Skip to main content

Data Breach: che cosa è successo nei primi mesi del 2020

di Manuela Bianchi


Il 28 maggio scorso il GDPR ha festeggiato i primi due anni di entrata in vigore effettiva. Scopo di questo contributo è portare l’attenzione sugli episodi più rilevanti di violazione dei dati personali avvenuti o, comunque, sanzionati dalle Autorità di Controllo nei primi cinque mesi del 2020. Si tratta di un arco di tempo peculiare, tra l’altro, perché caratterizzato dal lockdown dovuto all’emergenza sanitaria mondiale COVID-19, che ha visto un intensificarsi degli episodi di violazione dei dati personali.

Secondo il dato pubblicato da Federprivacy il 7 gennaio di quest’anno, il 2019 si era chiuso con un ammontare totale di sanzioni comminate dalle Autorità garanti europee pari a circa 410 milioni di Euro e con il primato italiano per numero di provvedimenti. Vediamo ora il trend dei primi cinque mesi del 2020.

Di seguito, l’elenco, non esaustivo, degli episodi rilevanti raggruppati per Stato.

a) Italia:

  • 14 maggio: data breach occorso nei confronti dell’INPS tra il 31 marzo e il 1^ aprile in occasione dell’avvio della procedura per la richiesta di erogazione degli importi a sostegno del reddito, legate alla situazione di emergenza sanitaria. L’INPS ha notificato nei termini la violazione all’Autorità Garante secondo la procedura ordinaria e il 14 maggio la stessa Autorità ha prescritto all’ente di comunicare entro i 15 giorni successivi le violazioni dei dati personali a tutti gli interessati coinvolti e di informare, entro 20 giorni, l’Autorità sulle modalità di attuazione di tali comunicazioni, pena la determinazione e comminazione di una sanzione amministrativa pecuniaria
  • 6 marzo: l’Autorità Garante ha sanzionato due licei situati nella regione Campania per avere illecitamente pubblicato sul sito web, nella pagina della graduatoria dei docenti, informazioni non necessarie (es. codice fiscale, recapiti telefonici e indirizzo di residenza, email, numero dei figli e, in alcuni casi, dati relativi alla salute) di circa 1500 per una scuola e 2000 per l’altra soggetti coinvolti. La sanzione comminata è stata di € 4.000 per ciascun istituto scolastico per violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati
  • 1 febbraio: è stata comminata nei confronti di TIM una sanzione di 27,8 milioni di Euro per trattamento illecito dei dati operato dalla stessa società di telecomunicazioni nei confronti di milioni di persone. Nella fattispecie, i call center incaricati da TIM avevano contattato interessati che non avevano espresso il consenso al trattamento dei loro dati personali per finalità di marketing e commerciali. Non solo: nella gestione delle app sono emerse informazioni poco chiare e fuorvianti per i clienti e/o utenti. Infine, il risultato dell’ispezione dell’Autorità ha rilevato insufficiente e inadeguata la procedura adottata dalla Società per la modalità di gestione dei data breach. Il provvedimento del Garante ha altresì imposto, oltre alla sanzione pecuniaria, venti misure correttive
  • 24 gennaio: l’Ospedale Villa Sofia-Cervello di Palermo ha dovuto versare € 15.000 a titolo di risarcimento in favore di un avvocato che aveva intentato causa per aver visto pubblicati sul sito dell’ospedale i suoi dati, pare caricati per errore. La richiesta risarcitoria dell’attore era di € 200.000
  • 23 gennaio: l’Azienda Ospedaliera Università Integrata di Verona è stata sanzionata per un importo pari a € 30.000, oltre l’imposizione di misure correttive a seguito di un data breach relativo a tre accessi non autorizzati effettuati da dipendenti a dossier di pazienti/dipendenti
  • 17 gennaio: ENI Gas e Luce è stata destinataria di due sanzioni pecuniarie, una pari a 8,5 milioni di Euro per attività illecita di telemarketing e teleselling consistenti in telefonate pubblicitarie a soggetti che non avevano espresso il consenso per tali finalità, e l’altra pari a 3 milioni di Euro per attivazione di contratti non richiesti. In particolare, l’Autorità Garante ha rilevato l’assenza di misure tecnico-organizzative per registrare la manifestazione di volontà degli interessati e l’acquisizione illecita dei dati di utenti da parte di terzi

b) Germania:

