Telemarketing selvaggio. Non si ferma l’azione del Garante privacy: nuove sanzioni alle società energetiche e telefoniche

Un nuovo pacchetto di provvedimenti del Garante privacy contro la piaga del telemarketing selvaggio dopo le recenti confische delle banche dati di alcuni call center.

L’Autorità ha adottato tre provvedimenti correttivi e sanzionatori, originati da diverse indagini e tutte particolarmente rilevanti: nel settore telefonico, Tim S.p.A. è stata sanzionata per 7.631.175 euro, mentre nel settore energetico Green Network S.p.A. e Sorgenia S.p.A si sono viste irrogare rispettivamente sanzioni per 237.800 euro e 676.956 euro.

Nello specifico, a Tim è stata contestata una non adeguata sorveglianza sui call center abusivi, estranei alla sua rete ufficiale, ma anche ulteriori aspetti, quali il riscontro talora inadeguato alle richieste di esercizio dei diritti degli interessati e l’erronea pubblicazione di dati personali nei pubblici elenchi telefonici senza il consenso degli interessati.

L’Autorità, in particolare nel provvedimento relativo a TIM SpA, già oggetto di precedenti accertamenti e sanzioni, ha evidenziato alcuni importanti miglioramenti compiuti, probabile testimonianza della buona volontà delle grandi imprese, ma al tempo stesso dell’esigenza di ulteriori e più incisivi passi verso l’eradicazione di una vera e propria piaga sociale che danneggia gli operatori corretti ed esaspera, ormai a livelli non più accettabili, i cittadini.

Le due compagnie energetiche (Green Network e Sorgenia) sono state invece sanzionate, in particolare, per non aver approntato misure idonee a garantire la tracciabilità di tutte le operazioni svolte sulle piattaforme di caricamento delle proposte contrattuali e per non aver dimostrato la piena contezza di tutti i trattamenti svolti nell’ambito della filiera del telemarketing.

L’intento principale di questo nuovo intervento è quello di colpire tutte le possibili porte di accesso del sottobosco all’interno del patrimonio informativo e commerciale delle società telefoniche ed energetiche.

Come precisato più volte dal Garante, infatti, senza un adeguato controllo da parte delle aziende committenti dell’intera “catena” di operazioni che porta alla conclusione di un contratto, il “sottobosco” dei call center illegali continuerà a ricevere – quasi sempre in violazione delle norme fiscali e giuslavoristiche, oltre che di quelle sulla protezione dei dati – quella remunerazione che ne permette la sopravvivenza e, addirittura, la proliferazione.

Roma, 9 giugno 2023

Fonte: Garante Privacy

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9895080

Attacco hacker Asl Abruzzo, Garante: scaricare i dati è un reato

In riferimento al recente attacco hacker subito dalla Asl 1 Abruzzo, il Garante per la protezione dei dati personali ricorda che chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato.

Un reato questo ancora più odioso, perché riguarda dati sanitari, quali in particolare  informazioni su patologie e cure mediche di persone in condizioni di vulnerabilità e fragilità.

L’Autorità avverte pertanto di non scaricare dal dark web e non condividere con terzi gli archivi potenzialmente riconducibili alla Asl 1 Abruzzo.

Roma, 18 maggio 2023

Fonte: Garante Privacy

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9888360

Attacco hacker filorussi contro il Viminale, bloccato il sito della carta identità | Viminale: solo problema di connessione internet

Sul loro canale Telegram, come di consueto, il gruppo “Noname” ironizza postando un messaggio sotto la foto di un orso con sullo sfondo il tricolore italiano e una carta d’identità.

Nuovo attacco degli hacker filorussi “Noname057(16)” all’Italia.

Questa volta è stato preso di mira il portale per il rilascio della carta d’identità elettronica del Viminale, momentaneamente non raggiungibile. Gli esperti della Polizia postale stanno lavorando al ripristino del servizio. Come nei casi precedenti l’attacco è di tipo Ddos, Distributed denial of service, vale a dire che si invia un’enorme quantità di richieste al sito web obiettivo, che non è in grado di gestirle e quindi di funzionare correttamente.

