Data breach di Unicredit S.p.A.: il Garante Privacy irroga una sanzione pari a 600 mila Euro

2020-07-13T11:53:15+02:0020 Giu 2020|Categorie: Articolo|Tag: , , |

Con ordinanza ingiunzione del 10 giugno 2020, a conclusione di una complessa attività istruttoria avviata a seguito di un data breach subìto e notificato da UniCredit S.p.A. (la “Banca” o “UniCredit”), l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”) ha inflitto nei confronti della Banca una sanzione pari a 600 mila Euro in ragione degli accertati accessi abusivi ai dati personali superiore a 760 mila clienti. Gli accessi abusivi rilevati in due momenti temporalmente distinti, tra l’aprile del 2016 e il luglio del 2017, sono stati posti in essere utilizzando le utenze di alcuni dipendenti della società Penta Finanziamenti Italia S.r.l. (mandataria di UniCredit per il prodotto di cessione del quinto dello stipendio) attraverso un applicativo denominato “Speedy Arena”. La violazione riscontrata ha riguardato dati personali di tipo anagrafico e di contatto, dati relativi alla professione lavorativa e al livello di studio, estremi identificativi di documenti di riconoscimento, nonché informazioni dell’interessato relative al proprio datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban. ATTIVITA’ ISPETTIVA DEL GARANTE A seguito della notifica del data breach da parte della Banca, il Garante Privacy ha avviato un’istruttoria, terminata [...]

Marketing: il Garante privacy sanziona Tim S.p.A. per 27 milioni e 800 mila Euro

2020-03-06T11:21:26+01:0002 Feb 2020|Categorie: In evidenza|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha irrogato una sanzione pari a 27 milioni e 800 mila Euro nei confronti di TIM S.p.A. (“TIM” o la “Società”) a seguito di numerosi trattamenti effettuati, nell’ambito di attività di marketing, in violazione delle norme del Regolamento UE 679/2016 (“GDPR”), in considerazione, altresì, dell’elevato numero di soggetti coinvolti. SEGNALAZIONI E RECLAMI Nel periodo compreso tra gennaio 2017 e i primi mesi del 2019, il Garante Privacy ha ricevuto numerose segnalazioni e reclami relativi a: chiamate indesiderate effettuate (i) senza il consenso degli interessati; (ii) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; e (iii) anche a seguito dell’esercizio del diritto di opposizione nei confronti di TIM; mancato riscontro alle richieste di esercizio, in particolare, dei diritti di accesso e di opposizione al trattamento per finalità promozionali formulate dagli interessati; mancata richiesta del consenso per finalità di marketing (il cui rilascio è obbligatorio) in sede di attivazione del programma “TIM Party”; raccolta di un consenso unico e indistinto per i trattamenti di dati effettuati per diverse finalità (quali, a titolo esemplificativo, finalità statistiche, di profilazione e di marketing). ATTIVITÀ ISTRUTTORIA DEL GARANTE PRIVACY A seguito delle segnalazioni [...]

Sanzione del Garante Privacy contro Eni Gas e Luce S.p.A.

2020-03-06T14:51:45+01:0023 Gen 2020|Categorie: Articolo|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il "Garante Privacy") ha irrogato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni Gas e Luce S.p.A (“Eni”) a seguito di violazioni commesse nell'ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento UE 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni. Telemarketing e teleselling La prima sanzione di 8,5 milioni di Euro concerne trattamenti illeciti nelle attività di telemarketing e teleselling. Tali attività sono state svolte da Eni mediante una rete di agenzie, nominate responsabili del trattamento dei dati personali le quali contattavano telefonicamente gli interessati, utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta potevano acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito di Eni. Le liste acquistate dai list provider/editori includevano sia numeri presenti nel Database Unico degli abbonati ai servizi di telefonia fissa [...]

