Articoli

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.

Le linee guida sull’applicazione dell’ambito territoriale del gdpr

Avv. Vincenzo Colarocco

Il testo chiarisce alcuni aspetti dell’articolo 3 del GDPR che, come noto, obbliga molti dei top player del mondo digitale al rispetto della normativa privacy europea. In concreto, infatti, come si fa a stabilire quando una società asiatica sia tenuta al rispetto del GDPR? Che dire di chi commercializza i propri prodotti tramite un portale e-commerce: l’apertura di un ufficio in Italia può essere considerata come uno stabilimento?

I Garanti Europei sono intervenuti per rispondere a questi e altri quesiti più o meno complessi, al fine di rendere agevole la comprensione e, dunque, l’applicazione della lettera della norma. L’articolo 3 del GDPR enuclea due criteri principali: quello dello “stabilimento” e quello che si basa sull’“oggetto delle attività di trattamento”. Se uno di questi due criteri è soddisfatto, troveranno applicazione le disposizioni pertinenti del GDPR. Inoltre, al paragrafo 3 conferma l’applicazione della normativa vigente in caso di trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

È evidente come le Linee Guida potranno produrre forti conseguenze tanto sulle istituzioni quanto sulle imprese europee e straniere. Per tali ragioni, il Board Europeo dei Garanti ha sottoposto il testo a consultazione pubblica prima della sua definitiva approvazione.

Si attende, pertanto, il testo definitivo che sarà sicuramente utile al fine di garantire una corretta interpretazione della norma.

Violenza sessuale: vietata la pubblicazione di informazioni che possano identificare la vittima, anche indirettamente

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali ha ribadito, con alcune recenti decisioni (cfr. inter alia n. 9065807, 9065782, 9065800) il principio per cui viene fatto divieto ai media di diffondere informazioni che possano rendere identificabile, anche in via indiretta, una vittima di violenza sessuale.

L’art. 137 del Codice della Privacy prevedeva – e tuttora dispone nel nuovo testo dell’art. 12, comma 1, lett. c), del d.lgs. 101/2018,– che in caso di diffusione o di comunicazione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti e delle libertà delle persone e, nello specifico, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Il Garante ha affermato che detto limite deve essere interpretato con particolare rigore quando vengono in considerazione dati idonei a identificare vittime di reati, a maggior ragione con riferimento a notizie che riguardano episodi di violenza sessuale, attesa la particolare tutela accordata dall’ordinamento, anche in sede penale, alla riservatezza delle persone offese da tali delitti.

La diffusione all’interno di un articolo di informazioni idonee a rendere, sia pure indirettamente, la vittima identificabile, risulta in contrasto con le esigenze di tutela della dignità della medesima anche in ragione dell’art. 8, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha ricordato che in caso di inosservanza del divieto, il titolare del trattamento, in questo caso l’editore, può incorrere anche nelle nuove sanzioni amministrative introdotte dal GDPR, all’art. 83, par. 5, lett. e), che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Facebook: l’antitrust rigetta l’eccezione di competenza in tema di privacy

Avv. Vincenzo Colarocco

L’Autorità Garante della Concorrenza e del Mercato (AGCM), con provvedimento del 29 novembre 2018, ha chiuso l’istruttoria per presunte violazioni degli articoli 21, 22, 24 e 25 del Codice del Consumo, avviata lo scorso aprile, nei confronti di Facebook Ireland Ltd. e della sua controllante Facebook Inc., irrogando alle stesse due sanzioni per complessivi 10 milioni di euro.

Secondo l’Antitrust, Facebook avrebbe posto in essere pratiche commerciali scorrette:

– inducendo ingannevolmente gli utenti a registrarsi sulla piattaforma social, dato che Facebook non fornirebbe, in fase di attivazione dell’account, informazioni adeguate ed immediate circa l’attività di raccolta dei dati che viene svolta a fini commerciali, e più in generale, non verrebbero messe in luce le finalità remunerative che in realtà risulterebbero essere alla base della fornitura del servizio di social network, enfatizzandone la sola gratuità e inducendo così gli utenti ad “assumere una decisione di natura commerciale che non avrebbero altrimenti preso” (registrazione al social network e permanenza nel medesimo);

– esercitando un “indebito condizionamento” nei confronti degli utenti/consumatori registrati, i quali subirebbero in modo inconsapevole ed automatico, cioè senza espresso e preventivo consenso, ma attraverso “l’applicazione di un meccanismo di preselezione del più ampio consenso alla condivisione di dati”, la trasmissione degli stessi da Facebook a siti web e/o app di terzi e viceversa, per finalità commerciali, ponendo in essere una pratica aggressiva.

Probabilmente quest’ultimo rappresenta uno dei punti più delicati della vicenda, in quanto potrebbe essere direttamente collegato a tutte le pratiche emerse dallo scandalo Cambridge Analytica in poi (clicca qui).

