Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto civile
Privacy e Cybersecurity

Uso di sito web non aggiornato e vulnerabile ad attacchi: sanzione del Garante

Scarica PDF Stampa

Il Garante sanziona una società di e-commerce per l’uso di un sito web in versione non aggiornata e vulnerabile gli attacchi.

Per approfondimenti al riguardo consigliamo il volume Formulario commentato della privacy

Indice

1. I fatti

Il Garante per la protezione dei dati personali riceveva un reclamo nel quale il reclamante segnalava di aver ricevuto una email promozionale da parte di una società, alla quale era seguita una richiesta di esercizio dei propri diritti previsti dal Regolamento europeo per la protezione dei dati personali (GDPR), alla quale non era seguita alcuna risposta. Successivamente, il reclamante comunicava al Garante di aver ricevuto altre 7 email indesiderate da parte della società.
Il Garante, quindi, chiedeva chiarimenti alla società e quest’ultima affermava di non aver risposto al reclamante perché la comunicazione era erroneamente finita nella casella “spam”, ma di aver recepito la richiesta di opposizione al trattamento da parte del reclamante medesimo. Per quanto riguarda l’indirizzo email del reclamante, la società sosteneva che lo stesso era stato oggetto di trattamento all’interno del proprio database per l’invio di email promozionali, in quanto associato a soggetto che aveva prestato il suo consenso al trattamento per finalità di marketing.
Il reclamante aggiungeva di non aver avuto dalla società i chiarimenti richiesti (in quanto non era stata spiegata l’origine dei dati, ma solo il loro erroneo inserimento nel database usato per il marketing) e successivamente comunicava di aver ricevuto una nuova email dalla società, in cui gli si chiedeva di confermare l’indirizzo email per una richiesta di iscrizione alla newsletter.
Sul punto, la società replicava che l’email ricevuta da ultimo dal reclamante era una semplice email “transizionale” inviata dal sistema a seguito di una richiesta di iscrizione alla newsletter che, presumibilmente, era stata effettuata da un terzo usando l’indirizzo email del reclamante (rinvenibile nel web), ma che non aveva dato seguito ad alcuna iscrizione in quanto non era stata confermata.
Successivamente, il reclamante segnalava di aver ricevuto ulteriori 39 email aventi identico contenuto, in cui egli veniva invitato a confermare il proprio numero di telefono riportato all’interno della email.
Sul punto, la società confermava di non detenere dati del reclamante e di aver accertato, a seguito di ulteriori controlli, che la medesima aveva subito degli accessi non autorizzati sul proprio sito internet, che presumibilmente avevano inviato le email in questione (anche se non risultavano effettuati invii di email verso altri soggetti).

2. Uso di sito web non aggiornato e vulnerabile ad attacchi: la valutazione del Garante

Il Garante ha svolto delle valutazioni tecniche sul sito web della società, accertando che detto sito utilizza una versione del CMS assolutamente obsoleta e soggetta a numerose vulnerabilità anche di gravità elevata (fra le quali una che – nota da diversi mesi alla società – avrebbe permesso di effettuare un attacco malevolo alla piattaforma tale da determinare la perdita della riservatezza, integrità e disponibilità dei dati coinvolti). Dal medesimo accertamento è emerso inoltre che la società faceva uso di un sistema obsoleto per la gestione dei dati raccolti tramite il sito web, che viene usato per attività di e-commerce e dunque per ricevere numerosi ed eterogenei dati (quali i dati anagrafici, quelli di contatto e quelli di pagamento).
Secondo il Garante, le vulnerabilità presenti avrebbero potuto consentire a terzi di usare la piattaforma di e-commerce della società per svolgere attività illecite, come ad esempio l’invio di email di phishing, con conseguenti elevati rischi per i diritti e le libertà delle persone fisiche. Nonostante ciò, la società non ha preso contezza del predetto rischio e si è limitata a registrare solo la deindicizzazione del sito suo web dai motori di ricerca e lo spostamento dei suoi indirizzi in black list.
I suddetti sistemi obsoleti, inoltre, sono stati mantenuti dalla società, anche dopo le interlocuzioni con il Garante, nonostante da alcuni mesi fossero disponibili gli aggiornamenti rilasciati dal produttore.
Secondo il Garante, quindi, tale condotta della società ha comportato la violazione dell’obbligo di garantire un’adeguata protezione dei dati personali da trattamenti e accessi non autorizzati, mediante misure tecniche opportune che assicurino l’integrità e la riservatezza dei dati personali.
In secondo luogo, la mancata comunicazione al Garante delle vulnerabilità presenti sul sito web e del relativo rischio per i diritti e le libertà dei diritti degli interessati, ha comportato una ulteriore violazione della normativa in materia di privacy.
Infine, con riguardo all’invio delle email promozionali indesiderate e al mancato riscontro all’esercizio dei diritti, il Garante ha ritenuto che la società non ha fornito chiarimenti in merito all’origine dei dati del reclamante, limitandosi ad affermare, in un primo momento, che essi erano stati erroneamente inseriti nella lista di contatto senza però indicarne la fonte e successivamente ad ipotizzare che l’erroneo inserimento dell’indirizzo email del reclamante fosse dovuto a un’errata digitazione di tale indirizzo.
Pertanto, la società ha violato ulteriormente la normativa privacy, da un lato, nella misura in cui non ha fornito riscontro alla richiesta di esercizio dei diritti da parte del reclamante (poiché ha fornito le proprie giustificazioni solo dopo l’avvio del procedimento); dall’altro lato, nella misura in cui non ha acquisito alcun consenso per l’invio dei messaggi promozionali (quindi compiendo un trattamento in assenza di idonea base giuridica).

3. La decisione del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto di ingiungere alla società l’adozione di misure tecniche, relative alla gestione dei dati contenuti nel sito web, che siano considerate adeguate rispetto ai rischi esistenti.
In secondo luogo, il Garante ha ritenuto di poter comminare alla società anche una sanzione pecuniaria amministrativa.
Per quanto concerne la quantificazione di detta sanzione, il Garante ha valutato – dal punto di vista delle aggravanti – la gravità e la durata delle violazioni suddette nonché la mancata adozione di misure adeguate per attenuare il danno agli interessati; mentre – dal punto di vista delle attenuanti – l’esiguo numero dei soggetti interessati (cioè uno) e l’assenza di dolo nella condotta nonché il grado di cooperazione con l’autorità e l’assenza di precedenti violazioni, in uno con le piccole dimensioni dell’azienda e le perdite economiche subite a causa dell’attacco informatico. Conseguentemente, il Garante ha comminato la sanzione di €. 30.000 (trentamila).

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
L’impatto dell’intelligenza artificiale sul mercato del lavoro
Luisa Di Giacomo 29/08/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Dipendente licenziato accede a dati personali dei clienti: titolare viola la privacy
Pier Paolo Muià 27/08/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Compatibilità responsabile protezione dati con ruoli nell’organizzazione
Pier Paolo Muià 26/08/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI&Legaltech
Privacy e Cybersecurity
Intelligenza artificiale e cybersecurity: aiuto per la difesa, o minaccia potenziata?
Luisa Di Giacomo 26/08/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;