- Data breach, Garante Privacy sanziona Postel per 900mila euro
- Garante: stop al software che accede all’email del dipendente
- Assegno di inclusione, Garante Privacy: ok alle verifiche Inps
- Progetto S.IN.D.A.C.A.: via libera del Garante Privacy
Data breach, Garante Privacy sanziona Postel per 900mila euro
Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
Il Garante Privacy ha applicato una sanzione di 900mila euro a Postel Spa che per quasi un anno non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali.
Nell’agosto del 2023, la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.
In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.
Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.
Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi.
La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.
Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.
Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.
Garante: stop al software che accede all’email del dipendente
Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi. Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore.
Lo ha stabilito il Garante Privacy sanzionando una società per 80mila euro.
Il Garante, intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale.
Le informazioni raccolte erano poi state utilizzate dalla società in un contenzioso.
L’Autorità ha appurato inoltre l’inidoneità e la carenza dell’informativa resa ai lavoratori. Il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.
Nel definire il procedimento, il Garante ha affermato che la sistematica conservazione delle email – effettuata per un considerevole periodo di tempo (pari a tre anni successivamente alla cessazione del rapporto) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla disciplina di protezione dei dati. Tale conservazione infatti risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
Ciò, inoltre, aveva consentito alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.
Per quanto riguarda infine l’uso dei dati in tribunale, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate come in questo caso.
Oltre alla sanzione, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.
Assegno di inclusione, Garante Privacy: ok alle verifiche Inps
Parere favorevole del Garante Privacy sulle modalità e sulle misure tecniche e organizzative che l’Inps adotterà per utilizzare le informazioni necessarie per effettuare i controlli sulla concessione dell’Assegno di inclusione (ADI) e del Supporto per la formazione e il lavoro (SFL), acquisendoli presso le proprie banche dati nonché presso altre amministrazioni.
Lo schema di disciplinare tiene conto delle indicazioni fornite dall’Ufficio, nel corso delle interlocuzioni intercorse, al fine di rendere conformi alla normativa privacy i trattamenti dei dati dei richiedenti l’ADI e il SFL. Le misure si sono rese necessarie per la quantità e la delicatezza dei dati trattati, tra questi quelli relativi alla salute, ai minori, alle sentenze di condanna.
Nelle ipotesi di scambi informativi tra l’Inps e le amministrazioni competenti – Comuni, Ministero dell’interno, ACI, Agenzia delle entrate, Ministero della giustizia e Ministero dell’istruzione e del merito – i dati oggetto di trattamento saranno limitati a quelli strettamente necessari ad effettuare le verifiche previste dalla legge. Lo stesso vale anche per i flussi relativi alla verifica delle condizioni di svantaggio o l’inserimento in programmi di cura e assistenza.
Nel testo vengono inoltre definite le procedure per lo scambio tempestivo di informazioni tra l’Inps e le altre amministrazioni in caso di violazioni di sicurezza (ad es. data breach).
Le misure di garanzia approvate dal Garante Privacy consentiranno quindi all’Istituto di utilizzare, a fini di controllo sul possesso dei requisiti, i dati provenienti dai propri database e quelli messi a disposizione dalle altre amministrazioni, evitando così che l’erogazione dell’assegno di inclusione venga destinato a chi non ne ha diritto.
Progetto S.IN.D.A.C.A.: via libera del Garante Privacy
Più riservatezza per i colloqui dei richiedenti asilo
Il Garante per la protezione dei dati personali ha reso il parere su uno schema di decreto direttoriale (a firma congiunta del Ministero dell’interno e Ministero della giustizia) che individua le specifiche tecniche per la messa a disposizione dell’autorità giudiziaria e dei soggetti abilitati (es. avvocati, cancellieri, ecc.) della videoregistrazione dei colloqui dei richiedenti asilo (c.d. Progetto “S.IN.D.A.C.A” – Sistema Informativo di Documentazione delle Audizioni delle Commissioni Asilo).
Il decreto attua specifiche disposizioni di settore, di derivazione europea, sulle procedure per il riconoscimento e la revoca dello status di rifugiato negli Stati membri, in particolare quelle relative al colloquio del richiedente asilo dinanzi alle Commissioni territoriali. Secondo tale disciplina, il colloquio è videoregistrato con mezzi audiovisivi, trascritto in lingua italiana con l’ausilio di sistemi automatici di riconoscimento vocale e letto al richiedente in una lingua a lui comprensibile. Il verbale della trascrizione viene poi conservato insieme alla videoregistrazione dal Ministero dell’Interno in un apposito archivio informatico.
Nella fase – solo eventuale e successiva – di ricorso contro la decisione della Commissione territoriale, la videoregistrazione e il verbale di trascrizione sono messi a disposizione dell’autorità giudiziaria e dei soggetti abilitati, come disposto dalle specifiche tecniche previste dal decreto.
Lo schema, che tiene conto delle indicazioni fornite dall’Ufficio del Garante nell’ambito di una complessa attività istruttoria in tema di sicurezza dei dati e del sistema, prevede specifiche misure tecniche e organizzative idonee a tutelare la privacy degli interessati.
Nel parere reso, l’Autorità ha però richiesto un ulteriore perfezionamento del decreto evidenziando la necessità di definire termini certi di conservazione dei dati e di individuare quale titolare del trattamento dei dati personali il Ministero dell’interno e non il Dipartimento libertà civili e immigrazione.
L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità
G7 dei Garanti privacy: positivo bilancio dell’incontro mondiale. Approvate dichiarazioni su IA e minori, circolazione dei dati, cooperazione internazionale. Disponibili i documenti finali – Comunicato dell’11 ottobre 2024
Intelligenza artificiale: al via i lavori del G7 privacy – Comunicato del 9 ottobre 2024
IA: il G7 dei Garanti privacy a Roma dal 9 all’11 ottobre – Comunicato del 7 ottobre 2024
Faro del Garante privacy su accordi tra editori e OpenAI – Comunicato del 26 settembre 2024
Caso Sangiuliano, Garante ai media: tutelare la dignità delle persone coinvolte – Comunicato del 20 settembre 2024
Fonte: garanteprivacy.it