È uscita la newsletter numero 512 del 23 ottobre 2023 con cui l’Autorità ha comunicato gli ultimi provvedimenti adottati. Il Garante è intervenuto in tema di euro digitale per cui si chiedono maggiori garanzie per i cittadini e inoltre ha comminato importanti sanzioni per l’attivazione di contratti non richiesti, sms promozionali senza consenso e mancata adozione di adeguate misure di sicurezza per scongiurare gli attacchi informatici.
Euro digitale le Autorità privacy chiedono maggiori garanzie per i cittadini Il Comitato europeo Edpb e il Garante europeo per la protezione dei dati Edps chiedono per l’euro digitale standard privacy più elevati per guadagnare la fiducia dei cittadini. L'euro digitale ambisce a far sì che le persone possano effettuare pagamenti elettronici in aggiunta all’uso del contante. Nel loro parere congiunto viene chiesto che siano trattati solo i dati personali necessari al funzionamento della moneta digitale, evitando la concentrazione di dati da parte della Banca centrale europea o delle banche centrali nazionali, per le quali la proposta di regolamento dovrebbe introdurre un obbligo esplicito di pseudonimizzazione dei dati delle transazioni. Inoltre, la normativa dovrà specificare le responsabilità in materia di protezione dei dati di ciascuno degli attori che partecipano all'emissione dell'euro digitale. «Con questo parere congiunto - ha commentato il Comitato europeo - intendiamo garantire che la protezione dei dati sia incorporata sin dalla fase di progettazione dell'euro digitale, sia online che offline». Sanzione di 10milioni per l’attivazione di contratti non richiesti con dati inesatti Il Garante Privacy ha multato per 10milioni di euro una società fornitrice di energia elettrica e gas, per l’attivazione di contratti non richiesti nel mercato libero tramite il trattamento di dati inesatti e non aggiornati della clientela. 5mila gli utenti i cui dati sono stati trattati illecitamente. Dai controlli effettuati è emerso che la società acquisiva i nuovi contratti tramite una rete di circa 280 venditori porta a porta, senza strumenti e procedure idonee ad avere certezza che i dati inseriti nel database corrispondessero ai reali utilizzatori. Nel database della società erano presenti oltre 2mila proposte contrattuali in cui lo stesso indirizzo email del potenziale cliente era ripetuto per più di cinque volte. L’Autorità ha quindi prescritto alla società di adottare una serie di misure correttive, tra cui l’utilizzo di un sistema di “check-call” bloccante per verificare la correttezza dei contratti acquisiti tramite la rete di venditori l’introduzione di sistemi di alert idonei a rilevare eventuali comportamenti scorretti e/o fraudolenti di acquisizione dei dati di potenziali clienti da parte dei venditori l’implementazione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione l’adozione di regole procedurali volte a rafforzare le attività di audit nei confronti dell’operato delle agenzie. Multa da 75mila euro per un ateneo telematico causa sms promozionali senza consenso L’università telematica è stata ritenuta responsabile di aver inviato sms promozionali senza il consenso dei destinatari, in violazione del Regolamento Ue e del Codice privacy. L’Autorità ha sottolineato lo scarso grado di collaborazione dimostrato dall’ateneo che non ha fornito riscontro alle istanze dell’Autorità, rendendo necessario l’intervento del Nucleo speciale privacy della Guardia di Finanza per la notifica degli atti, e disertando un’audizione che essa stessa aveva richiesto e più volte rinviato. Oltre al pagamento della multa, il Garante ha ingiunto all’università telematica di stabilire appropriati tempi di conservazione dei dati e di impartire apposite istruzioni al personale, affinché le richieste di accesso ai dati, di opposizione o di cancellazione, siano soddisfatte tempestivamente. Misure di sicurezza inadeguate sanzionata una Asl per 30mila euro La Asl napoletana non ha protetto adeguatamente da attacchi hacker i dati personali e sanitari di 842.000 soggetti, tra assistiti e dipendenti. La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l'accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi. l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto riscontrando diverse criticità come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione privacy by design . L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.