Articoli

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.

Le linee guida sull’applicazione dell’ambito territoriale del gdpr

Avv. Vincenzo Colarocco

Il testo chiarisce alcuni aspetti dell’articolo 3 del GDPR che, come noto, obbliga molti dei top player del mondo digitale al rispetto della normativa privacy europea. In concreto, infatti, come si fa a stabilire quando una società asiatica sia tenuta al rispetto del GDPR? Che dire di chi commercializza i propri prodotti tramite un portale e-commerce: l’apertura di un ufficio in Italia può essere considerata come uno stabilimento?

I Garanti Europei sono intervenuti per rispondere a questi e altri quesiti più o meno complessi, al fine di rendere agevole la comprensione e, dunque, l’applicazione della lettera della norma. L’articolo 3 del GDPR enuclea due criteri principali: quello dello “stabilimento” e quello che si basa sull’“oggetto delle attività di trattamento”. Se uno di questi due criteri è soddisfatto, troveranno applicazione le disposizioni pertinenti del GDPR. Inoltre, al paragrafo 3 conferma l’applicazione della normativa vigente in caso di trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

È evidente come le Linee Guida potranno produrre forti conseguenze tanto sulle istituzioni quanto sulle imprese europee e straniere. Per tali ragioni, il Board Europeo dei Garanti ha sottoposto il testo a consultazione pubblica prima della sua definitiva approvazione.

Si attende, pertanto, il testo definitivo che sarà sicuramente utile al fine di garantire una corretta interpretazione della norma.

Violenza sessuale: vietata la pubblicazione di informazioni che possano identificare la vittima, anche indirettamente

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali ha ribadito, con alcune recenti decisioni (cfr. inter alia n. 9065807, 9065782, 9065800) il principio per cui viene fatto divieto ai media di diffondere informazioni che possano rendere identificabile, anche in via indiretta, una vittima di violenza sessuale.

L’art. 137 del Codice della Privacy prevedeva – e tuttora dispone nel nuovo testo dell’art. 12, comma 1, lett. c), del d.lgs. 101/2018,– che in caso di diffusione o di comunicazione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti e delle libertà delle persone e, nello specifico, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Il Garante ha affermato che detto limite deve essere interpretato con particolare rigore quando vengono in considerazione dati idonei a identificare vittime di reati, a maggior ragione con riferimento a notizie che riguardano episodi di violenza sessuale, attesa la particolare tutela accordata dall’ordinamento, anche in sede penale, alla riservatezza delle persone offese da tali delitti.

La diffusione all’interno di un articolo di informazioni idonee a rendere, sia pure indirettamente, la vittima identificabile, risulta in contrasto con le esigenze di tutela della dignità della medesima anche in ragione dell’art. 8, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha ricordato che in caso di inosservanza del divieto, il titolare del trattamento, in questo caso l’editore, può incorrere anche nelle nuove sanzioni amministrative introdotte dal GDPR, all’art. 83, par. 5, lett. e), che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.

Cassazione: rilevazione presenze con dati biometrici – Il Garante deve autorizzarla

Avv. Vincenzo Colarocco

La Suprema Corte di Cassazione con sentenza del 4 maggio 2018, depositata il 15 ottobre 2018, si è pronunciata sul trattamento dei dati biometrici dei dipendenti, attraverso un badge per rilevare la presenza.

La vicenda prende le mosse nel 2015, a seguito della sanzione inflitta del Garante Privacy nei confronti di una società specializzata nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.

Proposta l’opposizione, il Tribunale di Catania la accoglieva, ritenendo che le apparecchiature utilizzate dalla società “non prelevino e non trattino i dati biometrici […] e che il dato biometrico è utilizzato come individualizzante, ma non come identificante”.

A seguito del ricorso del Garante, la Suprema Corte ha ribaltato l’interpretazione del giudice di merito precisando che ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati è irrilevante, essendo sufficiente “una mera attività di raccolta ed elaborazione”. Orbene, ciò che rileva al predetto fine è che “il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica”. E questo non si poteva fare senza la preventiva notifica al Garante -conclude la Suprema Corte- neppure per uno scopo legittimo come quello di ‘controllo delle presenze’.

Evidente appare la diretta correlazione della statuizione della Corte con i principi espressi dal Regolamento UE 2016/679, tenendo conto che l’istituto della notifica preliminare oggi non trova più applicazione essendo stata introdotta peraltro la valutazione d’impatto.

Il “Rating reputazionale” non è vietato: la sentenza del Tribunale di Roma

Avv. Vincenzo Colarocco

Con sentenza n. 5715/2018, il Tribunale di Roma ha stabilito che la mancanza di una disciplina normativa sul ‘rating reputazionale’ non osta allo sviluppo di infrastrutture capaci di attribuirlo.

Nel caso di specie, una associazione impugnava il provvedimento del Garante per la protezione dei dati personali inibitorio del sistema di elaborazione dei dati da questa sviluppato per quantificare la reputazione di individui, persone giuridiche ed enti, pubblici e privati, assegnando loro un vero e proprio “rating”. Di avviso opposto rispetto al Garante, che aveva ritenuto che il complesso sistema di raccolta e di trattamento dei dati personali in oggetto sarebbe stato in grado di incidere sia sulla rappresentazione economica e sociale di un’ampia categoria di soggetti, sia sulla vita privata degli individui censiti, il giudice ordinario ha rilevato come siano ormai largamente diffusi gli organismi privati di valutazione e di certificazione, riconosciuti anche a fini di attestazione di qualità e/o di conformità a norme tecniche. Il Tribunale ha, dunque, stabilito che «non può negarsi all’autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato ‘valutativi’, in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici», pertanto annullando il provvedimento del Garante, fermo il divieto di trattare i dati personali di soggetti non iscritti alla piattaforma, ancorché tratti da documenti liberamente conoscibili.

Pubblicato l’elenco delle tipologie di trattamenti soggetti al requisito di valutazione d’impatto

Avv. Vincenzo Colarocco

Con il provvedimento n. 467 dell’11 ottobre 2018, il Garante pubblica l’elenco dei trattamenti che, ai sensi del paragrafo 4 dell’art. 35 del Regolamento (UE) 2016/679, sono soggetti a valutazione d’impatto.

In particolare, tenuto conto e allo scopo di specificarne ulteriormente il contenuto delle linee guida in materia di valutazione d’impatto sulla protezione dei dati del Gruppo Articolo 29 (WP 248, rev. 01) che hanno individuato nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, il Garante ha predisposto un elenco delle tipologie di trattamento da sottoporre obbligatoriamente a valutazione d’impatto. Tale elenco,  rilevato che potrà essere modificato o integrato anche sulla base delle risultanze emerse nel corso della prima fase di applicazione del GDPR, è stato comunicato al Comitato europeo per la protezione dei dati che, nel garantire l’applicazione coerente del Regolamento, sarà tenuto ad emettere un parere. L’Autorità pone l’accento sul fatto che si faccia riferimento esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e che l’elenco non può intendersi esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 248, rev. 01 e che in taluni casi “un titolare può ritenere – comunque – che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati”.