Applicazione sanzioni amministrative previste dal Regolamento Europeo 2016/679.. Il Garante italiano sanziona Tim

Marketing: dal Garante privacy sanzione di 27 milioni e 800 mila euro a Tim

Il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.

Dal gennaio 2017 ai primi mesi del 2019, sono pervenute all’Autorità centinaia di segnalazioni relative, in particolare, alla ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.

Dalla complessa attività istruttoria che ne è derivata, svolta anche con il contributo del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, sono emerse numerose e gravi violazioni della disciplina in materia di protezione dei dati personali.

Tim ha dimostrato di non avere sufficiente contezza di fondamentali aspetti dei trattamenti di dati effettuati (accountability).

Tra i milioni di telefonate promozionali effettuate in sei mesi nei confronti di “non clienti” l’Autorità ha accertato che le società di call center incaricate da Tim hanno, in molti casi, contattato gli interessati senza il loro consenso. Una persona è stata chiamata 155 volte in un mese. In circa duecentomila casi, sono state contattate anche numerazioni “fuori lista”, cioè non presenti negli elenchi delle persone contattabili di Tim. Sono state rilevate poi altre condotte illecite come l’assenza di controllo da parte della società sull’operato di alcuni call center; l’errata gestione e il mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità; l’acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim Party” con i suoi sconti e premi.

Nella gestione di alcune app destinate alla clientela, inoltre, sono state fornite informazioni non corrette e non trasparenti sul trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide.In alcuni casi è stata utilizzata modulistica cartacea con richiesta di un unico consenso per diverse finalità, inclusa quella di marketing.

La gestione dei data breach non è poi risultata efficiente, così come inadeguate sono risultate l’implementazione e la gestione da parte della Società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order).  Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali.

Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni. In particolare, ha vietato a Tim l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso.

La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.

Fra le prescrizioni, il Garante ha ingiunto a Tim di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list. Tim dovrà inoltre rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing. L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso. La Società dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.

Le misure e le implementazioni richieste dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.

Roma, 1 febbraio 2020

Fonte:  https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9256409

Applicazione sanzioni amministrative previste dal Regolamento Europeo 2016/679.. Il Garante italiano sanziona Eni

Il Garante privacy sanziona Eni Gas e Luce per 11,5 milioni
Telemarketing indesiderato e attivazione di contratti non richiesti

Il Garante per la privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento Ue, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.

La prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami, ricevuti all’indomani della piena applicazione del Gdpr.

Dalle verifiche è emerso un circoscritto numero di casi rivelatori tuttavia di condotte “di sistema” poste in essere da Egl, che hanno evidenziato gravi criticità relative al generale trattamento dei dati.

Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.

Il Garante, dopo aver dichiarato l’illiceità delle condotte rilevate, ha ingiunto a Egl di implementare procedure e sistemi per verificare, anche tramite l’esame di un campione rilevante di nominativi, lo stato dei consensi delle persone inserite nelle liste dei contatti, prima dell’inizio delle campagne promozionali. Egl dovrà inoltre provvedere alla definitiva automatizzazione dei flussi di dati dal proprio database alla black list di chi non vuole ricevere pubblicità in uso presso la società.

Il Garante, inoltre, ha vietato alla società l’uso dei dati forniti dai list provider senza che questi ultimi avessero acquisito uno specifico consenso alla loro comunicazione a Egl.

La seconda sanzione di 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di Egl. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa.

Le gravi irregolarità hanno interessato circa 7200 consumatori. Dagli accertamenti dell’Autorità è emerso che le condotte adottate da Egl nell’acquisizione di nuovi clienti mediante alcune agenzie esterne operanti per suo conto, per modalità organizzative e gestionali, hanno determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.

Il Garante quindi, rilevate le irregolarità, ha ingiunto a Egl l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali.

Le implementazioni dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento delle sanzioni dovrà essere effettuato entro trenta giorni.

