Articoli

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.

Il caso Wind Tre: iniziative di telemarketing e trattamento illecito di dati

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul tema del trattamento dei dati personali in relazione ad iniziative di marketing, pronunciandosi nei confronti di Wind Tre s.p.a.. All’esito di un’istruttoria avviata a seguito di numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale, l’Autorità Garante italiana ha emesso un’ordinanza di ingiunzione nei confronti di Wind Tre s.p.a (Provvedimento n. 493 del 29 novembre 2018) condannando la compagnia di telecomunicazioni al pagamento di una sanzione pecuniaria pari a 600 mila euro. La sanzione deriva da un provvedimento adottato nel mese di maggio 2018 (Provvedimento n. 330 del 22 maggio 2018) e quindi precedente all’entrata in vigore del Regolamento n. 679/2016, nell’ambito del quale l’Autorità aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica a fini di marketing. Le violazioni contestate a Wind Tre s.p.a. dal Garante Privacy sono da ricondurre a due condotte specifiche: la mancata verifica delle liste di chi non aveva prestato il consenso per essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti, e la sistematica, prolungata e illecita comunicazione di dati della clientela a terzi partner commerciali. La società, infatti aveva proceduto ad un’erronea qualificazione soggettiva della maggior parte dei punti vendita, individuandoli come titolari autonomi, anziché come responsabili del trattamento, incorrendo pertanto in una illecita comunicazione. Inoltre, tutte le richieste provenienti dai soggetti interessati inerenti alla revoca del consenso per finalità di telemarketing e marketing non erano state registrate ed organizzate dalla società ma solo  comunicate ai partner, che avrebbero dovuto poi provvedere in autonomia. Pertanto, accertata l’illiceità del trattamento, nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, del fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, della loro reiterazione nel tempo nonché della dimensione e delle condizioni economiche della società, ma anche – in termini favorevoli – del fatto che Wind Tre s.p.a abbia posto in essere autonome iniziative per eliminare le criticità emerse. Inoltre, sulla qualifica soggettiva dei partner commerciali, l’Autorità ha chiarito che l’omessa designazione di tali soggetti quali “responsabili del trattamento” ha dato luogo ad una sistematica oltre che prolungata comunicazione illecita dei dati riferiti alla clientela a terzi, fino al 93% degli operatori economici che vanno a comporre la rete commerciale della Società. Tuttavia, l’iniziale sanzione di 150 mila euro è risultata  inefficace, costringendo l’Autorità in questa occasione ad aumentarla del quadruplo, arrivando cosi alla somma di 600 mila euro.

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.

Impronte digitali per aprire le automobili: ipotesi percorribile?

Avv. Vincenzo Colarocco

Di recente, un noto marchio automobilistico ha sviluppato un sistema che consentirà ai guidatori di sbloccare la propria autovettura mediante l’impronta digitale. Tanto risulterà possibile attraverso l’installazione, sulla portiera del veicolo, di un sensore d’impronte digitali –tipico dell’interfaccia utente degli smartphone– che consentirà di registrare più impronte consentendo, così, l’utilizzo della stessa auto a più persone. Si segnala, inoltre, l’implementazione di ulteriori progetti finalizzati a consentire, in futuro, non solo l’apertura dell’auto ma, altresì, l’accensione della stessa migliorando ulteriormente i profili legati alla sicurezza degli utenti.

Il profilo personale del guidatore verrebbe quindi riconosciuto dall’automobile così consentendo all’utilizzatore di regolare anche i sedili, gli specchietti laterali e le impostazioni di connettività secondo le sue preferenze. In futuro, queste possibilità potrebbero estendersi anche alla regolazione della temperatura della cabina, della posizione del piantone dello sterzo e altre regolazioni personali.

La descritta tecnologia, destinata in futuro a remunerative opportunità di business per l’industria automobilistica, appare sicuramente promettente se adeguatamente implementata nel rispetto della privacy dell’utilizzatore e, in particolare, del trattamento dei suoi dati biometrici.

Software Claudette: I.A. contro le clausole vessatorie

Avv. Vincenzo Colarocco

Nasce “Claudette”, il software basato sull’intelligenza artificiale che viene in soccorso dei consumatori per metterli in guardia dalle clausole vessatorie dei contratti stipulati unilateralmente e sottoscritti online. A guidare il relativo progetto è stato l’Istituto Universitario Europeo di Fiesole, con i Professori Giovanni Sartor e Hans-W- Micklitz, in collaborazione con gli ingegneri dell’Università di Bologna e dell’Università di Modena e Reggio Emilia.

