NEWSLETTER N. 519 del 7 marzo 2024

• Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro
• App per diabetici: il Garante Privacy multa una società di dispositivi medici
• Autovelox, Garante Privacy: parere favorevole al Mit
• Le Autorità privacy Ue avranno maggiore autonomia contro le imprese extra Ue

Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro*
Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza

*Il provvedimento è stato impugnato innanzi al Tribunale di Milano, che ha disposto la sospensione dell’efficacia della sanzione accessoria della pubblicazione del provvedimento sul sito web del Garante con ordinanza n. 1927 del 28 marzo 2024 (RG n. 10477/202)

Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.

Dalle verifiche effettuate dall’Autorità - a seguito della ricezione della notifica di data breach da parte della banca - è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.

Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2 milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Con l’adozione di un secondo provvedimento l’Autorità è intervenuta anche nei confronti di NTT Data Italia, sanzionando la società con una multa di 800mila euro. Dalle verifiche effettuate dal Garante, in particolare è emerso che NTT Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.

Inoltre, NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.

App per diabetici: il Garante Privacy multa una società di dispositivi medici
Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici

Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.

La prima, di 250mila euro, è stata applicata alla società per aver inviato alcune e-mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio.

L’altra di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.

Nel corso dell’istruttoria è emerso che, nell’inviare le e-mail aventi ad oggetto  un aggiornamento dell’applicazione, quindi una comunicazione di servizio, l’inserimento degli indirizzi email  nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società,  a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute.

L’incidente metteva anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach.

Dagli accertamenti del Garante per verificare la conformità dei trattamenti effettuati mediante i servizi offerti all’utenza, sono emerse inoltre altre violazioni che sono state considerate separatamente ai fini della quantificazione della sanzione amministrativa. In particolare, nell’informativa, non era indicata la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account personale con quello del professionista sanitario, in qualità di titolare del trattamento, in violazione del principio di correttezza e trasparenza.

Autovelox, Garante Privacy: parere favorevole al Mit
Immagini e video inviati all’automobilista solo su sua richiesta

Il Garante ha dato il via libera allo schema di decreto del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell'interno, sulle modalità di collocazione e uso degli autovelox.

Nella versione dello schema all’esame dell’Autorità si è tenuto conto delle osservazioni fornite dall’Ufficio del Garante nel corso dell’istruttoria per rendere il decreto conforme alla normativa privacy.

Come richiesto dal Garante, le immagini che costituiscono fonte di prova per le violazioni al codice della strada non devono essere inviate al domicilio dell’intestatario del veicolo con il verbale di contestazione della violazione. La documentazione fotografica o video dovrà essere  infatti messa a disposizione del destinatario del verbale solo su sua richiesta, garantendo, in ogni caso, che siano opportunamente oscurati o resi irriconoscibili soggetti terzi e targhe di eventuali altri veicoli ripresi.

Nel rispetto della privacy degli automobilisti viene consentito anche l’impiego di sistemi di rilevamento della velocità che effettuano la ripresa frontale del veicolo, ma solo se provvisti di una funzione che oscura automaticamente le immagini delle persone che vi si trovano a bordo. I dispositivi e i sistemi di ripresa, inoltre, pur potendo effettuare un continuo monitoraggio del traffico, memorizzeranno le immagini solo in caso di infrazione. Nel decreto vengono, infine, definiti i tempi di conservazione delle immagini e dei video raccolti da parte degli organi di polizia stradale competenti ad erogare le sanzioni. Queste sono conservate per il periodo di tempo strettamente necessario all’applicazione delle multe e alla definizione dell’eventuale contenzioso, in conformità a quanto previsto dal Titolo VI del Nuovo codice della strada.

Le Autorità privacy Ue avranno maggiore autonomia contro le imprese extra Ue
Chiarita dal Comitato dei Garanti la nozione di stabilimento principale

Quando un’impresa extra europea ha uno stabilimento nei Paesi membri dell’Unione europea, ma le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, il meccanismo del cosiddetto “Sportello Unico” non si applica. In questi casi qualunque Autorità privacy di un Paese membro potrà muoversi in maniera autonoma per tutelare i diritti dei propri cittadini e intervenire direttamente presso il titolare.

L’importante decisione è stata presa dal Comitato europeo per la protezione dati (EDPB) il 13 febbraio adottando un parere sulla nozione di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello One-Stop-Shop, secondo cui l'autorità di controllo capofila funge da punto di contatto principale per il titolare o il responsabile del trattamento (mentre le autorità di controllo interessate fungono da punto di contatto principale per gli interessati nel territorio del proprio Stato membro) ed è incaricata di condurre il processo di cooperazione con le altre Autorità.

La nozione di stabilimento principale è una delle pietre miliari del One-Stop-Shop ed è fondamentale per determinare quale, se del caso, sia l'autorità di controllo principale nei casi di protezione dei dati che coinvolgano più Stati membri.

Il Comitato ha chiarito che il “luogo di amministrazione centrale” di un titolare del trattamento nell’UE può essere considerato “stabilimento principale” solo se è lì che si prendono decisioni sulle finalità e sui mezzi del trattamento dei dati personali e se si ha il potere di far attuare tali decisioni. Solo in questo caso, dunque, si applica il meccanismo dello Sportello Unico.

Quando le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, “luogo di amministrazione centrale” non può essere considerato stabilimento principale del titolare del trattamento nell’Unione né si deve applicare il One-Stop-Shop, e pertanto qualunque Autorità nazionale può intervenire direttamente presso il titolare.

Spetta inoltre al titolare, chiarisce ancora il parere, l’onere di dimostrare che le decisioni sulle finalità e sui mezzi del trattamento dei dati personali siano state prese nel Paese Ue dove è stabilito lo stabilimento principale e le sue conclusioni possono comunque essere confutate dalle Autorità di protezione dati.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Telemarketing: Il Garante Privacy sanziona Enel Energia – Comunicato del 29 febbraio 2024

• E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica – Comunicato del 27 febbraio 2024

• Banche: da Garante privacy e ABI la prima “fotografia” sul responsabile della protezione dei dati personali in ambito bancario – Comunicato del 20 febbraio 2024

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it