Roma, 17 gennaio 2020

Fonte:

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9244351

Corsi di formazione a pagamento

CORSI A PAGAMENTO

Modulo iscrizione corsi pagamento

Si pregano i gentili partecipanti di inviare il modulo compilato al seguente indirizzo: segreteria@consulenzepaci.it

 

1° Corso
Come redigere e condurre un modello organizzativo privacy ai fini dell’ accountability. (Artt. 5 e 24 GDPR)

Disponibilità:
10 Febbraio 2020 orario 14.30 – 18.30
12 Marzo 2020 orario 09.00 – 13.00

 

 

2°Corso
Cybersecurity: Come rendere sicura l’infrastruttura informatica e la rete aziendale (Art. 32 GDPR)
Disponibilità:
18 Febbraio 2020 orario 09.00 – 13.00
24 Marzo 2020 orario 09.00 – 13.00

 

 

 

3°Corso
Predisposizione ed aggiornamento del registro del trattamento in capo al titolare ed al responsabile del trattamento. (Art 30 GDPR)
Disponibilità:
19 Febbraio 2020 orario 14.30 – 18.30
08 Aprile 2020 orario 09.00 – 13.00

 

 

 

4° Corso
Come redigere le informative per i soggetti interessati (Artt. 13 e 14 GDPR)
Disponibilità:
03 Marzo 2020 orario 09.00 – 13.00
26 Marzo 2020 orario 14.30 – 18.30

 

 

 

5°Corso
Come redigere e condurre una valutazione d’impatto (Art 35 GDPR)
Disponibilità:
04 Marzo 2020 orario 14.30 – 18.30
02 Aprile 2020 orario 09.00 – 13.00

 

 

6° Corso
Come affrontare una data breach.  Redigere procedure per la gestione degli incidenti di sicurezza, metodi per la valutazione, gestione e comunicazione all’ Autorità Garante ed ai soggetti interessati. (Artt. 33 e 34 GDPR, nuovo provvedimento del Garante 30 Luglio 2019) 
Disponibilità:
10 Marzo 2020 orario 09.00 – 13.00
09 Aprile 2020 orario 14.30 – 18.30

 

20/12 Maxi multa per una farmacia: Documenti lasciati all’aperto esposti alle intemperie, il Garante inglese sanziona!

Una società farmaceutica inglese che fornisce medicinali a clienti e case di cura teneva giacenti all’aperto nel retro della propria sede circa 500mila documenti contenenti dati sanitari, lasciandoli esposti alle intemperie e per questo danneggiati e bagnati, ma il Garante per la privacy inglese non ha mostrato alcuna indulgenza, infliggendo una multa di 275.000 sterline,  corrispondente a un importo di oltre 322mila euro.

A renderlo noto  è lo stesso Information Commissioner’s Office (ICO), che ha motivato la decisione di sanzionare la Doorstep Dispensaree Ltd per non aver garantito la sicurezza di quelli che ai sensi dell’art.9 del Gdpr sono “categorie particolari di dati personali”, ovvero non solo nomi, indirizzi, date di nascita, ma anche codici NHS (National Health Service) relativi all’iscrizione degli utenti al servizio nazionale sanitario del Regno Unito, informazioni mediche, e prescrizioni appartenenti a un numero imprecisato di persone che sono stati trovati in sacchetti per lo smaltimento dei rifiuti, in una scatola di cartone, e in casse prive di chiusura depositate nel cortile posteriore dei locali della società con sede a Londra.
L’ICO aveva avviato un’indagine sulla Doorstep Dispensaree su segnalazione dell’Agenzia di regolamentazione per i medicinali e i prodotti sanitari (MHRA), che stava svolgendo separatamente una propria indagine sulla società farmaceutica.

Sul caso in questione, il direttore delle indagini di ICO, Steve Eckersley, ha dichiarato: “Il modo imprudente con cui la Doorstep Dispensaree aveva archiviato i dati sensibili non era sufficiente a proteggerli da danni o perdite accidentali. Questo non è all’altezza di ciò che richiede la legge e non è all’altezza di ciò che le persone si aspettano”.

L’ICO ha anche sottolineato come i documenti “non fossero stati contrassegnati come rifiuti confidenziali, aggiungendo che alcuni “erano bagnati fradici”, e che “gli interessati potevano essere facilmente identificati e ricollegati ai dati relativi alla loro salute”.
Nel fissare l’ammenda, l’ICO ha considerato la violazione successiva al 25 maggio 2018, per cui di fatto si tratta della prima sanzione dell’autorità inglese dopo l’entrata in vigore del GDPR. Peraltro, a causa della gravità delle violazioni, la Doorstep Dispensaree ha già ricevuto un avviso di esecuzione con l’ordine di adeguare le proprie modalità di protezione dei dati entro tre mesi.

