MULTA AD ACEA ENERGIA DI 3 MILIONI DI EURO PER TELEMARKETING
Secondo le indagini del Garante Acea Energia Spa, anche tramite agenzie e aziende collegate, faceva marketing aggressivo e trattamento illecito di dati personali per procacciare nuovi clienti per la fornitura di gas e luce. In occasione del passaggio ad altri fornitori, il cliente veniva contattato dagli operatori legati ad Acea che adducevano problemi nel passaggio ad altre aziende, inviavano un venditore al domicilio del cliente e questi attivava un nuovo contratto con Acea, dicendo che si trattava di un contratto temporaneo in attesa che si rivolvesse il problema. Il provvedimento è nato dalla segnalazione di un redattore di Striscia la notizia e ha verificato che gli operatori davano informazioni ingannevoli, spesso con toni aggressivi. Dalle ricerche della Guardia di finanza è emerso che le agenzie di Acea, tra cui M.G. Company srl con sedi in Lazio e la ditta Stefanelli, utilizzavano banche dati illegali, call centeer non regolari e avevano tutti i dati dei cittadini, compreso Pod e Pdr che sono la carta d’intentità del contatore e della fornitura e sono dati difficilmente accessibili. Tutto questo avveniva in totale assenza di consenso dell’interessato e senza informative adeguate. Il Garante sottolinea come Acea avrebbe dovuto vigilare maggiormente sulla catena dei fornitori e subfornitori. Nel provvedimento perciò si conclude con la multa ad Acea per 3 milioni di euro nonostante a marzo del 2021 Acea avesse interrotto i rapporti con M.G.Company, e il network di agenzie e società coinvolte nel telemarketing per 850 mila euro. Acea ha anche l’obbligo di informare tutte le persone coinvolte nel trattamento illegale dei dati e verificare l’esistenza di sub-responsabili non autorizzati al trattamento dei dati.
COME EVITARE LO SMISHING
Con un sms e incutendo qualche paura o allarme riescono ad avere le credenziali del tuo conto bancario e ne approfittano. Il Garante italiano ha publicato una pagina informativa sullo smishing o pishing tramite Sms. Di solito i delinquenti partono da qualche allarme, relativo ad esempio a un parente finito in ospedale o a un’eredità imminente, chiedono di cliccare un link che porta a un form online dove inserire dati della carta di credito, dati bancari o simili, oppure il link da cliccare può introdurre dei malware nel cellulare e scovare dati bancari o password nascoste in qualche file. Altrimenti ti chiedono di scaricare un allegato, rispondere a messaggi dando codice fiscale, dati bancari, password o addirittura ti chiamano al telefono dicendo di essere dei dipendenti del tuo istituto di credito. Spesso il telefonista si presenta dicendo di offrire degli sconti, fornire beni o servizi, o dice che non sono state pagate delle bollette luce o gas. La pagina informativa termina con due consigli: non tenere dati bancari sullo smartphone e non dare dati personali o bancari a sconosciuti. Se si è vittima di un furto di dati, contattare subito la propria banca.