A fronte di un aumento del 15% nel 2018 per l’e-commerce italiano, il valore mondiale degli acquisti online sembra stagliarsi attorno ai 2 milioni di euro. Tali acquisti vengono però effettuati, nella maggior parte dei casi, ignorando le clausole contrattuali o le condizioni di servizio. Già dieci anni fa, e dunque prima ancora dell’entrata in vigore del Regolamento (UE) 2016/679 (“GDPR”), uno studio pubblicato sul Journal of Law and Policy for the Information Society rappresentava come la lettura effettiva delle sole privacy policy sarebbe costata, in termini di tempo, circa 200 ore l’anno per utente; a tanto si aggiunga lo scarso rilievo pratico di un analitico esame delle suddette clausole, stante il limitato potere contrattuale dell’utente in relazione a controparti quali Google, Facebook o Amazon.

Claudette si propone di contrastare l’inserzione delle clausole abusive attraverso l’automazione della fase di identificazione delle stesse secondo lo schema tipico dei meccanismi di machine learning: i ricercatori hanno raccolto i termini e le condizioni di servizio di alcune delle maggiori piattaforme online, quali, tra le altre, Google, Linkedin, Dropbox, World of Warcraft, Yahoo e Twitter, ed hanno ricondotto ciascuna clausola ad otto diverse categorie, tra le quali figurano: giurisdizione, legge applicabile e limitazioni di responsabilità. L’applicazione dell’I.A. al caso di specie ha portato ad un risultato senza dubbio significativo: l’8,6% delle frasi totali (segnatamente, 1032 delle 12011 inserite) è stato identificato come potenzialmente abusivo. Oltre ai consumatori, Claudette potrebbe essere d’ausilio anche agli stessi operatori del settore, come per esempio consulenti o avvocati, chiamati a pronunciarsi sulla legittimità dei regolamenti contrattuali predisposti dai propri clienti, in questo modo ottimizzando la fase di studio dei contratti e di conseguente identificazione delle clausole abusive.

Il garante vieta di rendere pubbliche le valutazioni e le contestazioni disciplinari al dipendente

Avv. Vincenzo Colarocco

È illecita l’affissione in bacheca di dati personali relativi alle valutazioni e alle contestazioni disciplinari dei soci lavoratori. Questo è quanto afferma il Garante con il provvedimento n. 500 del 13 dicembre 2018. In particolare, una società toscana aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori e, settimanalmente, pubblicava sulla bacheca aziendale le valutazioni sull’attività dei propri lavoratori attraverso un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano, in forma sintetica, i giudizi, positivi o negativi, espressi sul socio, corredati, se del caso, dalle contestazioni disciplinari. La valutazione negativa comportava una decurtazione dallo stipendio.

Il Garante, sul punto, ritiene che sia conforme a normativa che il datore di lavoro tratti i dati necessari a compiere la valutazione sul corretto adempimento della prestazione lavorativa del proprio dipendente, cui eventualmente consegue l’esercizio del potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Tuttavia, la sistematica messa a disposizione delle medesime informazioni mediante affissione su una bacheca all’interno dei locali della società, pubblicamente, in modo da rendere edotti tutti gli altri dipendenti ed eventuali terzi visitatori, non appare lecita, in quanto, tali soggetti, non sono legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari.

I trattamenti effettuati si pongono, dunque, in contrasto con il Regolamento (UE) 2016/679 e sono da ritenersi illeciti perché non rispondenti al principio di liceità, correttezza e trasparenza, nonché a quello della minimizzazione dei dati. Le informazioni concernenti valutazioni e contestazioni disciplinari sono particolarmente delicate poiché incidono sulla dignità professionale del dipendente.

Del resto, il fatto che i soci lavoratori avessero prestato il proprio consenso a partecipare al concorso non pare essere dirimente: tale manifestazione di volontà non può costituire la base giuridica idonea a legittimare il trattamento di dati personali. La ragione è data da un lato, dalla sussistenza di un’asimmetria tra le rispettive parti del rapporto di lavoro, cui consegue la necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso; dall’altro, il consenso prestato dai soci potrebbe unicamente riguardare l’autorizzazione a detrarre dalla busta paga eventuali decurtazioni derivanti da valutazioni negative.