ICO sanziona una farmacia per l’archiviazione imprudente dei dati dei clienti

2020-03-06T15:14:17+01:0020 Dic 2019|Categorie: Senza categoria|Tag: , |

Il Garante Privacy inglese (l’”ICO”) ha multato Doorstep Dispensaree Ltd. (“Doorstep”), una farmacia con sede a Londra, con una sanzione di 275 mila Sterline per non aver garantito la sicurezza di categorie particolari di dati e per non aver informato adeguatamente i soggetti interessati. In particolare, sono stati violati rispettivamente i seguenti articoli del Regolamento UE 679/ 2016 ("GDPR"): artt. 5.1 (f), 24 (1), 32 del GDPR, in quanto Doorstep non ha attuato le misure organizzative adeguate per garantire la sicurezza dei dati personali da essa trattati; artt. 13 e 14 del GDPR, in quanto Doorstep non ha fornito ai soggetti interessati tutte le informazioni ivi richieste (es. non sono indicate le basi giuridiche del trattamento, le categorie di dati personali trattati, i destinatari degli stessi). Si tratta della prima sanzione amministrativa emessa dall’ICO ai sensi del GDPR, entrato in vigore il 25 maggio 2018. Doorstep , farmacia che fornisce medicinali ai clienti e alle case di cura, ha lasciato circa 500.000 documenti in contenitori sul retro della sua sede in Edgware senza alcuna misura di sicurezza. I documenti includevano nomi, indirizzi, date di nascita, informazioni mediche e prescrizioni appartenenti a un numero indefinito di persone. I documenti, alcuni dei quali non [...]

Garante Privacy Spagnolo sanziona LaLiga

2019-07-08T16:54:18+02:0013 Giu 2019|Categorie: Articolo|Tag: |

L’Autorità per la protezione dei dati personali spagnola (l'"Autorità") ha comminato la sanzione di Euro 250.000 alla Liga de Futbòl ("LaLiga"), società che gestisce il campionato di calcio spagnolo, per aver spiato il telefono cellulare di mezzo milione di utenti spagnoli attraverso la propria applicazione ufficiale utilizzando i microfoni remoti e il GPS per individuare i locali che trasmettono partite di calcio senza pagare le licenze corrispondenti. L’app, che richiede il consenso per utilizzare microfono e GPS, è in grado di captare l’audio ambientale così da rilevare se l’utente si trova in un locale che sta trasmettendo la partita, in possesso o meno di un valido abbonamento alla diffusione delle partite. Il modo in cui LaLiga ha informato i suoi utenti di questa procedura è stato considerato opaco e non trasparente dall’Autorità. Poiché, secondo l’Autorità, la funzione di spia dell'applicazione comporta la registrazione dell’audio ambientale, la quale implica la raccolta di dati personali, LaLiga avrebbe dovuto notificare all’utente l'informativa non solo durante l’installazione dell’applicazione, ma ogni volta che attivava questa funzione di raccolta dei dati. L’Autorità afferma che per la natura dei dispositivi mobili l’utente non può ricordare a cosa ha acconsentito e cosa no ogni volta che usa l’app. [...]

CNIL sanziona Google per violazione delle disposizioni del GDPR

2019-05-07T18:10:42+02:0007 Feb 2019|Categorie: Articolo, In evidenza|Tag: , , |

Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC. Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L'importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso. Il 25 e il 28 maggio 2018, le associazioni No of Your Business (“NOYB”) e La Quadrature Du Net (“LQDN”) hanno presentato al CNIL due reclami contro GOOGLE, sottolineando la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti per scopi di targeting pubblicitario. CNIL ha prontamente verificato la conformità delle operazioni di trattamento implementate da GOOGLE con il French Data Protection Act e il GDPR analizzando il modello di navigazione di un utente e i documenti a cui può accedere, quando crea un account GOOGLE, usando Android. Sulla base delle ispezioni effettuate, il CNIL ha individuato due tipi di violazioni del GDPR: Violazione degli obblighi di trasparenza e informativa Le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti in quanto le informazioni essenziali [...]

Torna in cima