SOCIETA’ GAS E LUCE FA CONTRATTI IRREGOLARI: MULTA 10 MILIONI DI EURO
La società Axpo Italia Spa che si occupa di fornire gas e luce ha acceso dei contratti in maniera irregolare ed è stata sanzionata con 10 milioni di euro dal Garante della Protezione dei dati personali italiano. I contratti venivano aperti con dati incompleti o inesatti e spesso nella totale inconsapevolezza dell’utente come hanno testimoniato diverse persone all’Authority. Molti lamentavano di aver capito la situazione solo quando la vecchia azienda ha inviato loro la lettera di disdetta del contratto e sono arrivate le nuove bollette di Axpo. L’azienda si è scusata spiegando che si serve di diverse agenzie per i primi contatti con i clienti. Il Garante ha sottolineato che se le agenzie nel ruolo di Responsabili del trattamento dei dati non agiscono in modo conforme al contratto col Titolare, al Titolare resta sempre l’onere del controllo. L’Authority ha rilevato la carenza del principio di esattezza dei dati, di responsabilizzazione e di accountability in riferimento alla carenza di prassi organizzative di controllo. Ad esempio, tra i difetti di procedura, è risultato che le agenzie non hanno mai inviato una welcome letter all’utente che avrebbero dovuto arrivare all’interessato subito dopo aver acquisito i suoi dati e prima della sottoscrizione del contratto finale, a conferma dell’effettiva volontà della persona di accendere un contratto di fornitura. Nel database aziendale lo stesso indirizzo mail compariva per almeno 5 volte in 2.462 contratti senza che partisse un alert. Infine è emerso che a fronte delle proteste degli utenti, l’azienda non era in grado di segregare i dati personali dell’interessato in questione e procedere a verifiche. Il fenomeno era talmente dilagante che risultano annullati quasi 9 mila contratti dopo reclami per attivazioni non richieste. Un interessato addirittura ha dichiarato di aver ricevuto 23 attivazioni non richieste. Oltre alla sanzione, il Garante ha intimato la cessazione del trattamento dei dati di 5.100 utenti.
I LAVORATORI HANNO DIRITTO DI ACCESSO AI DATI DI GEOLOCALIZZAZIONE
Il Garante della Protezione dei dati personali ha multato con 20 mila euro un’azienda che cura la lettura di contatori di utenze gas, luce e acqua per aver negato a tre dipendenti l’accesso ai dati sulla geolocalizzazione. I tre lavoratori volevano controllare la correttezza dei pagamenti della loro busta paga e hanno chiesto l’accesso al calcolo dei rimborsi chilometrici, basati su un’app in uso su uno smartphone aziendale munito di posizione geografica. L’azienda ha risposto che non c’è alcun controllo sul lavoro e che il dispositivo aziendale serve solo per leggere i contatori. Il Garante ha precisato che la geolocalizzazione raccoglie dati personali ai quali l’interessato, in questo caso il lavoratore, ha diritto di accesso. E comunque c’è un diritto d’accesso ai propri dati a prescindere, diritto al quale non ha ottemperato l’azienda negando di fatto l’accesso ai dati dal 2019. Nel testo si fa riferimento anche a un recente documento dell’EDPB sull’accesso ai dati, Le Linee Guida 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023
UNIVERSITA’ ONLINE FA MARKETING SELVAGGIO
E’ bastata una segnalazione di una persona sull’Università telematica e-Campus, per far scattare un’indagine che ha comportato una sanzione di 75 mila euro. Secondo quanto appurato la persona aveva ricevuto una pletora di sms promozionali senza aver mai autorizzato alcunchè. Nel momento in cui ha chiesto la cancellazione dei suoi dati, ha continuato a ricevere messaggi, in quanto, come ha spiegato e-Campus, c’è un contitolare che però non appare nel sito web e neppure nei messaggi. Comunque è risultato che anche quando le richieste di cancellazione degli interessati pervenivano a più indirizzi mail, compresa la pec, non ricevevano alcun riscontro e i messaggi venivano inviati senza alcun consenso. Anche il Garante ha fatto la prova sulle mail in questione.
I DATI DI 842 MILA ASSISTITI DI UN’ASL DI NAPOLI FINISCONO SUL DARK WEB
La Asl Napoli 3 Sud è stata multata con 30 mila euro per non aver protetto adeguatamente i dati di 842 mila assistiti. In pratica è stata attaccata ma non ha reagito in tempo ai segnali di ramsomware. E’ poi risultato che per la connessione VPN mancava il doppio fattore di identificazione e che non c’era una progressività di accessi, rimanendo tutti gli operatori col ruolo di amministratore. I dati sanitari dei cittadini sono così finiti sul dark web. L’attaccante è riuscito a fare diverse operazioni in giorni diversi fino a criptare i dati delle buste paga dei dipendenti e di documenti dei fornitori. Morale, il Garante ha rilevato una gestione poco adeguata degli alert sui primi attacchi informatici e quindi una disorganizzazione rispetto ai meccanismi di difesa da mettere in atto; le reti non erano adeguatamente difese; infine la rete non era segmentata in modo che i 1,200 dipendenti non potessero avere accesso a tutta la documentazione. Così, nonostante la fattiva collaborazione dell’Asl, il Garante ha comminato una multa di 30 mila euro.
PRIVACY TALK ‘23: IL GARANTE INCONTRA I GIOVANI A NAPOLI
Cyberbullismo, revenge porn, furto d’identità e fake news sono stati gli argomenti al centro di una giornata di incontro tra i giovani e il Garante privacy il 25 ottobre a Napoli, dal titolo Privacy Talk ‘23 dalla parte dei giovani col coinvolgimento di 400 studenti. La Vicepresidente del collegio Ginevra Cerrina Feroni ha detto che “come collegio tre anni fa ci siamo dati l’obiettivo di avere i giovani come priorità e quindi uscire dagli uffici e incontrarvi” e ha aggiunto che “la priorità in questo mondo interconnesso è la protezione dei nostri dati personali”. Il presidente del Garante, Pasquale Stanzione, che si è collegato da Roma per impegni istituzionali, ha concluso di lavori aggiungendo che “il digitale disegna i nostri progetti di vita e può raccontare un’agorà di una cultura aperta e pluralista ma diventare anche il luogo dove si censura il pensiero, si amplifica la violenza perpetrata online. Le nuove tecnologie possono essere alleate ma anche avversarie della nostra libertà”. Stanzione ha insistito sulla necessità di avere una vita off-line per apprezzare l’affettività e la comunicazione umana.
LA PRIVACY IN GIRO PER L’ITALIA
Il Garante ha anche organizzato un tour in comuni sotto i 50 mila abitanti che possono essere promossi da enti locali e da studi professionali o associazioni, in pratica da molti soggetti pubblici e privati, con almeno 100 partecipanti. Gli incontri incentrati su protezione dei dati e intelligenza artificiale, saranno pubblicati sul sito del Garante. Il progetto si chiama Privacy Tour 2024. Per info www.gpdp.it/privacytour2024
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023), che da ottobre 2023 viene regalato come strenna ai nuovi iscritti di Federprivacy. Stiamo lavorando a un nuovo volume sempre per FrancoAngeli col DPO Ferdinando Mainardi.