Il garante privacy verifica la conformità dei codici deontologici

Avv. Vincenzo Colarocco

Sono stati recentemente diramati, dall’Autorità Garante italiana, i nuovi testi dei riformati codici deontologici in ossequio alle prescrizioni dettate dalla disciplina comunitaria in materia di protezione dei dati personali.

In particolare, con il D. Lgs. n. 101/2018 – volto alla modifica del D. Lgs. 196/2003 (“Codice Privacy”) al fine di conformarlo al Regolamento UE 679/2016 (“GDPR”) – il Legislatore Italiano ha posto in capo al Garante Privacy l’onere di verificare quali disposizioni dei codici di deontologia e di buona condotta allegati al previgente Codice Privacy fossero da ritenersi conformi al GDPR. In particolare, le valutazioni dell’Autorità italiana si sono concentrate sui codici deontologici inerenti ai trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive.

Concordemente con quanto disposto dal D.Lgs. 101/2018, l’opera del Garante non si è limitata ad una valutazione di mera conformità ma ha richiesto, altresì, un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo, con la conseguente soppressione o ridefinizione di talune previsioni alla luce dei nuovi principi di accountability, privacy by default e by design che permeano l’intera impostazione del GDPR. In dettaglio, ai sensi del D. Lgs. 101/2018, entro 90 giorni dalla data di entrata in vigore del decreto, il Garante avrebbe pubblicato in Gazzetta Ufficiale le disposizioni ritenute conformi (ridenominate “regole deontologiche”), emendate dalle disposizioni incompatibili, prescindendo quindi da una consultazione pubblica. Consultazione al contrario prevista – per una durata minima di 60 giorni – per le regole deontologiche di cui all’art. 2-quater del novellato Codice Privacy.

Nei giorni scorsi il Garante ha quindi trasmesso al Ministero della Giustizia i testi aggiornati delle regole deontologiche sottoposte alla sua valutazione, testi che possono essere consultati direttamente sul sito dell’Autorità (qui) e che, nello specifico, attengono ai trattamenti per fini statistici o di ricerca scientifica; ai trattamenti con finalità di archiviazione nel pubblico interesse o per scopi di ricerca storica; ai trattamenti effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria; al trattamento di dati personali nell’esercizio dell’attività giornalistica.

Al via la fatturazione elettronica ma ancora riserve sulla protezione dei dati personali

Avv. Vincenzo Colarocco

Dal primo gennaio la Legge di Bilancio 2018 ha introdotto l’obbligo della fatturazione elettronica, anche nelle relazioni commerciali tra soggetti passivi Iva privati (aziende e professionisti) e verso i consumatori finali. In particolare, per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato dovranno essere emesse, utilizzando il Sistema di Interscambio (SDI), esclusivamente fatture elettroniche in formato XML, già in uso per le fatture della P.A.. I soggetti passivi IVA dovranno trasmettere telematicamente all’Agenzia delle Entrate i dati relativi alle operazioni di cessione di beni e di prestazione di servizi effettuate e ricevute verso e da soggetti non stabiliti nel territorio dello Stato, salvo quelle per le quali è stata emessa una bolletta doganale e quelle per le quali siano state emesse o ricevute fatture elettroniche secondo le modalità del Sistema di Interscambio. La trasmissione telematica dovrà essere effettuata entro l’ultimo giorno del mese successivo a quello della data del documento emesso ovvero a quello della data di ricezione del documento comprovante l’operazione. Restano esonerati solo i soggetti passivi che rientrano nel c.d. “regime di vantaggio” e quelli che applicano il regime forfettario.

La modifica è di grande portata, poiché l’adempimento interesserà la maggior parte delle partite IVA, con conseguente trasmissione in digitale di un ingente numero di documenti e rischi relativi.

Oltre ai timori che il sistema di interscambio possa subire crash informatici, con dispersione dei dati, il Garante della privacy è intervenuto in diverse occasioni sollevando dubbi e rilevando criticità.

Con articolato provvedimento del 20 dicembre scorso, il Garante ha individuato i presupposti e le condizioni perché l’Agenzia delle Entrate possa avviare i trattamenti di dati connessi al nuovo obbligo.

La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio, avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche che contengono informazioni di dettaglio, non rilevanti a fini fiscali, sui beni e servizi acquistati come le abitudini e le tipologie di consumo legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il nuovo sistema di fattura prevede, invece, che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es. incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.

I soggetti che erogano prestazioni sanitarie saranno esclusi dall’obbligo di emettere fattura elettronica.

Al fine di prevenire trattamenti impropri dei dati, il Garante ha avvertito tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione. Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sulla protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.