Categorie
Cronaca

Roma, UNICREDIT: Sanzione per data breach

EDITORIALE

Gianni Dell’Aiuto
Il Garante per la Protezione dei dati personali (conosciuto anche come Garante Privacy) ha sanzionato Unicredit per 600.000 euro a causa dei data breach subiti dalla banca tra tra Aprile 2016
e Ottobre 2018, accertando che l'accesso non autorizzato ai dati dei clienti sia dipeso anche da falle nel sistema di gestione e protezione dati dell'istituto di credito.
La sanzione è dovuta da due accessi abusivi e in momenti distinti. Il primo nell'autunno 2016 e riguardò oltre 400.000 clienti Unicredit. Il comunicato ufficiale della banca sottolineò che non
erano stati acquisiti dati quali le password per accedere ai conti dei clienti o codici per transazioni non autorizzate.
Ciò che UNICREDIT informava potesse essere accaduto, era l’accesso ad alcuni dati anagrafici e ai codici IBAN.
Nel secondo accesso abusivo, nell'Ottobre 2018, erano stata registrata un’intrusione che avrebbe esposto "solo" nome e cognome, codice fiscale, codice identificativo del cliente e il codice per
l’accesso  ai servizi di banca multicanale. Oltre settecentomila i clienti interessati. Oltre seimila clienti vennero inoltre bloccati perché avrebbero subito il furto del PIN. In una prima fase la banca
aveva deciso di contattare soltanto questi clienti con le comunicazioni, ma il Garante aveva ingiunto di contattare tutti i 730.000 correntisti. Dopo questa attività imposta dal Garante, ecco arrivata la sanzione.
Il garante ha accertato le modalità di accesso abusivo; in particolare gli accessi vennero effettuati mediante account di dipendenti di un partner commerciale della banca, quindi un esterno. I dati
sottratti hanno rivelato informazioni sui clienti. Tra gli altri, in particolare iban, eventuali prestiti, dati anagrafici e di contatto e estremi del datore di lavoro. Una miniera d’oro per i ladri di dati.
Alla luce di tutto ciò, il Garante ha emesso la sanzione applicando il GDPR. l’ ammontare della sanzione dipende da fattori quali il numero rilevante di persone coinvolte ma anche del fatto che la banca, a seguito del data breach, ha adottato misure volte a rafforzare la sicurezza dei sistemi informatici.
Categorie
Cronaca

Roma, UNICREDIT: Sanzione per data breach

EDITORIALE

Gianni Dell’Aiuto
Il Garante per la Protezione dei dati personali (conosciuto anche come Garante Privacy) ha sanzionato Unicredit per 600.000 euro a causa dei data breach subiti dalla banca tra tra Aprile 2016
e Ottobre 2018, accertando che l'accesso non autorizzato ai dati dei clienti sia dipeso anche da falle nel sistema di gestione e protezione dati dell'istituto di credito.
La sanzione è dovuta da due accessi abusivi e in momenti distinti. Il primo nell'autunno 2016 e riguardò oltre 400.000 clienti Unicredit. Il comunicato ufficiale della banca sottolineò che non
erano stati acquisiti dati quali le password per accedere ai conti dei clienti o codici per transazioni non autorizzate.
Ciò che UNICREDIT informava potesse essere accaduto, era l’accesso ad alcuni dati anagrafici e ai codici IBAN.
Nel secondo accesso abusivo, nell'Ottobre 2018, erano stata registrata un’intrusione che avrebbe esposto "solo" nome e cognome, codice fiscale, codice identificativo del cliente e il codice per
l’accesso  ai servizi di banca multicanale. Oltre settecentomila i clienti interessati. Oltre seimila clienti vennero inoltre bloccati perché avrebbero subito il furto del PIN. In una prima fase la banca
aveva deciso di contattare soltanto questi clienti con le comunicazioni, ma il Garante aveva ingiunto di contattare tutti i 730.000 correntisti. Dopo questa attività imposta dal Garante, ecco arrivata la sanzione.
Il garante ha accertato le modalità di accesso abusivo; in particolare gli accessi vennero effettuati mediante account di dipendenti di un partner commerciale della banca, quindi un esterno. I dati
sottratti hanno rivelato informazioni sui clienti. Tra gli altri, in particolare iban, eventuali prestiti, dati anagrafici e di contatto e estremi del datore di lavoro. Una miniera d’oro per i ladri di dati.
Alla luce di tutto ciò, il Garante ha emesso la sanzione applicando il GDPR. l’ ammontare della sanzione dipende da fattori quali il numero rilevante di persone coinvolte ma anche del fatto che la banca, a seguito del data breach, ha adottato misure volte a rafforzare la sicurezza dei sistemi informatici.
Categorie
Cronaca