Articolo in lingua originale

Autore e traduzione: Nicola Bernardi

 

Era Digitale: Dipendenze e tutela dei dati

La Dott.ssa Gloriamaria Paci in qualità di Presidente dell’ Associazione Protezione Diritti e Libertà Privacy, sarà di nuovo ospite alla trasmissione Focus di Teleromagna!!!
Si parlerà di Privacy Therapy!
Potrete seguire la puntata ⬇️
– Giovedì 12 dicembre ore 13.30 CH14 Teleromagna, ore 17.30 CH11 TR24
In replica
– Venerdì 13 dicembre ore 12.30 CH11 TR24, ore 16.30 CH14 Teleromagna
– Lunedì 16 dicembre ore 21.30 CH11 TR24

Seminario Formativo 18 Dicembre 2019

Con piacere comunichiamo che il Seminario del 18 Dicembre prossimo avrà anche il Patrocinio del Garante Privacy della Repubblica di San Marino che va ad aggiungersi agli altri Patrocini tra cui:
➡️Garante per la Protezione dei Dati personali
➡️Comune di Rimini
➡️Provincia di Rimini

➡️Regione Emilia Romagna
➡️Volontarimini
➡️Federalberghi Rimini
➡️UNAS

Ricordiamo che ci saranno i Crediti Formativi garantiti da:
➡️Ordine dei Giornalisti
➡️Ordine degli Avvocati
➡️Ordine dei Commercialisti Italiani
➡️Ordine dei Commercialisti Sammarinesi
➡️Ordine dei Geometri
➡️Ordine dei Periti Industriali
➡️TUV Italia

E’ ancora possibile registrarsi gratuitamente al Link Eventbrite qui sotto: ?

https://www.eventbrite.it/e/biglietti-come-promuovere-la-propria-immagine-rispettando-il-gdpr-78608039763

Virus malware attaccate le PEC si chiama FTCODE

Dalla tarda mattinata odierna il CERT-PA ha rilevato il vasto utilizzo di caselle PEC, precedentemente compromesse, utilizzate per veicolare il malware FTCODE che nelle scorse settimane è stato ampiamente utilizzato in diversi attacchi verso strutture della PA o caselle di aziende e professionisti.

La peculiarità rilevata nella variante odierna è che, oltre agire come ransomware avviando la cifratura dei dati degli utenti, attiva una serie di funzionalità di “info-stealer” ed in particolare tenta di catturare le credenziali immagazzinate nei comuni software quali:

  • FireFox
  • Chrome
  • Outlook
  • IE
  • Thunderbird

Questa particolarità fornisce un duplice vantaggio agli attaccanti ovvero quella di recuperare informazioni, che possono essere riutilizzate per scopi illeciti, quindi monetizzare tramite la richiesta di riscatto conseguente la cifratura dei file personali.

La campagna osservata è inoltre particolarmente insidiosa perché utilizza caselle PEC mittenti sempre diversi oltre a innumerevoli oggetti che fanno anche riferimento a comunicazioni pregresse.

Di seguito un esempio tra quelli rilevati:

 

Alcuni degli oggetti identificati nella campagna in corso sono:

  • esposto circa la SOGEI
  • candidatura Profilo F1
  • 272435426
  • Ricevuta protocollo
  • INAIL Comunica [9633468]
  • Fatture Ottobre 2019
  • POSTA CERTIFICATA: Candidatura profilo F2
  • ReRicevuta protocollo
  • Nota prot n 114438 del 18092019
  • 5Piano Triennale per l’informatica nella Pubblica Amministrazione 20172019 Definizione dei piani di adesione e attivazione a PagoPA
  • AVVISO 012016profio F2

L’oggetto non è un elemento caratteristico per l’identificazione della campagna, ma sono da ritenere altamente sospetti tutti i messaggi PEC in cui l’oggetto è utilizzato anche nel corpo sotto forma di un link internet.

Nello specifico il link redirige verso fonti esterne dalle quali viene scaricato un file archivio .zip contenete file con estensione .vbs.

All’avvio il malware scarica e visualizzaanche un’immagine con gli aumenti autorizzati per le tratte autostradali, lo scopo è quello di non insospettire l’utente.

Sono in corso aggiuntive analisi sul malware e verifiche atte al recupero di indicatori di compromissione.

Indicatori di Compromissione

Si consiglia di utilizzare gli IoC seguenti per arginare l’infezione.

  • IoC (.txt) – URL, domini, hash;
  • Hashr (.txt) – SHA256

Fonte:

https://www.cert-pa.it/notizie/massiva-campagna-via-pec-diffonde-ftcode-con-nuove-funzionalita/