Le Autorità privacy Ue avranno maggiore autonomia contro le imprese extra Ue

Scritto il 23 Marzo 2024

Chiarita dal Comitato dei Garanti la nozione di stabilimento principale

Quando un’impresa extra europea ha uno stabilimento nei Paesi membri dell’Unione europea, ma le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, il meccanismo del cosiddetto “Sportello Unico” non si applica. In questi casi qualunque Autorità privacy di un Paese membro potrà muoversi in maniera autonoma per tutelare i diritti dei propri cittadini e intervenire direttamente presso il titolare.

L’importante decisione è stata presa dal Comitato europeo per la protezione dati (EDPB) il 13 febbraio adottando un parere sulla nozione di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello One-Stop-Shop, secondo cui l'autorità di controllo capofila funge da punto di contatto principale per il titolare o il responsabile del trattamento (mentre le autorità di controllo interessate fungono da punto di contatto principale per gli interessati nel territorio del proprio Stato membro) ed è incaricata di condurre il processo di cooperazione con le altre Autorità.

Leggi tutto

Autovelox, Garante Privacy: parere favorevole al Mit

Scritto il 23 Marzo 2024

Immagini e video inviati all’automobilista solo su sua richiesta

Il Garante ha dato il via libera allo schema di decreto del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell'interno, sulle modalità di collocazione e uso degli autovelox.

Nella versione dello schema all’esame dell’Autorità si è tenuto conto delle osservazioni fornite dall’Ufficio del Garante nel corso dell’istruttoria per rendere il decreto conforme alla normativa privacy.

Come richiesto dal Garante, le immagini che costituiscono fonte di prova per le violazioni al codice della strada non devono essere inviate al domicilio dell’intestatario del veicolo con il verbale di contestazione della violazione. La documentazione fotografica o video dovrà essere infatti messa a disposizione del destinatario del verbale solo su sua richiesta, garantendo, in ogni caso, che siano opportunamente oscurati o resi irriconoscibili soggetti terzi e targhe di eventuali altri veicoli ripresi.

Leggi tutto

App per diabetici: il Garante Privacy multa una società di dispositivi medici

Scritto il 23 Marzo 2024

Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici

Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.

La prima, di 250mila euro, è stata applicata alla società per aver inviato alcune e-mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio.

L’altra di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.

Nel corso dell’istruttoria è emerso che, nell’inviare le e-mail aventi ad oggetto un aggiornamento dell’applicazione, quindi una comunicazione di servizio, l’inserimento degli indirizzi email nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società, a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute.

Leggi tutto

Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro

Scritto il 23 Marzo 2024

Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza

Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.

Dalle verifiche effettuate dall’Autorità - a seguito della ricezione della notifica di data breach da parte della banca - è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking.

L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking. Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Leggi tutto