Sul loro canale Telegram, come di consueto, i Noname ironizzano postando un messaggio sotto la foto di un orso con sullo sfondo il tricolore italiano e una carta d’identità. “L’Italia – si legge – è pronta a fornire supporto materiale all’Ucraina, ma attende passi decisivi dagli alleati. Nessuna indipendenza. Fortunatamente, il nostro team può prendere decisioni da solo, siamo andati nel segmento russofobo italiano di internet e abbiamo ucciso un sito web di carte d’identità elettroniche”.

Viminale minimizza: solo problema tecnico

“I servizi della Carta di identità elettronica sono momentaneamente indisponibili a causa di un problema tecnico nella fornitura della connettività internet, seguito all’incendio divampato nella giornata di ieri nei pressi della stazione Tiburtina, che ha coinvolto cavi della fibra ottica”. Questa la spiegazione del Viminale di fatto negando l’attacco hacker. “Stiamo lavorando per ripristinarne il pieno funzionamento”, aggiungono dal ministero.

Fonte: TGCOM 24

https://www.tgcom24.mediaset.it/cronaca/attacco-hacker-filorussi-viminale-carta-identita_65243257-202302k.shtml

La Corte di Giustizia dell’Ue invalida il ‘Privacy shield’, stop a trasferimenti di dati personali negli Usa

16 Luglio 2020

Con la sentenza nella causa C-311/18 del 16 luglio 2020, la Corte di Giustizia dell’Unione europea ha invalidato il “Privacy Shield”, ovvero l’accordo largamente difuso con cui grandi organizzazioni e multinazionali potevano fino ad ora legittimare il trasferimento di dati personali tra Europa e Stati Uniti.

Secondo i giudici della Corte, il Privacy Shield non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy, e perciò ai sensi del Gdpr il trasferimento di dati dall’Ue verso un Paese terzo può avvenire, in linea di principio, “solo se tale Paese terzo garantisce un adeguato livello di protezione”.

Se l’annullamento del Privacy Shield rappresenta una vittoria per gli attivisti della privacy che da tempo accusavano gli Stati Uniti per le pratiche invasive e di sorveglianza inammissibili sui cittadini europei, la decisione dei giudici adesso creerà notevoli problemi alle multinazionali americane e europee che fanno business proprio sul trasferimento e l’utilizzo di dati personali. Società come Facebook, Apple, Google, ed Amazon, dovranno quindi ripensare le loro strategie industriali per adeguarsi alla decisione della Corte dell’Unione Europea.

Clicca qui per leggere la sentenza nella causa C-311/18 del 16 luglio 2020!

Fonte: Federprivacy

Due anni di Gdpr: il rapporto della Commissione europea

26 Giugno 2020

A poco più di due anni dalla sua piena applicazione, la Commissione europea ha pubblicato un rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (Gdpr). Il rapporto mostra come il Gdpr abbia raggiunto la maggior parte dei suoi obiettivi, in particolare garantendo ai cittadini Ue un solido insieme di diritti e creando un nuovo sistema europeo di governance. Il Gdpr si è peraltro dimostrato flessibile nel supportare soluzioni digitali in circostanze impreviste come la crisi dovuta al Covid-19.

Il documento della Commissione evidenzia, inoltre, che l’armonizzazione delle legislazioni nazionali è aumentata grazie al Gdpr, sebbene permanga una certa frammentazione in alcuni ambiti (per esempio, in materia di bilanciamento fra libertà di espressione e protezione dati, o in materia sanitaria) che necessita di un monitoraggio costante. Anche fra le aziende si fa strada la cultura della “responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire un vantaggio competitivo.

