g-docweb-display Portlet

Violazione di dati personali nel settore dei servizi telefonici - 26 luglio 2017 [6821202]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6821202]

Violazione di dati personali nel settore dei servizi telefonici - 26 luglio 2017

Registro dei provvedimenti
n. 343 del 26 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il Regolamento n. 611/2013 della Commissione del 24 giugno 2013 (di seguito, Regolamento) sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche;

VISTO il provvedimento del Garante in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (cd. data breach) del 4 aprile 2013 (pubblicato in G.U. n. 97 del 24 aprile 2013 e in www.garanteprivacy.it, doc. web n. 2388260);

VISTO il provvedimento prescrittivo del Garante dell´11 maggio 2017, n. 226 (doc. web n. 6431926), deliberato a seguito dell´istruttoria avviata con la comunicazione di avvenuta violazione dei dati personali inoltrata il 21 marzo 2017 ai sensi dell´art. 32-bis del Codice da Wind Tre s.p.a. ed al quale si rinvia in relazione alla descrizione della occorsa violazione dei dati;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

RELATORE  la dott.ssa Augusta Iannini;

PREMESSO

1.1. Con il provvedimento dell´11 maggio 2017, n. 226, il Garante ha prescritto a Wind Tre s.p.a. di informare dell´avvenuta violazione dei dati notificata all´Autorità il 21 marzo 2017 tutti i soggetti, come alla data individuati,  interessati dalla stessa, in precedenza non già destinatari di tale comunicazione da parte della Società. Quest´ultima, conformandosi alle prescrizioni del Garante, ha provveduto ad integrare la comunicazione di avvenuta violazione dei dati personali inoltrata il 21 marzo 2017 ai sensi dell´art. 32-bis del Codice nei confronti di ulteriori 4709 interessati (rispetto ai 402 clienti che già erano stati informati).

1.2. L´esame della documentazione relativa alla vicenda in esame sinora acquisita dall´Autorità (concernente sia gli esiti delle verifiche in loco effettuate nei giorni 10 e 11 aprile 2017, che quella successivamente prodotta dalla Società il 12 maggio 2017) ha tuttavia consentito di rilevare:

a. la presenza di un numero più elevato di soggetti interessati dalla violazione dei dati rispetto a quanti (pari a 5118) hanno originariamente formato oggetto della notifica al Garante del 21 marzo 2017 (e tenuti in considerazione in sede di adozione del menzionato provvedimento dell´11 maggio 2017, n. 226);

b. le informazioni oggetto di violazione, risultate più articolate per tipologia, rispetto a quanto notificato al Garante il 21 marzo 2017. Dai successivi approfondimenti risulta infatti che la violazione ha riguardato non solo numeri di utenze telefoniche e password per l´accesso all´area selfcare ma anche numeri di utenza telefonica, talora associati all´indirizzo email degli interessati o alla "domanda segreta" scelta per effettuare la modifica delle password o, ancora, sporadicamente, abbinati a numeri di carta Payback o a dati bancari (cfr. logfile allegato alla nota del 12 maggio 2017);

c. le modalità operative che hanno determinato la creazione e la mancata cancellazione del file oggetto di violazione, contenente come detto dati personali intelligibili, grazie all´esame della relazione tecnica redatta dal fornitore di servizi per la Società (essa pure trasmessa al Garante il 12 maggio 2017: cfr. Relazione tecnica rev. 4).

1.3. Tali elementi, nel loro complesso ancora al vaglio dell´Autorità, sono stati arricchiti dagli esiti di ulteriori accertamenti effettuati presso la Società, nel corso dei quali è risultato confermato un numero più elevato di soggetti coinvolti dalla violazione, pari a circa 28.000 clienti (cfr. verbale del 7 giugno 2017). Al riguardo, su richiesta dell´Ufficio, la Società ha prodotto un documento contenente una prima analisi dei dati presenti nel file oggetto di violazione, integrata con nota del 23 giugno 2017, in base alla quale la violazione avrebbe riguardato:

28173 numeri di telefono (comprendenti i 5118 clienti già oggetto della prima notifica al Garante);

11 indirizzi di posta elettronica;

1 numero di carta di credito (inserito da un cliente nel campo riservato alle richieste di assistenza);

1 codice IBAN (inserito da un cliente nel campo riservato alle richieste di assistenza);

138 numeri di telefono (compresi nei 5118 già identificati) rispetto ai quali sono emerse azioni di modifica password;

1749 identificativi di carte Payback che danno accesso, nell´area clienti del sito www.payback.it, unicamente al nome di battesimo ed al numero di punti accumulati, essendo necessario l´inserimento di un PIN per visualizzare l´anagrafica completa; la Società ha inoltre aggiunto che, da verifiche interne, gli identificativi Payback risultano associati per la maggior parte a clienti già destinatari di notifica; solo per 577 clienti non è stata resa alcuna informativa in quanto i corrispondenti numeri di telefono non erano presenti nel file violato ma risultavano associati alle carte Payback solo nei sistemi interni della Società.