Roma, Sicurezza o Privacy? Il difficile compromesso

EDITORIALE

Avv. Gianni Dell’Aiuto
 
Si sta discutendo in questi giorni della possibilità di utilizzare una App  per il monitoraggio Covid-19 e, il dibattito, ruota intorno alle perplessità che una simile soluzione vada a
confliggere con la privacy delle persone e, ovviamente, rilancia il problema della protezione dei dati personali, ponendosi in contrasto con il GDPR, il regolamento Europeo
per la protezione dei dati.
In linea generale, le norme sulla protezione dati non impediscono, previo un provvedimento ad hoc del governo, alle autorità sanitarie, di raccogliere informazioni su
più ampia scala, ad esempio nel caso del sistema di protezione dei dati utilizzando le App.
Ovvio necessario un intervento del Garante Privacy che emani linee guida per operare un difficile bilanciamento tra le esigenze di soluzioni per una situazione eccezionale e i diritti
dei singoli.
Fin dalla fase di raccolta delle informazioni che dovrà essere in ogni caso preceduta un’accurata valutazione di quali dati raccogliere, come conservarli e, fondamentale, a chi
comunicarli. Si tratta della valutazione d’impatto che deve essere sempre effettuata prima di avviare la raccolta ed elaborazione di tali dati e deve essere incorporata sin dalla
progettazione di una App. I requisiti inoltre da tenere presente sono quelli previsti dal GDPR.
Tra questi ricordiamo quelli della minimizzazione dei dati da raccogliere, la trasparenza per i cittadini e, come ribadito, la volontarietà (almeno al momento), nell’installazione di una APP
La situazione è straordinaria, ma confidando che sia limitata. Pone comunque non pochi problemi tra sicurezza e protezione dati, anche se sembra un controsenso per chi,
quotidianamente, espone la propria esistenza sui social. Ma non possiamo tenere conto che in altre realtà, in primis quella di Taiwan, dove App Installate su base volontaria dai
cittadini hanno sconfitto il virus.
Anche l’Europa potrebbe dire la sua.
Categorie
Cronaca

Milano, GDPR : Gruppo RCS sanzionato per le Iene dal Garante

 

Prime sanzioni del Garante Privacy per le violazioni al Regolamento Europeo GDPR e, chi ne ha
fatto le spese il gruppo Fininvest per “Le Iene”
Una donna ripresa di nascostosi è rivolta al Garanteper la Privacy poiché, nel corso di una trasmissione del 2018, è stata resa identificabile attraverso
l’utilizzo della sua voce e di altre informazioni relative alla sua sfera personale. In particolare la città di origine, il fatto di aver cambiato da poco casa e di avere dei figli, la precedente professione
svolta, il luogo e il periodo di una vacanza e l’abitudine di andare ogni anno in vacanza in un posto,
anch’esso specificato. Unitamente alla sottrazione fraudolenta della voce le Iene hanno consentito a
molti di riconoscerla. La vittima non aveva prestato il consenso alla raccolta e divulgazione di detti
elementi e a nulla serviva la richiesta di rimozione del video accessibile sui siti del gruppo Mediaset
S.p.a.
Il Garante rilevava come nel servizio si parlasse di alcune donne che si prostituivano in Svizzera, e
carpivano le informazioni tramite un finto cliente e questa condotta configura violazione dei
principi di liceità e correttezza del trattamento dati personali e delle disposizioni sull’attività
giornalistica che impongono al giornalista di rendere note la propria identità, professione e finalità
della raccolt; inoltre il servizio è andato oltre l’essenzialità dell’informazione riguardo a fatti di
interesse pubblico riferendo abitudini sessuali di una determinata persona.
IL Garante, nel provvedimento, ha preso atto della successiva rimozione del servizio ma nel
valutare l’importo della sanzione ha rilevato la gravità della violazione in quanto è stata toccata la
sfera sessuale dell’interessata, oltretutto in un contesto del servizio di particolare impatto negativo,
anche suoi familiari. Il servizio ha vanificato la scelta di tenere separate l’attività esercitata in un
altro Paese dalla dimensione di vita svolta in Italia. Particolare peso poi è stato dato alla circostanza
che le informazioni oggetto di diffusione anche in rete e non solo durante la trasmissione televisiva,
sono state registrate senza che la reclamante fosse stata minimamente informata dei fini
giornalistici.
Inoltre il Garante ha constatato come non siano state adottate neppure misure minime per garantire
l’anonimato, che non avrebbero pregiudicato la completezza dell’informazione. Veniva anche
rilevato come la violazione si fosse protratta anche in rete.
Considerato comunque che le finalità perseguite erano relative all’esercizio del diritto di cronaca e
informazione, bilanciando con queste il diritto fondamentale della reclamante alla protezione dei
dati, veniva emessa la sanzione di soli euro 20.000,00.
Veniva stabilito inoltre di pubblicare il provvedimento sul sito del Garante per la Privacy, sulla base
dell’invasività del trattamento contestato, della tipologia dei dati personali divulgati, nonché delle
modalità di raccolta delle informazioni. Si tratta di un primo provvedimento che dovrebbe portare
ad una maggiore attenzione chi usa il giornalismo solo per avere un effetto di impatto e
spettacolarizzazione sul pubblico a scapito di una corretta informazione.
Avv. Gianni Dell’Aiuto
Categorie
Cronaca