  • 24 gennaio: in seguito al reclamo dell’Associazione federale dei consumatori, il Tribunale di Berlino ha accertato la violazione della legge sul trattamento dei dati personali da parte di Facebook. Nella fattispecie è stato ribadito che il consenso alla trasmissione della informazioni di geolocalizzazione a partner terzi e all’uso dell’immagine del profilo degli iscritti a fini commerciali non possono essere predefiniti perché necessitano di specifico consenso da parte dell’interessato

c) Spagna:

  • 7 gennaio: l’Autorità Garante ha sanzionato Vodafone per un importo pari a € 44.000 riconoscendo l’avvenuta violazione dell’art. 5 GDPR a seguito del trattamento illegittimo dei dati di una cliente, il cui contratto di telefonia era stato dalla Società erroneamente inviato a un destinatario diverso da quello effettivo. Il contratto conteneva i dati personali della cliente nonché quelli peculiari dell’accordo di telefonia (es. tariffa applicata)

d) Svezia:

  • 12 maggio: la Commissione sanitaria regionale di Odebro è stata condannata al pagamento di una sanzione pari a € 11.000 per aver illecitamente pubblicato i dati di un paziente sul proprio sito. La violazione sarebbe stata causata dalla mancanza di procedure scritte relative alla pubblicazione di informazioni in rete
  • 11 marzo: è stata comminata nei confronti di Google una sanzione pari a 7 milioni di Euro per il mancato rispetto del diritto all’oblio di un interessato. A seguito di un audit esperita dall’Autorità svedese nei confronti della Società, è stato rilevato che quest’ultima non era in grado di garantire il diritto all’oblio nei confronti degli interessati che chiedevano la rimozione del proprio nome dai risultati del motore di ricerca. Nella fattispecie, Google avvisava il sito o i siti di riferimento della rimozione, ma il sito avrebbe potuto immediatamente ripubblicare la stessa informazione

e) Belgio:

  • 30 aprile: l’Autorità Garante ha comminato una sanzione di € 50.000 nei confronti di un’organizzazione locale per non aver collaborato durante l’ispezione e per avere effettuato una nomina irregolare del DPO, scegliendo un soggetto in palese conflitto di interessi, posto che già ricopriva all’interno dell’organizzazione anche il ruolo di Direttore del dipartimento di Audit, Compliance e Gestione del rischio

f) Islanda:

  • 11 marzo: è stata irrogata una sanzione pari a circa € 30.000 a un’organizzazione locale che ha recapitato a una ex dipendente una scatola che, al posto dei suoi effetti personali, conteneva informazioni sensibili, tra cui cartelle cliniche dettagliate, di circa 3000 pazienti

g) Irlanda:

  • 18 maggio: l’Agenzia nazionale dei servizi a tutela dei bambini e delle famiglie è stata raggiunta da una sanzione di € 75.000 per avere, in tre casi, divulgato a terze parti non autorizzate informazioni sensibili riguardanti soggetti minori

h) Romania:

  • 14 maggio: un dipendente di un istituto di credito, al fine di velocizzare le pratiche con i clienti, usava il proprio numero di telefono personale per farsi inviare a mezzo Whatsapp copie di documenti personali e carte di identità. La banca è stata sanzionata per un importo pari a € 5.000 per inadeguatezza delle misure di sicurezza approntate nel trattamento dei dati personali dei clienti

i) Polonia:

  • 5 marzo: all’interno di una scuola venivano usati i dati biometrici (nella specie, le impronte digitali) degli studenti per gestire gli accessi alla mensa scolastica, senza giustificare tale uso con una valida ragione giuridica. L’istituto scolastico è stato sanzionato dall’Autorità locale per un importo pari a PLN 20.000, posto che la stessa finalità avrebbe potuto essere raggiunta con finalità meno invasive (es. uso di card elettriche o nome e numero identificativo). Inoltre l’uso dei dati biometrici ha provocato una discriminazione tra gli studenti, favorendo l’entrata dei primi rispetto a chi usava altri metodi per l’accesso alla mensa

j) Olanda:

