Ultimi provvedimenti del Garante: sanzioni per l’app di prenotazione, Registro delle opposizioni e linee guida in caso di data breach

Il Garante Privacy ha sanzionato Roma Capitale per illecito trattamento di dati personali attraverso il sistema di prenotazione degli appuntamenti TuPassi”. È stato invece espresso parere favorevole allo schema di regolamento del MISE relativo al Registro pubblico delle opposizioni. Infine, il Garante ha diffuso le linee guida EDPB per aiutare imprese e pubbliche amministrazioni in caso di data breach.

Il Garante ha reso noto l’adozione dei summenzionati provvedimenti con la Newsletter del 25 gennaio 2021. TuPassi” trattamento illecito di dati. Il Garante ha sanzionato Roma Capitale per illecito trattamento di dati personali di utenti e dipendenti attraverso il sistema di prenotazione degli appuntamenti TuPassi”. Al termine di una complessa attività istruttoria, è infatti emerso che l’app utilizzata per l’erogazione di servizi pubblici consentendo la prenotazione dei servizi di sportello, anche nel settore sanitario, presenta numerose criticità . Il trattamento riguarda infatti dati personali anche molto delicati che venivano memorizzati per lungo tempo. Il sistema inoltre registra e memorizza i dati dei lavoratori, il tutto in assenza di adeguata informativa ai soggetti interessati. La sanzione inflitta ammonta a 40mila euro per la società fornitrice del sistema , la quale ha ricevuto anche un provvedimento di avvertimento relativo alla possibilità che l’utilizzo dell’app, con le modalità già censurate dal Garante, possa violare il Regolamento, ingiungendo alla società di avviare con i soggetti pubblici e privati che la utilizzano i necessari aggiornamenti per rendere il sistema conforme alla disciplina in materia di protezione dati, secondo le indicazioni del Garante. Roma Capitale ha invece ricevuto una sanzione pari a 500mila euro. Parere favorevole sul Registro pubblico delle opposizioni. Il Garante si è espresso favorevolmente sullo schema di regolamento del Registro pubblico delle opposizioni del MISE. Sono comunque state richieste precisazioni sull’ambito di applicazione delle nuove regole. Esse infatti devono essere riferite al telemarketing effettuato tramite chiamate con operatore , mentre resta fermo il divieto di telemarketing tramite comunicazioni automatizzate. La nuova versione del regolamento dà attuazione alla riforma che prevede la possibilità per gli abbonati di iscrivere nel Registro tutte le numerazioni telefoniche nazionali fisse e mobili , che siano o meno riportate negli elenchi. il testo si adegua inoltre ai rilievi avanzati nei diversi pareri resi in materia dal Consiglio di Stato, dall’Agcom, dal Ministro per la Pa e da quello per l’innovazione tecnologica e la digitalizzazione, e recepisce, pressoché integralmente, le indicazioni rese dal Garante nel precedente parere sull’Rpo del 2019. Linee guida in caso di data breach. Cosa fare in caso di attacchi ransomware, esfiltrazione di dati, perdita o furto di dispositivi e documenti cartacei? Le linee guida, adottate dall’Edpb Comitato europeo per la protezione dei dati aiutano imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio. Le Guidelines 01/2021 on Examples regarding Data Breach Notification , approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati - affrontati dai Garanti privacy nazionali, incluso quello italiano - subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere. Il documento l’Edpb sarà sottoposto a consultazione pubblica fino al 2 marzo 2021. Come sottolinea il Garante, tra le omissioni più frequenti riportate nelle linee guida emerge l’ omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati .