Data breach di Unicredit S.p.A.: il Garante Privacy irroga una sanzione pari a 600 mila Euro

2020-07-13T11:53:15+02:0020 Giu 2020|Categorie: Articolo|Tag: , , |

Con ordinanza ingiunzione del 10 giugno 2020, a conclusione di una complessa attività istruttoria avviata a seguito di un data breach subìto e notificato da UniCredit S.p.A. (la “Banca” o “UniCredit”), l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”) ha inflitto nei confronti della Banca una sanzione pari a 600 mila Euro in ragione degli accertati accessi abusivi ai dati personali superiore a 760 mila clienti. Gli accessi abusivi rilevati in due momenti temporalmente distinti, tra l’aprile del 2016 e il luglio del 2017, sono stati posti in essere utilizzando le utenze di alcuni dipendenti della società Penta Finanziamenti Italia S.r.l. (mandataria di UniCredit per il prodotto di cessione del quinto dello stipendio) attraverso un applicativo denominato “Speedy Arena”. La violazione riscontrata ha riguardato dati personali di tipo anagrafico e di contatto, dati relativi alla professione lavorativa e al livello di studio, estremi identificativi di documenti di riconoscimento, nonché informazioni dell’interessato relative al proprio datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban. ATTIVITA’ ISPETTIVA DEL GARANTE A seguito della notifica del data breach da parte della Banca, il Garante Privacy ha avviato un’istruttoria, terminata [...]

La pronuncia del Garante Privacy sul “nuovo” Processo Amministrativo Telematico

2020-07-13T12:28:26+02:0010 Giu 2020|Categorie: Articolo|Tag: , |

Il Decreto Legge 30 aprile 2020, n. 28, recante "Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19" (c.d. “Decreto Giustizia”), convertito, con modificazioni, dalla legge 25 giugno 2020, n. 70, ha rivoluzionato la fonte normativa delle regole tecniche del Processo Amministrativo Telematico (“PAT”). L’art. 4 del Decreto Giustizia ha infatti stabilito che “le regole tecnico-operative per la sperimentazione e la graduale applicazione degli aggiornamenti del processo amministrativo telematico” saranno disciplinate tramite Decreto del Presidente del Consiglio di Stato e non più tramite Decreto del Presidente del Consiglio dei Ministri. In applicazione di detto articolo (i) in data 22 maggio 2020 è stato pubblicato il Decreto del Presidente del Consiglio di Stato n. 134 (il “DPCS”) e (ii) è stato abrogato il DPCM 40/2016, prima base normativa per le regole del PAT. L’impulso di tale modifica di fonte regolatoria è sorto – dato il noto periodo emergenziale da COVID-19 – dall’esigenza di regolare velocemente, affidandone il compito ad un organo “interno” della Giustizia amministrativa, [...]

Coronavirus: Garante Privacy, no a iniziative “fai da te” nella raccolta dei dati di soggetti pubblici e privati

2020-03-06T11:22:08+01:0002 Mar 2020|Categorie: In evidenza|Tag: , , |

A seguito dell’emergenza “Coronavirus”, l'Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha ricevuto numerosi quesiti da parte di soggetti, sia pubblici che privati, in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio. I datori di lavoro hanno altresì richiesto di poter raccogliere un’autodichiarazione dei dipendenti, nella quale affermano di non avere sintomi influenzali. In particolare, il Garante Privacy segnala che la normativa d’urgenza, adottata nelle ultime settimane, prevede che chiunque negli ultimi 14 giorni abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, sia tenuto a comunicarlo, anche per il tramite del medico di base, alla azienda sanitaria territoriale, la quale provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario. Pertanto, il Garante Privacy precisa che i datori di lavoro devono astenersi dal raccogliere informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. Tale raccolta, infatti, risulterebbe sistematica e generalizzata e permetterebbe al datore di lavoro di effettuare indagini non consentite. La finalità di [...]

Sanzione del Garante Privacy contro Eni Gas e Luce S.p.A.

2020-03-06T14:51:45+01:0023 Gen 2020|Categorie: Articolo|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il "Garante Privacy") ha irrogato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni Gas e Luce S.p.A (“Eni”) a seguito di violazioni commesse nell'ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento UE 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni. Telemarketing e teleselling La prima sanzione di 8,5 milioni di Euro concerne trattamenti illeciti nelle attività di telemarketing e teleselling. Tali attività sono state svolte da Eni mediante una rete di agenzie, nominate responsabili del trattamento dei dati personali le quali contattavano telefonicamente gli interessati, utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta potevano acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito di Eni. Le liste acquistate dai list provider/editori includevano sia numeri presenti nel Database Unico degli abbonati ai servizi di telefonia fissa [...]

Modello di notifica di Data Breach

2019-08-08T10:48:26+02:0006 Ago 2019|Categorie: Articolo|Tag: , , |

Il Garante per la protezione dei dati personali ha pubblicato un modello da utilizzare per la notifica di violazione dei dati personali (c.d. data breach) prevista dall'art. 33 del GDPR, disponibile qui. I titolari di trattamento dei dati personali sono tenuti a notificare al Garante le violazioni dei dati personali che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell'ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento.

Torna in cima