La relazione propone anche un elenco di azioni che coinvolgono i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati) per facilitare ulteriormente l’applicazione del Gdpr con particolare riguardo alle piccole e medie imprese. Gli obiettivi finali indicati dalla Commissione sono quelli di ridurre la frammentazione normativa (gli Stati membri sono invitati a fare la loro parte al riguardo, e la Commissione intende vigilare con attenzione su questi aspetti), nonché di promuovere e sviluppare ulteriormente una cultura europea della protezione dei dati e l’applicazione rigorosa delle norme. Tutto ciò richiede il supporto interpretativo, e non solo, delle Autorità di protezione dati, ma anche una maggiore e più incisiva cooperazione fra le Autorità, che sono invitate a fare pienamente uso degli strumenti messi a loro disposizione dal Regolamento.

Questi, in sintesi, alcuni aspetti di particolare interesse emersi dal riesame del Regolamento Ue.

Secondo la Commissione, il Regolamento migliora la trasparenza e aumenta la consapevolezza dei diritti di cui godono le persone nell’Ue (diritto di accesso, rettifica, cancellazione, diritto di opposizione e diritto alla portabilità dei dati).  Le regole sulla protezione dei dati si sono dimostrate adeguate all’era digitale: il Gdpr ha promosso la partecipazione attiva e consapevole delle persone alla transizione digitale e favorisce un’innovazione affidabile: in particolare attraverso un approccio basato sul rischio e su principi come la protezione dei dati in base alla progettazione e per impostazione predefinita (privacy by design e privacy by default). Le Autorità per la protezione dei dati stanno utilizzando i più forti poteri correttivi previsti dal Gdpr, dagli avvertimenti e dagli ammonimenti fino alle sanzioni pecuniarie. Tuttavia, sottolinea la Commissione, esse devono essere adeguatamente supportate con le risorse umane, tecniche e finanziarie necessarie. Se è vero che, complessivamente, tra il 2016 e il 2019 si è registrato un aumento del 42% del personale e del 49% del bilancio per tutte le Autorità nazionali per la privacy nell’Ue, permangono forti differenze tra gli Stati membri.

Vi sono, rileva la Commissione, margini di miglioramento per quanto riguarda il sistema di governance europea della protezione dei dati, in particolare rispetto al funzionamento del cosiddetto meccanismo di “sportello unico”, in base al quale una società che svolge trattamenti transfrontalieri di dati ha una sola Autorità di protezione dei dati come interlocutore, vale a dire l’Autorità dello Stato membro in cui ha sede il suo stabilimento principale. Tra il 25 maggio 2018 e il 31 dicembre 2019, 141 progetti di decisione relativi a reclami transfrontalieri sono stati presentati tramite lo “sportello unico”, 79 dei quali hanno portato a decisioni definitive. Su questi temi di governance sta lavorando anche l’Edpb (il Comitato europeo per la protezione dei dati formato da rappresentanti di tutti i Garanti europei) attraverso l’elaborazione di specifiche linee-guida che affrontano anche l’interpretazione e l’attuazione di aspetti chiave del Regolamento e temi emergenti.

Relativamente alla dimensione internazionale, la Commissione intende lavorare con l’Edpb alla modernizzazione di alcuni meccanismi in atto per i trasferimenti di dati personali al di fuori dell’Ue tra cui le clausole contrattuali standard, che risultano essere lo strumento più utilizzato dalle aziende ai fini di tali trasferimenti, anche alla luce degli sviluppi della giurisprudenza della Corte di giustizia. La Commissione evidenzia, infine, la necessità di proseguire nei negoziati internazionali per valutare l’adeguatezza alle norme europee dei Paesi extra-Ue e di esplorare l’impiego di strumenti quali accordi internazionali di mutua assistenza per rendere più efficace l’applicazione del Regolamento in questi ambiti.

