OSSERVATORIO VECOMP

Stop al web scraping per gli elenchi telefonici
Il Garante multa con 60mila euro il sito trovanumeri.com per il rastrellamento automatico del web per realizzare nuovi elenchi telefonici.

Il Garante ha vietato al titolare del sito web “www.trovanumeri.com” la costituzione e diffusione on line di un elenco telefonico formato “rastrellando” i dati tramite web scraping (ricerca automatizzata nel web) e gli ha ingiunto il pagamento di una sanzione di 60 mila euro. L’attuale quadro normativo non consente infatti la creazione di elenchi telefonici generici che non siano estratti dal DBU (il data base unico che contiene i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile).
Dagli accertamenti dell’Autorità è emerso che il titolare del sito non aveva un’idonea base normativa per trattare i dati, che sul sito mancavano le indicazioni per rivolgersi al titolare del trattamento come pure assente risultava la possibilità di ottenere la cancellazione dei dati in caso di mancato funzionamento dell’apposito form.  Anche nella breve informativa privacy pubblicata, non era indicato l’intestatario del sito, la cui identificazione ha richiesto lunghe indagini.
Il Garante ha dichiarato dunque illecita la raccolta, la conservazione e la pubblicazione dei dati personali ed ha comminato una sanzione di 60 mila euro. La ditta individuale aveva già subito una sanzione nel 2022 per una violazione analoga. 
Nel definire l’ammontare dell’ammenda l’Autorità ha tenuto conto della gravità della violazione, dell’elevato numero di soggetti i cui dati sono stati pubblicati (circa 26 milioni di utenti), della durata della violazione e del carattere doloso della condotta dell’intestatario. 

 
Data: 28 giugno 2023 
Fonte: Garante
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9903191
 

HISTORIES

Data breach, il Garante sanziona una Asl veneta: inviati i certificati ai pazienti sbagliati
Le aziende sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei pazienti siano comunicati per errore ad altri destinatari.

Lo ha ribadito il Garante nel sanzionare un’azienda sanitaria del Veneto per una violazione di dati personali che ha coinvolto 39.852 assistiti, minori di 6 anni e maggiori di 65, con reddito inferiore a 36.151,98 euro.
I pazienti avevano ricevuto nella cassetta della posta il certificato contenente i dati personali (nome, cognome, luogo e data di nascita, codice fiscale, codice di esenzione) di un altro assistito.
Dalle verifiche effettuate dall’Autorità – a seguito della ricezione di alcuni reclami e della notifica di data breach da parte dell’Asl – è emerso che la violazione era stata causata da un problema tecnico di disallineamento dei dati nel database contenente le anagrafiche dei pazienti.
La sanzione, di 10mila euro, è stata calcolata tenendo conto che l’azienda sanitaria ha immediatamente dimostrato un elevato grado di collaborazione con il Garante e che l’episodio è risultato isolato e non volontario.
L’azienda, inoltre, ha pianificato ulteriori misure per ridurre al minimo eventuali futuri errori, in particolare mediante l’attivazione di un portale online attraverso cui sarà possibile scaricare direttamente i certificati d’esenzione in formato digitale.
 
Data: 22 giugno 2023
Fonte: Garante
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9899946

Fidelity card: il Garante privacy sanziona il Gruppo Benetton
Multa di 240mila euro per illecito trattamento di dati personali.

Il Garante privacy ha sanzionato per 240mila euro il Gruppo Benetton per aver trattato illecitamente i dati personali di un numero rilevante di clienti ed ex clienti. Assenza di adeguate misure di sicurezza e conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione, le violazioni più gravi. I dati dei clienti venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.
A seguito dell’attività ispettiva dell’Autorità, svolta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza L’Autorità ha rilevato che la società conservava i dati raccolti tramite le fidelity card - inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati - anche degli ex clienti. 
Una mole di informazioni di grande utilità ed “appetibilità” per le attività di data enrichment e di profilazione, sempre più diffuse.
Dalle verifiche effettuate è emerso, inoltre, che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 Paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un’unica password e un unico account.
Considerato l’elevato numero degli interessati e la notevole durata delle violazioni, il Garante ha multato il Gruppo Benetton e ha ingiunto alla società di adottare tutte le misure necessarie per conformarsi alla normativa privacy. In particolare, il Gruppo dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di 10 anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo (Gdpr).
 
Data: 28 giugno 2023
Fonte: Garante
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9903191#1