2.1. Alla luce di tali risultanze, deve rilevarsi che l´art. 32-bis del Codice prescrive ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di comunicare senza ritardo un´avvenuta violazione dei dati personali anche agli interessati, oltre che al Garante, se da tale violazione possa derivare ad essi un pregiudizio.

L´art. 3 del Regolamento, emanato per assicurare l´applicazione uniforme a livello europeo di adeguate misure applicabili alla notificazione di violazioni di dati personali, indica le circostanze di cui tener conto per valutare l´eventualità che una violazione possa arrecare pregiudizio ai dati o alla vita privata degli interessati, rendendo la notificazione dovuta anche nei confronti di questi ultimi, e che tale valutazione deve essere effettuata tenendo conto, tra l´altro, delle probabili conseguenze della violazione e delle circostanze in cui questa si è verificata; più puntualmente, ai fini della comunicazione agli interessati, devono essere prese in considerazione, tra le altre, le probabili conseguenze della violazione di dati personali per l´interessato nonché «le circostanze della violazione di dati personali, in particolare nel caso in cui i dati siano stati rubati» (art. 3, par. 2, lett. c), del Regolamento).

In deroga a quanto previsto dalle norme sopra richiamate, la notifica all´interessato di una avvenuta violazione dei dati personali non è dovuta se il titolare ha dimostrato di aver adottato adeguate misure tecnologiche di protezione e che tali misure erano applicate ai dati interessati dalla violazione (art. 32-bis, comma 3, del Codice e art. 4 del Regolamento).

2.2. Pertanto, alla luce di un complessivo esame delle circostanze portate all´attenzione dell´Autorità e degli elementi emersi nel corso degli accertamenti effettuati nonché del fatto che i dati oggetto di violazione non sono risultati protetti da adeguate misure tecnologiche volte a renderli non intelligibili, non possono escludersi ripercussioni negative dell´avvenuta violazione in capo a tutti gli interessati, ivi compresi quelli non ancora informati dell´accaduto, che la Società dovrà provvedere a rendere edotti dell´evento occorso (cfr. art. 32-bis, comma 4, del Codice) con le modalità semplificate ritenute più opportune, senza ritardo e comunque entro e non oltre 15 giorni dal ricevimento del presente provvedimento. Ciò muovendo, nel caso di specie:

a. dalle circostanze della violazione, poiché l´accesso non autorizzato è avvenuto in conseguenza di un attacco informatico finalizzato alla ricerca e all´acquisizione di dati personali;

b. dal fatto che le numerazioni telefoniche mobili oggetto della violazione (come si è detto, nel complesso circa 28.000, delle quali 5118 già oggetto di informativa da parte della Società) potrebbero formare oggetto di utilizzo da parte di terzi in violazione dei diritti degli interessati. Si pensi, a mero titolo di esempio, alla loro trasmissione ad operatori di call center per l´effettuazione di chiamate indesiderate di natura promozionale, peraltro di frequente oggetto di segnalazione all´Autorità; ma pure ad un loro impiego per realizzare il camuffamento delle chiamate effettuate (cd. spoofing);

c. dal fatto che, come evidenziato nel corso degli accertamenti (cfr. all.6 alla nota del 23 giugno 2017), fino al mese di maggio 2017 la app "Area clienti 3" presentava vulnerabilità tali da consentire, mediante la conoscenza del numero telefonico, l´accesso all´area clienti dell´intestatario del numero (contenente ulteriori informazioni personali).

2.3. Sulle base delle motivazioni sopra esposte è altresì possibile ritenere non necessaria la comunicazione ai clienti dei quali sia stato acquisito il solo identificativo di carta Payback potendo per essi stimare, allo stato, non significativo il potenziale pregiudizio; ciò in considerazione del fatto che il numero identificativo di carta Payback consente unicamente di visualizzare una pagina contenente il solo nome di battesimo, e non anche il cognome, dell´intestatario non essendo possibile accedere ad ulteriori dati personali senza l´inserimento di uno specifico PIN.

TUTTO CIÒ PREMESSO IL GARANTE

prescrive a Wind Tre s.p.a., con sede in Trezzano sul Naviglio, via Leonardo da Vinci n. 1, ai sensi degli artt. 32-bis, comma 4, e 154, comma 1, lett. c), del Codice, di informare, con le modalità semplificate ritenute più opportune, senza ritardo e comunque entro e non oltre 15 giorni dal ricevimento del presente provvedimento, quanti non siano già stati informati dell´avvenuta violazione dei dati, ad esclusione dei clienti per i quali sia risultato acquisito il solo identificativo di carta Payback, indicando gli elementi di cui all´allegato II del Regolamento.

Ai sensi dell´art. 157 del Codice, invita, altresì, entro i successivi sette giorni, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell´art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 26 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia