Privacy News – Maggio 2020

LA COMPAGNIA AEREA EASYJET COLPITA DA ATTACCO HACKER: VIOLATI I DATI PERSONALI DI 9 MILIONI DI CLIENTI

EasyJet è stata oggetto di un sofisticato attacco hacker che ha violato i dati personali di circa 9 milioni di clienti. A renderlo noto è stata la stessa compagnia aerea britannica low cost in un comunicato stampa. Tra i dati a cui hanno avuto accesso i criminali informatici vi sono gli indirizzi e-mail, i dettagli dei viaggi, ed i dati della carta di credito di 2.208 passeggeri.

Nel comunicato pubblicato sul sito web viene spiegato che la compagnia sta già collaborando con l’autorità per la protezione dei dati britannica (ICO) e con il National Cyber Security Centre, e che nei prossimi giorni tutti i clienti coinvolti saranno contattati per fornire loro maggiori dettagli. Se un cliente non verrà contattato significherà che i suoi dati non sono stati violati dagli hacker.

La EasyJet si è scusata per l’episodio, precisando che al momento non vi sono indicazioni su un uso improprio dei dati trafugati.

Disponiamo di solide misure di sicurezza per proteggere i nostri clienti

Ha dichiarato Johan Lundgren, CEO di EasyJet.

Da quando si è verificato questo episodio, è diventato chiaro che a causa della pandemia di Covid-19 c’è una accresciuta preoccupazione sull’abuso dei dati personali per effettuare truffe online.

(Federprivacy)

GARANTE PRIVACY SU DATA BREACH INPS: “ENTRO 15 GIORNI L’ISTITUTO AVVERTA UTENTI SU VIOLAZIONE DATI”

Quindici giorni per comunicare a tutti i diretti interessati le violazioni dei dati personali che si verificarono il primo aprile scorso, cioè nel click day, quando il sito dell’Inps venne preso d’assalto dai beneficiari delle misure di sostegno previste dal Cura Italia. È questo il termine che il Garante della Privacy ha ingiunto all’istituto di previdenza, con un provvedimento pubblicato sul sito dell’authority.(https://www.garanteprivacy.it/web/guest/home/ docweb/-/docweb-display/docweb/9344061)

Il Garante, si legge nel testo:

Ingiunge all’Inps di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti.

E, inoltre:

Richiede all’Inps di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista.

(Federprivacy, fonte ad Kronos)

L’ODV NON È NÉ UN TITOLARE DEL TRATTAMENTO NÉ UN RESPONSABILE ESTERNO

L’Organismo di vigilanza (Odv) è un organismo dell’ente/società. In quanto tale, l’organismo previsto dall’articolo 6 del d.lgs. 231/2008, non è un titolare del trattamento e neppure un responsabile esterno (articolo 28 Regolamento Ue sulla protezione dei dati n. 2016/679, Gdpr). Inoltre, i componenti dell’Odv devono essere designati autorizzati al trattamento.

È quanto chiarito dal Garante per la protezione dei dati personali con la nota, nella quale si è occupato della natura di questo organismo ai fini della disciplina sulla protezione dei dati.(https://www.aodv231.it/images/img_editor/ 888489_12.05.2020.pdf)

L’Organismo di Vigilanza di un’impresa o di un ente svolge un ruolo essenziale per arginare la responsabilità amministrativa delle imprese derivante da reati commessi da manager e dipendenti.

Ci si era posti il problema se l’Odv fosse titolare del trattamento o fosse responsabile del trattamento oppure se non avesse alcuna rilevanza soggettiva,

dovendosi ritenere assorbito da quello dell’Ente o società vigilata della quale, l’organismo di vigilanza è parte.
Il Garante sostiene che l’Organismo di Vigilanza, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, è da considerare “parte dell’ente”. Partendo da questo presupposto, ne consegue che, in ragione del trattamento dei dati personali implicato dall’esercizio dei compiti e delle funzioni affidate all’OdV, lo stesso ente/società (titolare del trattamento) deve designare i singoli membri dell’OdV quali soggetti autorizzati. Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’articolo 5 del Gdpr. Lo stesso titolare sarà, comunque, tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’Organismo di vigilanza l’autonomia e l’indipendenza rispetto agli organi di gestione societaria.

(da Federprivacy, Fonte Garante Privacy)

CORONAVIRUS E PRIVACY, LE FAQ CON I CHIARIMENTI E LE INDICAZIONI DEL GARANTE PRIVACY

Il datore di lavoro può rilevare la temperatura corporea di dipendenti, fornitori, clienti all’ingresso della propria sede? E può rendere nota l’identità di un lavoratore contagiato ai colleghi? La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al Covid-19? Gli enti locali possono pubblicare i dati dei destinatari dei benefici economici? Le aziende sanitarie, le prefetture, i comuni possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento?

Sono queste solo alcune delle domande cui rispondono le FAQ predisposte dal Garante per la protezione dei dati personali sulle problematiche connesse all’emergenza Coronavirus in vari ambiti: sanità, lavoro, scuola, ricerca, enti locali. (https://www.garanteprivacy.it/temi/coronavirus/faq)

Le Faq, disponibili sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite e a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, in particolare, il ruolo che anche nell’attuale emergenza sanitaria deve essere svolto dal medico competente nel contesto lavorativo pubblico e privato, e ha inoltre specificato che il datore di lavoro non deve comunicare i nominativi dei contagiati al rappresentate dei lavoratori per la sicurezza.

Per quanto riguarda la scuola, l’istituto è tenuto a fornire alle istituzioni competenti le informazioni necessarie, affinché possano ricostruire la filiera delle persone entrate in contatto con una persona contagiata, ma spetta alle autorità sanitarie competenti informare i contatti del contagiato, al fine di attivare le misure di profilassi.

Riguardo alle strutture sanitarie, queste possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni, sullo stato di salute, ai familiari dei pazienti Covid-19 che non sono in grado di comunicare autonomamente. La struttura di ricovero può, quindi, ad esempio, dedicare un numero verde per fornire tali informazioni, purché preveda adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

L’Autorità, poi, ha ribadito che aziende sanitarie, prefetture, comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi delle persone contagiate dal Covid-19 o di chi è stato posto in isolamento, anche qualora la finalità sia quella di contenere la diffusione dell’epidemia.

(da Federprivacy, Fonte Garante Privacy)

Avv. Roberto Spreafico