  • 3 marzo: l’Autorità olandese ha comminato una sanzione pari a € 525.000 all’associazione tennistica KNLTB per aver venduto dati personali di suoi iscritti senza il loro espresso consenso a due sponsor, che hanno contattato gli interessati a mezzo posta o telefono per finalità commerciali e di marketing

k) Malta:

  • 18 febbraio: a seguito di un data breach occorso ai dati contenuti nel portale di un’organizzazione locale, l’Autorità Garante ha sanzionato l’ente per un importo pari a € 5.000 per inadeguatezza delle misure di sicurezza approntate

l) United Kingdom:

  • 19 maggio: a seguito di un attacco informatico, sono stati violati i data base di EasyJet, in particolare i dati personali di 9 milioni di clienti, di parte dei quali anche i dati delle carte di credito e i codici CCV. La compagnia aerea ha immediatamente notificato all’Autorità Garante il data breach, comunicandolo contestualmente ai clienti di cui erano stati sottratti anche i dati relativi alla carta di credito. La stessa compagnia ha dichiarato di provvedere alla comunicazione a tutti gli interessati entro il 26 maggio. Siamo in attesa di conoscere il provvedimento dell’Autorità Garante
  • 4 marzo: a seguito di un attacco informatico che ha violato i data base della compagnia aerea Cathay Pacific, sono stati illecitamente sottratti i dati personali di 110.000 clienti in UK e 9,4 milioni di clienti nel mondo. A seguito di questo data breach, Cathay Pacific è stata sanzionata dall’Autorità Garante per un importo pari a £ 500.000 per inadeguatezza delle misure di sicurezza approntate nella tutela dei dati personali dei clienti
  • 2 marzo: l’Autorità Garante ha comminato una sanzione di £ 500.000 a un’azienda scozzese per aver effettuato milioni di chiamate indesiderata in modalità “spoofing”, ovvero senza permettere al ricevente di conoscere l’identità del chiamante. La violazione della legge sarebbe stata perpetrata dalla Società in piena consapevolezza, posto che (i) non era stato preliminarmente predisposto un valido consenso, (ii) non erano state adottate misure per la gestione della revoca del consenso, (iii) era stato realizzato un tentativo di sottrazione all’indagine, fornendo dati di contatto non aggiornati e spostando la propria sede all’estero. Questi elementi hanno portato l’Autorità ad applicare il massimo della sanzione prevista
  • 9 gennaio: DSG Retail Ltd aveva subito un attacco informatico mediante l’installazione di un malware su migliaia di casse nei negozi della Società, che aveva provocato la violazione dei dati personali, compresi quelli relativi alle carte di pagamento, di circa 14 milioni di persone. L’Autorità Garante ha eccepito l’inadeguatezza delle misure di sicurezza adottate dalla Società e ha comminato la sanzione pari a £ 500.000

m) USA:

  • 1 aprile: il Procuratore Generale di New York e l’FBI hanno avviato un’indagine nei confronti di Zoom per verificare l’adeguatezza delle misure di sicurezza adottate a tutela dei dati e della privacy dei clienti/utilizzatori, dopo la segnalazione di possibili introduzioni illecite nelle conversazioni da parte di hacker che avrebbero inviato materiale violento o pornografico. Siamo in attesa di conoscere gli sviluppi, fermo restando che nelle settimane successive sembra che Zoom abbia posto in essere misure atte a bloccare l’illecita introduzione
  • 8 gennaio: Google+ ha raggiunto un accordo con le Autorità statunitensi, impegnandosi a versare una somma di 7,5 milioni di dollari a titolo risarcitorio nei confronti degli attori della class action intentata a suo danno. Invero, la piattaforma Google+, che era stata messa offline dalla casa madre nell’aprile 2019, negli ultimi mesi del 2018 Google aveva riconosciuto l’esistenza di alcuni bug che avevano potenzialmente esposto le informazioni degli utenti alla vista di terzi non autorizzati

n) Unione Europea:

  • 18 maggio: il Parlamento Europeo ha subito un data breach che ha provocato l’esposizione dei dati di 16.000 account di funzionari e professionisti che a vario titolo collaborano con le istituzioni europee (descrizione dei posti di lavoro, indirizzi email e password)

Così terminata la panoramica che non pretende di avere valore esaustivo, attendiamo il dati del prossimo semestre per poter fare un bilancio dell’anno.


Autore:

 

en_US