Fonte: Garante Privacy

Soro: “Non sappiamo cosa fa la Cina con i dati di chi ha fra 10 e 15 anni”

Soro: “Non sappiamo cosa fa la Cina con i dati di chi ha fra 10 e 15 anni”
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Di Jaime D’alessandro, La Repubblica, 5 giugno 2020)

“Sono tre anni che io sostengo: abbiamo un problema con la Cina. Nell’economia digitale l’asimmetria è semplicemente spaventosa”. Antonello Soro, garante italiano per la Privacy, parte dal bicchiere mezzo vuoto. La decisione del Comitato europeo perla Protezione dei Dati (Edpb) di dargli ascolto e istituire una commissione che indaghi sul social network cinese TikTok sembra un passo troppo timido. Con 800 milioni di utenti attivi, è il primo grande social network nato a Pechino a riuscire a fare breccia in Occidente. Il problema? Che non abbiamo idea di cosa accada ai dati raccolti. “TikTok ha avuto uno sviluppo molto veloce”, continua Soro. “Sono centinaia di milioni gli europei che la usano. Un pubblico prevalentemente di minori. Il mercato particolare dei giovanissimi li espone al pericolo di messaggi e contenuti poco adatti se non del tutto vietati. Ma essendo una azienda cinese abbiamo armi spuntate a disposizione”.

Cosa farà ora la task-force europea?

“Inizierà dalla raccolta di informazioni che, a mio parere, non potrà essere disgiunta da azioni per sanare l’asimmetria della quale dparlavo prima”.

Ci vorranno mesi. Non le sembra che le istituzioni siano un po’ lente?

“Forse. Le autorità europee che lavorano sul tema dei dati sono piccole e con compiti immani. Non è maturata la percezione di quanto il mondo digitale produca ricchezza e colossi che sono ormai più potenti degli Stati. E non è chiaro a tutti che le regole in quel frangente sono essenziali per far funzionare la società di oggi”.

In attesa che si arrivi ad un’azione concreta, se nel frattempo un adolescente venisse spinto a fare qualcosa di sgradevole?

“Si potrebbe intervenire, almeno qui da noi, se si trattasse di un cittadino europeo. L’approccio di TikTok è collaborativo”.

Ci sono stati casi del genere?

“Ci sono state segnalazioni come avviene per altri social network, nulla di più. Ma non abbiamo idea di cosa succede dietro le quinte. Con tutte quelle informazioni sui comportamenti di chi ha fra i 10 ai 15 anni si possono fare mille cose in un Paese come la Cina che non ha certo le nostre restrizioni. Si possono ad esempio creare algoritmi, profilare gli utenti, sapere esattamente cosa fanno. Li si può influenzare. Parliamo in più di una nazione che ha già un mercato intemo enorme dove si raccolgono informazioni su tutto e su tutti e le sue aziende sono permeabili al Governo. Un vantaggio strategico nell’economia digitale. Il mercato è lo stesso, ma si gioca con regole differenti”.

Il nuovo amministratore delegato di TikTok, Kevin Mayer, è americano.

“Ma l’azienda è di proprietà cinese. Non sarebbe un problema se avessimo con Pechino il medesimo accordo, il Privacy shield, che abbiamo con Stati Uniti, Canada, Giappone e Australia fra gli altri. Impegna le aziende estere a rispettare certe regole quando si tratta di utenti europei. Con il Giappone è stato bloccato l’Ape, la più grande zona di libero scambio del mondo, finché non è stato sottoscritto il Privacy shield. Ma sarà difficile imporlo alla Cina”.

Perché?

“Uno dei punti cardine è che l’accesso delle agenzie governative ai dati sia fortemente limitato. È un tema molto più grande di TikTok. Bisogna evitare che la Cina sia una zona franca”.

Insomma, il bicchiere è ancora mezzo vuoto.

“Diciamo che la task-force è un primo passo. E da qualche parte bisognava pur iniziare”.

Fonte: Garante Privacy

Data breach: Il garante sanziona un istituto bancario

26 Giugno 2020

Data breach, sanzionato dal Garante un istituto bancario

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Il Garante quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca. Nel determinare l’ammontare dell’importo in 600mila euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca – che non ha subito precedenti provvedimenti sanzionatori del Garante – a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.

Fonte: Garante Privacy