Acquisizione e trattamento dei dati: cosa accade in caso di violazione?

Spaziottantotto

Ci capita spesso di utilizzare i nostri dati personali per compilare form di contatto o per accedere alla nostra posta elettronica. Non sempre, però, è semplice capire quale uso verrà fatto dei dati che stiamo inserendo. 

Sono numerosi i siti che non forniscono informazioni chiare e complete sull’utilizzo dei dati. Quando accade, l’utente non ha modo di comprendere i potenziali rischi che corre e di proteggere i propri dati. Fortunatamente, il Garante Privacy monitora costantemente il web e interviene in caso di trattamenti illeciti!

Per comprendere meglio tali dinamiche e potervi orientare al meglio in casi analoghi, raccontiamo in questo articolo due casi specifici, relativi a:

  • acquisizione illecita di dati personali di oltre un milione e mezzo di persone, tramite un programma di raccolta punti;
  • un caso di data breach, comunicato in modo errato e superficiale.

Acquisizione illecita di dati

Di recente, una nota marca di pannolini ha proposto ai suoi utenti un programma di raccolta punti che, come spesso accade, consentiva all’utente di usufruire di piccoli vantaggi. Tuttavia, per aderire al programma, era necessaria la compilazione di un form con il quale si esprimeva il consenso a ricevere pubblicità e ciò è vietato dall’autorità competente.

Il Garante Privacy è perciò intervenuto, vietando alla nota marca di pannolini l’ulteriore trattamento per finalità promozionali dei dati di oltre un milione e mezzo di persone, in quanto acquisiti in modo illecito mediante il form “raccolta punti” del sito della società.

Gli accertamenti, svolti dal Garante in collaborazione con il Nucleo Speciale Privacy della Guardia di Finanza, sono stati avviati in seguito ad una segnalazione. Hanno permesso di appurare che, nei primi due mesi del 2018, la società aveva inviato newsletter promozionali a circa un milione di indirizzi e-mail, raccolti e utilizzati senza un valido consenso.

L’acquisizione dei dati ottenuti tramite la raccolta punti è stata quindi considerata illecita in quanto:

  • ai clienti interessati non veniva data la possibilità, come richiesto dalla normativa, di esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere (tra le quali vi era appunto l’attività promozionale);
  • per poter completare la registrazione e aderire al programma di fidelizzazione, i clienti erano obbligati a rilasciare due consensi generici, uno per la società e uno per i marchi collegati.

Per rispondere di tale acquisizione illecita dei dati, la società ha quindi dovuto:

  • modificare il form di raccolta dati presente sul sito in caso di attività promozionali, in modo tale che gli utenti possano esprimere un consenso libero e informato per tale finalità;
  • pagare una sanzione amministrativa per i trattamenti illeciti.

Violazione dei dati e conseguente comunicazione

Un caso recente di data breach nel sistema di uno dei principali fornitori nazionali di servizi di posta elettronica, ci permette invece di analizzare il tema della violazione dei dati. Come va comunicato agli utenti un incidente simile?

Il Garante Privacy è stato molto chiaro: in caso di data breach, le comunicazioni agli utenti non devono essere generiche. Al contrario, devono:

  • consentire alle persone di comprendere i potenziali rischi,
  • fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, in particolare dal furto di identità.

La società di servizi di posta elettronica in questione, aveva infatti subìto un data breach che ha provocato l’accesso fraudolento e la violazione delle caselle e-mail di circa un milione e mezzo di utenti.

Per contenere le possibili conseguenze del data breach, la società aveva:

  • “forzato” gli utenti a reimpostare la password;
  • predisposto una pagina apposita sul proprio sito per informare della violazione;
  • inviato un’e-mail tardiva per comunicare l’incidente a tutti gli interessati, carente di informazioni e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali.

Inoltre, erano state inviate due comunicazioni diverse, a seconda che l’utente avesse provveduto o meno ad effettuare il cambio della password entro le 48 successive all’avviso del data breach. In entrambi i casi, la violazione era descritta come “attività anomala sui sistemi”:

  • a chi aveva cambiato la password, non veniva consigliata alcuna azione correttiva e veniva comunicato che il cambio di password aveva reso inutilizzabili le credenziali precedenti;
  • a chi non aveva cambiato la password, veniva consigliato semplicemente di cambiare dati di accesso, per “eliminare il rischio di accesso indesiderato alla casella mail”.

Tali informazioni sono state considerate insufficienti dall’Autorità, in quanto non hanno comunicato in modo esaustivo agli utenti i gravi rischi ai quali sono stati esposti.

Per questo motivo, il provvedimento adottato dal Garante Privacy nei confronti della società prevede che questa effettui una nuova comunicazione sul data breach subìto nei mesi passati, che dovrà:

  • contenere una descrizione della natura della violazione e delle sue possibili conseguenze;
  • fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi.

Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online uguale o simile a quello violato.

Speriamo, con questo articolo, di aver chiarito alcuni aspetti dell’errata acquisizione e trattamento dei dati personali. Se hai altri dubbi sull’argomento e desideri una consulenza specifica, chiamaci ai numeri 011 4337431 / 011 433289! Siamo a tua disposizione.