In considerazione dei rilevanti effetti di tali pratiche sui consumatori, l’Autorità ha altresì imposto a Facebook (ai sensi dell’art. 27, comma 8, del Codice del Consumo) l’obbligo di “pubblicare una dichiarazione rettificativa sul sito internet e sull’app per informare gli utenti consumatori”.

Risultano interessanti le argomentazioni dell’AGCM in merito al mancato accoglimento dell’eccezione sollevata da Facebook in relazione alla possibile incompetenza dell’Autorità stessa a trattare il caso, in ragione di possibili sovrapposizioni con le materie regolate dalla normativa sulla privacy. A tal proposito l’Autorità ha ritenuto che “non sussiste un conflitto tra le due discipline, integrandosi, piuttosto, le stesse in maniera complementare”.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.

La Suprema Corte è chiamata a trovare un punto di equilibrio tra diritto all’oblio e diritto di cronaca

Avv. Vincenzo Colarocco

Con l’ordinanza 28084, le Sezioni Unite Civili della Corte di Cassazione sono state chiamate ad individuare, una volta per tutte, i presupposti che autorizzino la compressione del diritto all’oblio in luogo dell’esercizio del diritto di cronaca. Nel caso di specie, la richiesta di cancellazione ha ad oggetto un articolo del 2009 su un caso di omicidio in ambito familiare verificatosi nel 1982, il cui colpevole ha già scontato i 12 anni di reclusione cui era stato condannato e lamenta danni sia psicologici che patrimoniali. L’esigenza di un indifferibile chiarimento è emersa in maniera ancora più evidente a seguito di un’altra recedente ordinanza della stessa Corte, nella quale veniva individuata una serie di punti, cinque per la precisione, per giustificare la compressione del diritto all’oblio a favore di quello di cronaca, tra i quali figuravano l’interesse effettivo e attuale alla diffusione della notizia, la notorietà della persona interessata, le modalità utilizzate per dare l’informazione, la concessione di un dritto di replica. L’ordinanza 28084 pone l’accento anche sulla tutela dei dati personali, evidenziando come in occasione della definizione dei suddetti parametri, non possa non tenersi conto del nuovo “diritto all’oblio”, introdotto all’art. 15 dal Regolamento europeo sulla protezione e libera circolazione dei dati personali, meglio noto come GDPR.

Telemarketing aggressivo: 600 mila euro di sanzione a Fastweb

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali, con ordinanza ingiunzione del 26 luglio scorso del  ha irrogato 600.000 Euro di sanzione alla Società Fastweb in relazione a delle violazioni già rilevate in un provvedimento adottato prima dell’entrata in vigore del nuovo Regolamento europeo in materia di protezione dei dati personali relativo all’asserita conduzione, su circa 8 milioni di utenti, di campagne di telemarketing direttamente svolte da Fastweb, sia svolte dalle agenzie e dai partner commerciali della medesima.

Ad avviso del Garante, Fastweb “era nelle condizioni di avvedersi dell’enorme numero di contatti di soggetti non inseriti nelle liste fornite ai call-center, del mancato incrocio delle numerazioni con la black-list della società e con il registro delle opposizioni e della rilevante quantità di segnalazioni di interessati che lamentavano contatti indesiderati per conto della stessa Fastweb”.

L’Autorità aveva, infatti, accertato che i call center che lavoravano per la società spesso contattavano clienti o potenziali clienti senza il loro consenso commerciale, chiamando più volte anche chi si era già opposto al trattamento dei propri dati per finalità di marketing.

Ad aggravare la sanzione irrogata dall’Autorità vi è anche l’adozione, da parte della società, di sofisticate attività di profilazione di alcune categorie di clienti senza aver prima acquisito il loro consenso informato e senza avere effettuato una notificazione completa al Garante.

Auto rubate, via libera del Garante Privacy ai Vigili per accedere al ced del Viminale

Avv. Vincenzo Colarocco

Con parere n. 316/2018, l’Autorità Garante ha dato una sua impronta in merito alla regolamentazione degli accessi al cd. alla banca dati (Ced) del Viminale da parte della polizia. Secondo quanto riportato dal Garante, questo tipo di attività dovrà tener conto di tutti quelli che sono i rapporti tra comune e dipartimento di pubblica sicurezza, alla luce del d.lgs. 51/2018 di attuazione della direttiva 2016/680. Una questione non poco problematica quella di regolamentare l’accesso della polizia alla predetta banca dati.

Difatti, se da un lato ai sensi del d.l n. 8/1993, viene prevista la possibilità da parte degli operatori qualificati di polizia locale di accedere a una piccola porzione della banca dati del Ministero dell’Interno, limitatamente alla verifica dei veicoli e dei documenti smarriti, dall’altro lato, per poter ammettere questo tipo di consultazione, – che per altro viene realizzata in modalità automatica in molte città – occorrerà regolare dettagliatamente anche la questione relativa al trattamento dei dati.

