NEWSLETTER N. 512 del 23 ottobre 2023

• Il Garante Privacy multa una società energetica per 10 milioni di euro
• Sms promozionali senza consenso: sanzionato un ateneo telematico
• Misure di sicurezza inadeguate: il Garante sanziona una Asl
• Euro digitale: le Autorità privacy chiedono maggiori garanzie per i cittadini

Il Garante Privacy multa una società energetica per 10 milioni di euro
Attivati contratti non richiesti con dati inesatti e non aggiornati

Il Garante Privacy ha comminato una sanzione di 10 milioni di euro ad Axpo Italia Spa, società fornitrice di energia elettrica e gas, per l’attivazione di contratti non richiesti nel mercato libero mediante il trattamento di dati inesatti e non aggiornati della clientela.

La società, che ha trattato illecitamente i dati personali di oltre 5mila utenti, dovrà adottare una serie di misure tecniche e organizzative prescritte dall’Autorità per conformarsi alla normativa italiana e europea sulla protezione dei dati.

Il Garante è intervenuto a seguito di numerosi reclami di utenti che lamentavano l’attivazione a loro insaputa di contratti di luce e gas intestati a proprio nome, dei quali erano venuti a conoscenza dopo aver ricevuto lettere di chiusura del precedente fornitore o dei solleciti di pagamento delle fatture insolute. Gli stessi lamentavano, in particolare, che i propri dati personali (come ad es. indirizzo email, numero di telefono e di fornitura) indicati nel contratto fossero inesatti o non aggiornati.

Dalle ispezioni effettuate dal Garante è emerso che la società acquisiva i nuovi contratti per la fornitura di luce e gas tramite una rete di circa 280 venditori (agenti e subagenti) porta a porta, senza essersi dotata di strumenti e procedure idonee ad avere certezza che i dati inseriti dai venditori all’interno del proprio database corrispondessero effettivamente ai reali utilizzatori delle utenze (quali ad esempio, sistemi di alert per rilevare anomalie procedurali; procedure di controllo dell’operato delle agenzie; verifiche puntuali dell’esattezza dei dati acquisiti; ecc.). Tali carenze hanno comportato l’acquisizione di contratti non richiesti, spesso compilati con dati personali inesatti e non aggiornati. Significativo il caso limite di un utente che aveva contestato alla società ben 23 attivazioni su altrettante utenze aventi la stessa data di inizio e cessazione di fornitura.

Nel database della società, inoltre, erano presenti 2.462 proposte contrattuali in cui lo stesso indirizzo email del potenziale cliente era ripetuto per più di cinque volte.

L’Autorità ha quindi ingiunto ad Axpo Italia Spa l’adozione di una serie di misure correttive, tra cui l’utilizzo di un sistema di “check-call” bloccante che permetta di verificare la correttezza dei contratti acquisiti tramite la rete di venditori; l’introduzione di sistemi di alert idonei a rilevare eventuali comportamenti scorretti e/o fraudolenti di acquisizione dei dati di potenziali clienti da parte dei venditori; l’implementazione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione; l’adozione di regole procedurali volte a rafforzare le attività di audit nei confronti dell’operato delle agenzie.

Sms promozionali senza consenso: sanzionato un ateneo telematico

Una sanzione di 75mila euro è stata comminata dal Garante per la protezione dei dati personali a un’università telematica ritenuta responsabile di aver inviato sms promozionali senza il consenso dei destinatari. L’Autorità, inoltre, ha ingiunto all’ateneo di verificare le misure tecniche e organizzative adottate per poter dimostrare di aver acquisito un valido consenso al trattamento dei dati a fini promozionali, anche in caso di affidamento delle campagne pubblicitarie a terzi. All’ateneo è stato anche vietato l’uso dei dati trattati in modo illecito.

L’intervento dell’Autorità segue il reclamo di alcuni cittadini che lamentavano la ricezione di sms indesiderati e, in un caso, di telefonate promozionali reiterate per 6 anni, anche dopo essersi opposti a tali invii e non aver avuto alcun riscontro da parte dell’università.

L’ateneo, infatti, in violazione del Regolamento Ue e del Codice privacy, ha protratto per anni l’invio di messaggi promozionali senza tener in alcun conto i diritti dei destinatari, nonostante i numerosi reclami ricevuti e mai riscontrati. E soprattutto senza adottare misure per correggere la propria condotta, anche dopo l’avvio dell’istruttoria del Garante, evitando così il ripetersi delle condotte contestate dai reclamanti.

Nel provvedimento, l’Autorità ha poi sottolineato lo scarso grado di collaborazione dimostrato dall’ateneo. L’università, infatti, senza alcuna motivazione, non ha fornito riscontro alle istanze dell’Autorità, rendendo necessario l’intervento del Nucleo speciale privacy della Guardia di Finanza per la notifica degli atti, e disertando, ancora senza giustificazione, un’audizione che essa stessa aveva richiesto e più volte rinviato. Un comportamento che ha determinato un inutile impiego di risorse pubbliche e una dilazione dei tempi del procedimento, elementi di cui il Garante ha tenuto conto nel determinare l’ammontare della sanzione.

Oltre al pagamento della multa, il Garante ha ingiunto all’università telematica di stabilire appropriati tempi di conservazione dei dati - dandone comunicazione agli interessati attraverso l’informativa privacy - e di impartire apposite istruzioni al personale, affinché le richieste di accesso ai dati, di opposizione o di cancellazione, siano soddisfatte tempestivamente.

Misure di sicurezza inadeguate: il Garante sanziona una Asl
La struttura sanitaria aveva subito un attacco ransomware

 Sanzione del Garante privacy di 30.000 euro ad una Asl napoletana per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.

La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l'accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.

Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito.

Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.

Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl. Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.

Euro digitale: le Autorità privacy chiedono maggiori garanzie per i cittadini

Per l’euro digitale servono standard privacy più elevati per guadagnare la fiducia dei cittadini.

È quanto chiedono il Comitato europeo per la protezione dei dati (Edpb) e il Garante europeo della protezione dei dati (Edps) nel parere congiunto sulla proposta di regolamento sull'euro digitale del Parlamento europeo e del Consiglio.

L'euro digitale mira a fornire alle persone la possibilità di effettuare pagamenti elettronici, sia online che offline, in aggiunta all’uso del contante. Opzione accolta con favore da Edpb e Edps che hanno comunque formulato diverse raccomandazioni, per una effettiva garanzia del diritto alla privacy e alla protezione dei dati personali.

Nel parere viene chiesto, in particolare, che siano trattati solo i dati personali necessari al funzionamento della moneta digitale, evitando la concentrazione di dati da parte della Banca centrale europea (Bce) o delle banche centrali nazionali, per le quali la proposta di regolamento dovrebbe introdurre un obbligo esplicito di pseudonimizzazione dei dati delle transazioni.

Allo stesso tempo, la normativa dovrà specificare chiaramente le responsabilità in materia di protezione dei dati di ciascuno degli attori (Bce, banche centrali nazionali, fornitori di servizi di pagamento e fornitori di servizi di supporto) che partecipano all'emissione dell'euro digitale.

“Con questo parere congiunto - ha commentato il Comitato europeo - intendiamo garantire che la protezione dei dati sia incorporata sin dalla fase di progettazione dell'euro digitale, sia online che offline”.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• “Privacy Tour”: l’iniziativa del Garante per chi vive nei piccoli centri. L’obiettivo è quello di scongiurare il rischio di nuovi divari digitali

• Progetto ARC II: 20 seminari gratuiti sulla protezione dei dati personali dedicati principalmente alle piccole e medie imprese - 19 ottobre 2023

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it