Archivi categoria: garante privacy

British Airways è riuscita a far registrare un nuovo, poco invidiabile, record: a seguito della violazione informatica subita nel 2018, l’Information Commissioner’s Office (ICO) le ha inflitto una multa da 204 milioni euro (183 milioni di sterline), una cifra che rappresenta l’1,5% del fatturato annuo della compagnia aerea e la pena pecuniaria più alta al mondo mai comminata per un furto informatico di dati. Una cifra così elevata è giustificata dall’applicazione delle norme relative al GDPR, che prevedono una pena pecuniaria massima pari al 4% del fatturato aziendale.

Marketing: no alla raccolta punti “acchiappa consensi”

Per poter partecipare ad un programma di raccolta punti e usufruire così di piccoli vantaggi il cliente non deve essere obbligato ad esprimere il consenso a ricevere pubblicità. Il principio è stato ribadito dal Garante privacy che ha vietato a una nota marca di pannolini l’ulteriore trattamento per finalità promozionali dei dati di oltre un milione e mezzo di persone, acquisiti in modo illecito mediante il form “raccolta punti” del sito della società.

Dagli accertamenti svolti dal Garante in collaborazione con il Nucleo speciale privacy della guardia di finanza, a seguito di una segnalazione, è emerso che solo nei primi due mesi del 2018 la società ha inviato newsletter promozionali a circa un milione di indirizzi e-mail raccolti e utilizzati senza un valido consenso.

Ai clienti interessati alla raccolta punti, infatti, non veniva data la possibilità, come richiesto dalla normativa, di esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere, tra le quali vi era appunto l’attività promozionale. Per poter completare la registrazione e aderire al programma di fidelizzazione i clienti erano invece obbligati a rilasciare due consensi generici, uno per la società e uno per i marchi collegati.

Oltre a disporre il divieto, il Garante ha ingiunto alla società, qualora intenda svolgere attività promozionali, di modificare il form di raccolta dati presente sul sito, affinché gli utenti possano esprimere un consenso libero e informato per tale finalità.

Per i trattamenti illeciti è stata applicata una sanzione amministrativa che la società ha già pagato.

Informazioni commerciali e Gdpr: le nuove regole 

Informazioni commerciali e Gdpr: le nuove regole 
Il Garante privacy approva il Codice di condotta proposto dall’Ancic

Maggiore tutela delle persone censite, valutazione di impatto sulla protezione dei dati, adeguamento alle best practices europee, un nuovo organismo di monitoraggio sulle imprese aderenti al Codice. Queste sono alcune delle misure indicate nel Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic), e approvato dal Garante per la privacy dopo un complesso iter di elaborazione.

Il testo sostituisce e aggiorna il vecchio Codice deontologico sulle informazioni commerciali – che rimarrà comunque in vigore fino al 19 settembre 2019 – aiutando le imprese del settore ad adeguarsi al Regolamento Ue in materia di protezione dati (Gdpr) e alla normativa italiana, modificata a fine 2018.

Nel Codice di condotta trova concreta applicazione il principio di responsabilizzazione (la cosiddetta accountability), fortemente sostenuto nel Gdpr, che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.

Con il nuovo testo, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso – basandosi sul legittimo interesse – ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

Diverse le novità introdotte. I fornitori aderenti dovranno operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali. Ogni fornitore dovrà inoltre impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, e dovrà designare – quando previsto – un responsabile per la protezione dei dati (Rpd/Dpo).

Sarà infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità previsti dal Regolamento Ue e dettagliati nelle Linee guida europee recentemente approvate in via definitiva. L’Odm dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

L’Autorità segnala che ha approvato il codice di condotta, ma ne ha subordinato l’efficacia al completamento della fase di accreditamento dell’Organismo di monitoraggio, come previsto dal Regolamento Ue sulla privacy. Per procedere in tal senso occorrerà però aspettare la conclusione dei lavori – in seno all’Edpb, organismo che riunisce tutti i Garanti europei – per la definizione di criteri uniformi per l’accreditamento.

Nel sottolineare l’importanza del nuovo Codice di condotta, l’Autorità ricorda che il suo rispetto potrà servire alle imprese a dimostrare la conformità alla normativa del trattamento dei dati personali da esse effettuato.

Data breach: Garante, le comunicazioni agli utenti non devono essere generiche

Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.

La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.

La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.

In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.

 

Dall’Agenzia dell’Unione europea per i diritti fondamentali un “Manuale sul diritto europeo in materia di protezione dei dati”

L’Agenzia dell’Unione europea per i diritti fondamentali (FRA) ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”, che fornisce una panoramica dei quadri giuridici applicabili dell’Unione europea e del Consiglio d’Europa, aggiornata agli ultimi sviluppi normativi (rispettivamente, il Regolamento (UE) 2016/679 e la Convenzione 108+ modernizzata).

Il volume si occupa anche della giurisprudenza, illustrando le principali sentenze sia della Corte di giustizia dell’Unione europea che della Corte europea dei diritti dell’uomo, ed affronta scenari ipotetici che servono come esempi pratici per descrivere le diverse problematiche incontrate in questo campo in continua evoluzione.

Il Manuale è disponibile in tre versioni linguistiche al seguente indirizzo web: https://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law.

Il Garante per la protezione dei dati personali ha collaborato alla realizzazione della versione italiana, qui disponibile:https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_it.pdf.

Avviso pubblico per la costituzione di un elenco di avvocati dal quale eventualmente attingere ai fini del conferimento di incarichi di patrocinio legale nell’interesse del Garante per la protezione dei dati personali

Avviso pubblico per la costituzione di un elenco di avvocati dal quale eventualmente attingere ai fini del conferimento di incarichi di patrocinio legale nell’interesse del Garante per la protezione dei dati personali
(7 maggio 2017)

 

 

Avviso pubblico elenco avvocati – formato pdf 

 

 

Modulo d’iscrizione – formato word