Per questi motivi, l’intervento dell’Autorità Garante, oltre a chiarire le modalità ed i compiti della stessa polizia, spiega allo stesso tempo quale impianto normativo seguire: al caso di specie troverà diretta applicazione non il nuovo Regolamento Europeo n. 679/2016, ma la cd. direttiva 2016/680.

Pertanto, non occorrerà regolare l’attività di trattamento dei dati ai sensi della normativa privacy vigente (Codice Privacy), ma facendo specifico riferimento al d.lgs. 51/2018. In virtù di ciò difatti, il titolare del trattamento dei dati, così come secondo il parere della stessa Autorità Centrale, non sarà solo il Dipartimento di Pubblica Sicurezza, ma anche il comune. Discorso diverso per quanto concerne la figura del comandante di polizia locale, il quale diventerà quindi un co-titolare del trattamento di questi dati.

Per cui alla luce del quadro predetto, la regolarizzazione della gestione tecnica e dell’attività operativa spetterà al dirigente, il quale a sua volta, nominerà i soggetti autorizzati.

 

Il Garante dichiara legittimi i software di riconoscimento facciale

Avv. Vincenzo Colarocco

Il Garante ha espresso valutazione positiva sull’Istanza di verifica preliminare che Aeroporti di Roma s.p.a. presentò con riguardo alla installazione di un sistema di rilevazione delle immagini dotato di un software che rende possibile il riconoscimento di un individuo mediante un confronto con le immagini rilevate in punti differenti e successivi.

Un sistema utilizzato con la principale funzione di monitoraggio delle code, avente funzione di migliorare i servizi al pubblico (come richiesto dall’Airport Council International) e di controllare la densità istantanea dei passeggeri in coda.

Il sistema non prevede la memorizzazione delle immagini e dei volti durante la fase dell’entrollement, ma le immagini verrebbero conservate solo per gli istanti strettamente necessari (mediamente 45 minuti) alla loro codifica in tamplate biometerico che non sarebbe più riconducibile a dati personali.

“Il template, dunque, estrapolerebbe solamente i “tratti salienti del volto” e, inoltre, non permetterebbe la ricostruzione di quest´ultimo partendo dal codice numerico” si legge nel provvedimento in cui il Garante valuta positivamente il rispetto dei principi di necessità, proporzionalità, finalità e correttezza: “Al riguardo, vale osservare che il sistema previsto, non è destinato all´identificazione dei passeggeri, ma ad un mero raffronto di volti, con l´obiettivo di individuare lo stesso passeggero che transita in due punti successivi di osservazione al fine di misurare l´afflusso di passeggeri provvedendo al loro conteggio nelle fasi di accodamento in aerostazione. Ciò viene realizzato con modalità tali da minimizzare l´utilizzo dei dati personali, essendo le immagini conservate per gli istanti strettamente necessari alla loro codifica in template biometrico, e senza che sia effettuato alcun incrocio con altri dati identificativi (es. nome e cognome) dei soggetti, con la conseguenza di un trattamento di dati ridotto al minimo.”

Resta l’obbligo per la società della informativa resa in via preventiva verso gli interessati , anche se prevista l’adozione di un modello semplificato di informativa minima.

Caso Google e Mastercard: verifica e valutazione della privacy

Avv. Vincenzo Colarocco

Google ha raggiunto un accordo con Mastercard, colosso delle carte di credito, che consente al gigante californiano di tracciare le transazioni fatte nei negozi di oltre due miliardi di consumatori.

Le persone interessate sono clienti Mastercard negli Stati Uniti, che hanno un account Gmail e che non hanno rifiutato il tracciamento pubblicitario dell’azienda nelle impostazioni. Tuttavia, la stragrande maggioranza dei due miliardi di titolari di Mastercard non è stata avvertita di questa trasmissione di informazioni, iniziata circa un anno fa.
Per ottenere l’accesso a questi dati, Google avrebbe pagato diversi milioni di dollari a Mastercard, secondo due persone che hanno partecipato alla finalizzazione dell’accordo.

Infatti, monitorando gli acquisti dei clienti nei negozi, la società può determinare l’efficacia della pubblicità online degli inserzionisti:

In una dichiarazione ufficiale inviata all’editore, Mastercard spiega che non è a conoscenza degli articoli che un consumatore acquista in un carrello, fisico o digitale, affermando che, in questo modo, non vengono fornite transazioni personali o dati personali.

Google ha inoltre chiarito che i clienti Mastercard possono rinunciare al monitoraggio del browser se non desiderano che i loro dati vengano utilizzati per le finalità sopradescritte.

Il Garante per la privacy italiano verificherà la fondatezza della notizia e le modalità del trattamento dei dati dei consumatori effettuato da Google e Mastercard