MULTATA CON 100 MILA EURO SOCIETA’ FORNITRICE DI DATI A IMMOBILIARE
Tra il 2022 e il 2024 il Garante ha ricevuto una marea di segnalazioni circa il fenomeno di messaggi e telefonate da parte di presunti agenti immobiliari alla cassi di mediazioni, che dimostrano di conoscere l’ubicazione delle abitazioni, nome e cognome e altro. Ovviamente le persone non si erano mai rivolte a tali agenti immobiliari e tantomeno sono intenzionate a vendere la propria casa. Con una lunga indagine, il Garante ha individuato che alla base del traffico di dati c’è un’azienda chiamata Realmaps, che forniva agli agenti immobiliari dati molto precisi ricavati dai dati catastali, quelli per area geografica e dati in possesso delle Agenzie del territorio. Dentro c’erano anche nome, cognome, indirizzo, codice fiscale e mail personale dei proprietari di immobili. Realmaps sostiene di essere solo un intermediario di un’altra società. Naturalmente il Garante ha precisato che se l’interessato fornisce il suo consenso all’azienda X, i dati non possono essere distribuiti ad altri titolari autonomi a catena. Per chi fosse interessato i provvedimenti a tal proposito sono qui: provv. 13 maggio 2021, n. 192, doc. web n. 9670025; v. anche provv.ti 11 dicembre 2019, n. 232, doc. web n. 9244365; 12 novembre 2020, n. 224, doc. web n. 9485681; 15 dicembre 2022, n. 431, doc. web n. 9856345, tutti in www.gpdp.it. Ovviamente dalle verifiche è risultato che né Realmaps né le agenzie immobiliari hanno raccolto alcun consenso da parte degli interessati all’utilizzo dei dati personali. La mole dei dati trattati illegalmente è notevole: in un caso si trattava di oltre 30 mila anagrafiche, in un altro di 112 mila circa, in un terzo oltre 10 mila, fino a oltre 2 milioni in un altro ancora. Verificata la violazione di un gran numero di articoli del GDPR e delle norme vigenti sul periodo di conservazione dei dati, i diritti degli interessati, la carenza delle informative, il fatto che anche ex dipendenti di Realmaps acccedessero al database e di mezzo avessero inserito anche un concorso per vincere un computer, il Garante ha bloccato ogni trattamento e imposto una multa di 100 mila euro. Il provvedimento potrebbe applicare sanzioni anche ad altre aziende trovate durante l’indagine. Ricordiamo che il marketing deve avvenire rispettando le norme e che deve essere rispettata una black list per chi non vuole ricevere comunicazioni o ritira il suo consenso.
50 MILA EURO A REGIONE LOMBARDIA PER METADATI DELLE MAIL
La Regione Lombardia, in qualità di datore di lavoro e quindi di titolare, raccoglieva i log di navigazione (vale a dire dati sulla navigazione in internet dei dipendenti) e metadati sulle loro mail. Il comportamento dell’azienda pubblica è stato sanzionato in quanto non c’era accordo con i sindacati rispetto alla conservazione dei metadati, tantomeno un’informativa ai dipendenti e garanzie a tutela dei lavoratori. Insieme alla multa di 50 mila euro, l’Authority ha chiesto diverse misure correttive come: l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili e infine la riduzione del termine di conservazione di tali dati. L’inchiesta è partita per anomalie rispetto al lavoro, e grazie ad accertamenti “avviati d’ufficio” (come si legge nel provvedimento). L’aspetto più anomalo era il fatto che venivano mantenuti in memoria anche i tentativi di accesso ai siti che la Regione aveva messo in una blacklist, siti quindi che non erano comunque consultabili dal lavoratore. Inoltre la Regione conservando i metadati per 90 giorni era in grado di avere informazioni personali, inerenti la sfera privata dei dipendenti.
ORDINE PSICOLOGI LOMBARDIA NON APPLICA CYBERSICUREZZA
L’Ordine degli psicologi della Lombardia è stato sanzionato con 30 mila euro per le scarse misure di sicurezza con le quali proteggeva i dati. Un attacco ramsomware piuttosto vasto nell’autunno del 2023 aveva sottratto dati degli iscritti e dei pazienti compresi diversi minorenni. Il sistema di fatto non segnalava plurimi attacchi informatici dando un alert al titolare. La questione è emersa solo quando gli iscritti hanno segnalato agli uffici che non riuscivano più a entrare nei propri account e ormai i dati erano stati esfiltrati. L’Ordine da allora non ha proceduto ad aumentare la sicurezza informatica. La multa è stata contenuta in quanto l’Ordine ha collaborato col Garante.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. E’ appena uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi e con la prefazione del membro del Garante Guido Scorza. A fine giugno esce il nostro nuovo libro a firma Gianluca Amarù, Alessandra Fava, Marco Fossi, Eleonora Maschio per FrancoAngeli, NIS2: come rafforzare la cybersicurezza.
