ad essere illecito.

Tenuto conto dell’ampia portata dei trattamenti e del fatto che l’azienda non ha mai dichiarato di aver interrotto la condotta limitandosi a cancellare i dati del reclamante, il Garante privacy ha imposto alla società il divieto di trattare per finalità promozionali tutti i dati inseriti nel data base oggetto di istruttoria per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso. In conseguenza di tale divieto, ha poi ordinato alla società di provvedere alla cancellazione dei dati in questione, ad eccezione di quelli necessari ad adempiere ad un obbligo di legge o per la difesa di un diritto in sede giudiziaria.

Fidelity card: il Garante privacy sanziona il Gruppo Benetton. Multa di 240mila euro per illecito trattamento di dati personali

Tratto da www.garanteprivacy.it – Newsletter del 28/06/2023

Il Garante privacy ha sanzionato per 240mila euro il Gruppo Benetton per aver trattato illecitamente i dati personali di un numero rilevante di clienti ed ex clienti. Assenza di adeguate misure di sicurezza e conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione, le violazioni più gravi. I dati dei clienti venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.

A seguito dell’attività ispettiva dell’Autorità, svolta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza L’Autorità ha rilevato che la società conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche degli ex clienti.

Una mole di informazioni di grande utilità ed “appetibilità” per le attività di data enrichment e di profilazione, sempre più diffuse.

Dalle verifiche effettuate è emerso, inoltre, che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un’unica password e un unico account.

Considerato l’elevato numero degli interessati e la notevole durata delle violazioni, il Garante ha multato il Gruppo Benetton e ha ingiunto alla società di adottare tutte le misure necessarie per conformarsi alla normativa privacy. In particolare, il Gruppo dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di 10 anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo (Gdpr).

Categorie