Sanzioni e parere favorevole sugli autovelox tra gli ultimi provvedimenti del Garante Privacy

Con la newsletter del 7 marzo, il Garante Privacy ha dato notizia del parere favorevole espresso sullo schema di decreto del Ministro delle infrastrutture e dei trasporti sugli autovelox. Ha inoltre reso noti i provvedimenti sanzionatori emessi nei confronti di una banca per data breach e di una società che fornisce un’app per soggetti diabetici.

Autovelox Immagini e video inviati all’automobilista solo su sua richiesta Il Garante ha dato il via libera allo schema di decreto del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell'interno, sulle modalità di collocazione e uso degli autovelox. Come già richiesto dal Garante, le immagini che costituiscono fonte di prova per le violazioni al codice della strada, non verranno inviate all’intestatario del veicolo con il verbale di contestazione. La documentazione fotografica o video dovrà essere infatti messa a disposizione del destinatario del verbale solo su sua richiesta, garantendo, in ogni caso, che siano opportunamente oscurati o resi irriconoscibili soggetti terzi e targhe di eventuali altri veicoli ripresi. Nel rispetto della privacy degli automobilisti viene consentito anche l’impiego di sistemi di rilevamento della velocità che effettuano la ripresa frontale del veicolo, ma solo se provvisti di una funzione che oscura automaticamente le immagini delle persone a bordo. I dispositivi e i sistemi di ripresa, inoltre, memorizzeranno le immagini solo in caso di infrazione. Nel decreto vengono, infine, definiti i tempi di conservazione delle immagini e dei video raccolti da parte degli organi di polizia stradale competenti ad erogare le sanzioni. Queste sono conservate per il periodo di tempo strettamente necessario all’applicazione delle multe e alla definizione dell’eventuale contenzioso, in conformità a quanto previsto dal Titolo VI del Nuovo codice della strada. Data breach il Garante sanziona UniCredit Il Garante per la privacy ha sanzionato UniCredit banca per un caso di data breach risalente al 2018, che ha coinvolto migliaia di clienti ed ex clienti. Le banche devono infatti adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. La violazione era avvenuta a causa di un attacco informatico massivo da parte di cybercriminali al portale di mobile banking ed aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking. Il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, «l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita . Nel definire l’importo della sanzione a 2 milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari». App per diabetici multa per una società di dispositivi medici Sanzioni per 300mila euro per una nota società che produce dispositivi medici e, nel caso finito sotto la lente del Garante, un’app per il monitoraggio del diabete. La società aveva infatti inviato alcune e-mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio. Inoltre, non aveva fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare. Nel corso dell’istruttoria è emerso che, nell’inviare le mail aventi ad oggetto un aggiornamento dell’applicazione, quindi una comunicazione di servizio, l’inserimento degli indirizzi email  nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società,  a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute. L’incidente metteva anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach. Chiarita dal Comitato dei Garanti la nozione di stabilimento principale Il 13 febbraio scorso il Comitato europeo per la protezione dati EDPB ha adottando un parere sulla nozione di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello One-Stop-Shop, secondo cui l'autorità di controllo capofila funge da punto di contatto principale per il titolare o il responsabile del trattamento mentre le autorità di controllo interessate fungono da punto di contatto principale per gli interessati nel territorio del proprio Stato membro ed è incaricata di condurre il processo di cooperazione con le altre Autorità. Quando un’impresa extra europea ha uno stabilimento nei Paesi membri dell’Unione europea, ma le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, il meccanismo del cosiddetto “Sportello Unico” non si applica. In questi casi qualunque Autorità privacy di un Paese membro potrà muoversi in maniera autonoma per tutelare i diritti dei propri cittadini e intervenire direttamente presso il titolare.