Articoli

Rapporto “Agente” – “Procacciatori”: titolari o responsabili? Il Garante sanziona un’agenzia operante per conto di Wind Tre s.p.a.

Con provvedimento del luglio scorso, il Garante Privacy ha comminato una sanzione pari all’1% della sanzione massima edittale nei confronti della società Merlini s.r.l. – agenzia che svolge attività di commercializzazione dei prodotti di Wind Tre s.p.a. – constatando una pluralità di violazioni nel trattamento dei dati personali, derivanti, in particolar modo, da una serie di irregolarità nel rapporto tra agente e relativi procacciatori.

I fatti

L’indagine del Garante per la protezione dei dati personali (“Garante”) si è inizialmente focalizzata su un call center che, tramite il contatto di potenziale clientela, offriva i servizi telefonici della società Wind Tre s.p.a. (“Wind Tre”). A seguito delle espletate verifiche, emergeva come tali attività facessero capo alla società “Alessandro Corbelli Sunrise s.r.l.s.” e, con specifico riferimento alle correlate operazioni di trattamento sui dati personali, si appurava:

  1. l’impossibilità di dimostrare l’origine dei dati degli utenti contattati;
  2. l’inottemperanza alle procedure implementate da Wind Tre per le attività di telemarketing e teleselling;
  3. l’assenza di fornitura di un’adeguata informativa ai sensi dell’art. 14 GDPR nel contesto della telefonata.

Tali manifeste irregolarità inducevano ad un ulteriore approfondimento dal quale emergeva “un significativo legame operativo” tra la predetta società di call center e la “Merlini s.r.l.” (in seguito, “Merlini”). In particolare quest’ultima, a fronte di un regolare contratto di agenzia (comprensivo sia della designazione a responsabile del trattamento che delle relative istruzioni), svolgeva attività di commercializzazione dei prodotti di Wind Tre, a tal fine avvalendosi di alcuni procacciatori dislocati sul territorio nazionale, tra cui figurava la summenzionata Alessandro Corbelli Sunrise s.r.l.s.

I principi desumibili dal provvedimento

Messe in luce le dinamiche alle base dei rapporti tra i soggetti coinvolti nel provvedimento in esame, il Garante ha avuto modo di verificare – e, per l’effetto, tacciare di illiceità – come risultasse mancante una qualunque forma scritta d’accordo – ivi includendosi anche una designazione in ambito privacy – tra Merlini e i cd. “procacciatori”.

Da tale sostanziale premessa ne discendeva una violazione dell’art. 28 GDPR (per aver fatto ricorso ai procacciatori in relazione ad attività di trattamento di dati personali di titolarità di Wind Tre senza che quest’ultima ne fosse informata e, ancora, per non aver posto in capo ai procacciatori i medesimi obblighi in materia di protezione dei dati personali che Merlini aveva nei confronti di Wind Tre) e dell’art. 29 GDPR (per aver consentito che i predetti trattamenti fossero svolti da soggetti che non hanno ricevuto dal titolare del trattamento le necessarie istruzioni).

Sul punto il Garante non ha accolto la difesa di Merlini, a mente della quale il procacciatore sarebbe da ritenersi quale autonomo titolare, operando sul mercato come libero professionista in ricerca di potenziali clienti. Il Garante, infatti, riteneva che tale argomentazione dovesse soccombere dinanzi alla sussistenza di elementi oggettivamente contrastanti quali la spendita del nome del titolare da parte del call center, nonché l’accesso da parte di quest’ultimo a dati di titolarità di Wind Tre mediante utilizzo di credenziali che dovevano rimanere nell’esclusiva disponibilità di Merlini.

A tanto si aggiunga che, in base a quanto stabilito dall’art. 1, comma 11, della Legge n. 5/2018, Merlini fosse da ritenersi responsabile anche delle condotte poste in essere dalla società Alessandro Corbelli Sunrise s.r.l.s. in violazione delle disposizioni della predetta legge.

Alla luce di quanto sopra, il Garante Privacy ingiungeva a Merlini di porre rimedio alla descritta situazione di illiceità nei riguardi dei procacciatori e, tra le alte misure imposte, prevedeva altresì il pagamento della somma di euro 200.000,00 a titolo di sanzione amministrativa per le irregolarità complessivamente riscontrate, pari all’1% della sanzione massima edittale.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo

Marketing selvaggio: continuano le sanzioni del Garante agli operatori telefonici

A seguito delle continue segnalazioni al Garante da parte degli utenti, il 9 luglio 2020 anche Wind Tre e Iliad sono state sanzionate per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali.
 

L’Autorità con due provvedimenti sanzionatori condanna il marketing selvaggio perpetrato ai danni degli utenti.

Con una lunga e articolata motivazione, il Garante commina nei confronti di Wind Tre una sanzione amministrativa pecuniaria di oltre 16 milioni di euro, disponendo altresì l’immediato divieto del trattamento dei dati degli utenti.

Gli accertamenti del Garante hanno messo in luce modalità illecite di acquisizione del consenso degli interessati, violazioni del diritto di revoca del consenso o di opposizione al trattamento dei dati trattati per finalità di marketing nonché gravi irregolarità nella filiera dei partner commerciali della società, che operavano anche in assenza di precipua nomina a responsabile del trattamento.