Lombardia, Reati condominiali

EDITORIALE

Avv. Gianni Dell’Aiuto

Quali sono i limiti ai comportamenti da tenere in un condominio?

Dove può scattare addirittura il penale e, anche, conseguentemente, il risarcimento del danno?

In una vicenda di cui si è dovuta occupare addirittura la Corte di Cassazione ha visto confermare la condanna di un uomo che, in maniera reiterata, creava disturbo ai propri vicini con comportamenti che andavano oltre il lecito.

Tra gli altri comportamenti l’imputato ascoltava lo stereo di casa ad alto volume, colpiva con pugni le pareti confinanti, suonava ripetutamente e ingiustificatamente il clacson della propria auto nell’attraversare il vialetto condominiale, anche nelle prime ore del mattino e teneva acceso il motore dell’auto sotto le abitazioni dei condomini e provocando, in tal modo, immissioni di gas di scarico all’interno delle stesse, oltre a proferire frasi a contenuto ingiurioso e oltraggioso rivolte ai vicini. Violava inoltre la privacy dei vicini scattando fotografie per riprendere l’esterno delle abitazioni.

A nulla sono valse le giustificazioni addotte dall’imputato, vale a dire che vi fosse una situazione di reciprocità. Il comportamento dell’imputato è stato definito biasimevole. In punto di diritto è stato posto in evidenza come, anche in un procedimento penale, quando ci troviamo di fronte a posizioni apparentemente conflittuali, debba essere rigorosamente rispettato il principio dell’onere della prova. Inutile quindi cercare di convincere il giudice semplicemente con la propria parola, in quanto ogni affermazione deve essere debitamente suffragata da altri elementi di fatto. Da qui la condanna del condomino molesto, che a sua volta sosteneva di essere vittima. Curioso come i giudici abbiano rilevato l’inutilità dell’uso del clacson nel vialetto condominiale, dove le regole e la diligenza nella guida li rendono praticamente inutili, salvo comprovate esigenze particolari.

Categorie
EDITORIALI

Lombardia, Cosa prevale tra la privacy e il diritto ad aprire una nuova finestra?

EDITORIALE

Avv. Gianni Dell’Aiuto

 

 

Il Tribunale di Roma è stato chiamato a decidere sulla richiesta di una signora che lamentava come la propria vicina, costruendo un balcone e aprendovi una porta finestra, oltre a violare le norme in materia di distanze condominiali, violasse la propria privacy, potendo “spiarla” tramite la nuova veduta all’interno della propria abitazione e, in particolare, nel bagno. La parte accusata si difendeva sostenendo come, viceversa, il balcone si trovasse in quella posizione da ben oltre vent’anni, al punto di chiedere la declaratoria di una servitù di veduta per usucapione.

Il tribunale, preliminarmente ha rilevato come nel caso, non si potesse parlare di veduta, bensì di finestra. La fondamentale differenza è che mentre la finestra permette la visione solo frontale, una veduta si configura soltanto nel caso in cui l’apertura realizzata, oltre che di vedere e guardare frontalmente, permette ad una persona di media altezza anche di affacciarsi e quindi di guardare in maniera laterale ed obliqua sul fondo altrui. Oltretutto, nel caso in esame, il nuovo manufatto serviva solo a dare maggiore aria e luce all’appartamento, ma non a mettere la testa fuori.

Da questa osservazione è stata operato un’attenta analisi ai fini del bilanciamento tra la privacy e il diritto a poter ampliare l’apertura della porta-finestra per avere più aria e luce. Il Tribunale ha concluso che debba prevalere il diritto ad utilizzare il bene comune per dare maggior luce, specialmente in considerazione dell’apposizione di una grata che impediva un eccessivo affaccio verso le finestre altrui.

Si tratta di una pronuncia che dovrà verosimilmente passare da altri gradi di giudizio ma, in casi analoghi, si dovrà tenere presente come la privacy debba in ogni caso essere tutelata e rispettata.