In particolare, con riferimento al consenso, gli utenti lamentavano di non poter esercitare il proprio diritto di revoca e di opposizione al trattamento con finalità di marketing. Sembra infatti che l’informativa non fosse trasparente e che le imprecisioni della stessa non permettessero l’esercizio dei diritti attraverso gli opportuni canali di contatto.

In effetti, dall’istruttoria è emerso che le applicazioni MyWind e My3 raccoglievano consensi obbligatori e condizionati, salvo consentirne la revoca decorse 24 ore.

Lo stesso 9 luglio, il Garante ha trovato Iliad carente sotto altri profili – scorrette modalità di somministrazione dell’informativa e del consenso degli interessati; modalità di conservazione dei dati di traffico telefonico – sanzionando l’operatore per 800.000 euro limitatamente a questo secondo profilo.

Avv. Marta Cogode
 

EventBot, il nuovo malware che minaccia i conti correnti: come difendersi?

Bypassa l’autenticazione a due fattori e accede a pagine riservate. Si tratta di un trojan che per le sue capacità di evolversi rapidamente sembra essere sempre in grado di hackerare i sistemi.

EventBot è un trojan che, abusando delle funzionalità di accessibilità di Android, ruba i dati degli utenti dalle applicazioni finanziarie e legge i messaggi SMS per consentire al malware di bypassare l’autenticazione a due fattori e accedere alle pagine riservate del mobile banking. In questo modo, EventBot oltre a raccogliere informazioni finanziarie e bancarie, dati personali e password, consente all’aggressore di accedere direttamente ai conti bancari degli utenti.

Sembra che il malware abbia come obiettivo gli utenti di oltre 200 diverse applicazioni finanziarie, tra cui rientrano Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard.

Il gruppo di studio Cybereason Nocturnus segue EventBot da tempo e ha rilevato la peculiare capacità dello stesso di evolversi rapidamente: dall’inizio di marzo 2020, il team ha riscontrato quattro versioni diverse del malware.

Come difendersi?

In questi casi, le misure da prendere non sono mai sufficienti. Tuttavia, qualche consiglio potrebbe risultare utile. Si potrebbe cominciare con il mantenere il proprio dispositivo mobile sempre aggiornato alle ultime versioni; tenere sempre acceso Google Play Protect; evitare di scaricare applicazioni mobili da fonti non ufficiali o non autorizzate; utilizzare soluzioni di rilevamento delle minacce mobili, per una maggiore sicurezza.

Si raccomanda comunque di utilizzare sempre un pensiero critico quando si scaricano le applicazioni per dispositivi mobili, valutando se è il caso di dare tutti i permessi che vengono richiesti ed analizzando anche la privacy policy.

Avv.ti Vincenzo Colarocco e Marta Cogode

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

A cura di Vincenzo Colarocco per Sanità24 de Il Sole 24 Ore. Continua a leggere

GDPR Exclusive Community 2020

27 febbraio – 2 aprile 2020, Roma, Palazzo Passarini Falletti, via Panisperna 207

L’avv. Vincenzo Colarocco, in partnership con TopLegal Academy, ha organizzato la prima edizione del GDPR Exclusive Community 2020, un ciclo di 6 incontri sui temi più attuali che caratterizzano la nuova normativa in materia di protezione dei dati personali. Continua a leggere

Data Protection Officer: ulteriori chiarimenti

Avv. Vincenzo Colarocco

Il 15 dicembre 2017 il Garante Privacy ha pubblicato le nuove FAQ sul Data Protection Officer (“DPO”), in aggiunta a quelle adottate dal Gruppo dei Garanti Article 29 Working Party (“WP29”), chiarendo alcuni aspetti applicativi ed in particolare per l’ambito pubblico.

L’art. 37, primo comma del Regolamento Generale per la Protezione dei Dati Personali n. 679/2016 (“GDPR”) prevede, tra l’altro, l’obbligo per titolari e responsabili di nominare il DPO quando il trattamento dei dati è effettuato da un “organismo pubblico” o da un’“autorità pubblica” – da intendersi – allo stato- come quei soggetti che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, amministrazioni dello Stato, Regioni, istituti previdenziali, ASL, ecc.). Il Garante ha, altresì, chiarito che nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), la designazione del DPO non è obbligatoria, ma è fortemente raccomandata.

Nell’ipotesi in cui il DPO sia interno, l’Autorità consiglia che la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, il quale possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. L’Autorità ha inoltre chiarito che in relazione alla complessità dei trattamenti e dell’organizzazione debba essere valutata attentamente l’opportunità di mettere a disposizione del DPO risorse necessarie – istituendo se necessario anche un ufficio ad hoc-, al fine di poter operare con efficienza ed avere risorse sufficienti in proporzione al trattamento svolto.

Il DPO può svolgere anche ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi e che consentano allo stesso di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal GDPR.

Quanto ai requisiti necessari per svolgere la funzione di DPO il Garante chiarisce – ancora una volta- che il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare in concreto il possesso dei requisiti professionali richiesti dal Regolamento.

Infine, il Garante per agevolare gli enti ha pubblicato sia uno schema di atto di designazione del Data Protection Officer sia un modello di comunicazione al Garante da utilizzare per render nota all’Autorità l’avvenuta nomina.

Privacy, un Dpo per lo studio – Il Data protection offìcer, un onere ma anche un’opportunità

estratto da pag. 34 di ItaliaOggi del 30 gennaio 2017.

Download (PDF, 1.18MB)

Download (PDF, 1.18MB)