Uso di sito web non aggiornato e vulnerabile ad attacchi: sanzione del Garante

Il Garante sanziona una società di e-commerce per l’uso di un sito web in versione non aggiornata e vulnerabile gli attacchi.

Per approfondimenti al riguardo consigliamo il volume Formulario commentato della privacy

Indice

1. I fatti

Il Garante per la protezione dei dati personali riceveva un reclamo nel quale il reclamante segnalava di aver ricevuto una email promozionale da parte di una società, alla quale era seguita una richiesta di esercizio dei propri diritti previsti dal Regolamento europeo per la protezione dei dati personali (GDPR), alla quale non era seguita alcuna risposta. Successivamente, il reclamante comunicava al Garante di aver ricevuto altre 7 email indesiderate da parte della società.
Il Garante, quindi, chiedeva chiarimenti alla società e quest’ultima affermava di non aver risposto al reclamante perché la comunicazione era erroneamente finita nella casella “spam”, ma di aver recepito la richiesta di opposizione al trattamento da parte del reclamante medesimo. Per quanto riguarda l’indirizzo email del reclamante, la società sosteneva che lo stesso era stato oggetto di trattamento all’interno del proprio database per l’invio di email promozionali, in quanto associato a soggetto che aveva prestato il suo consenso al trattamento per finalità di marketing.
Il reclamante aggiungeva di non aver avuto dalla società i chiarimenti richiesti (in quanto non era stata spiegata l’origine dei dati, ma solo il loro erroneo inserimento nel database usato per il marketing) e successivamente comunicava di aver ricevuto una nuova email dalla società, in cui gli si chiedeva di confermare l’indirizzo email per una richiesta di iscrizione alla newsletter.
Sul punto, la società replicava che l’email ricevuta da ultimo dal reclamante era una semplice email “transizionale” inviata dal sistema a seguito di una richiesta di iscrizione alla newsletter che, presumibilmente, era stata effettuata da un terzo usando l’indirizzo email del reclamante (rinvenibile nel web), ma che non aveva dato seguito ad alcuna iscrizione in quanto non era stata confermata.
Successivamente, il reclamante segnalava di aver ricevuto ulteriori 39 email aventi identico contenuto, in cui egli veniva invitato a confermare il proprio numero di telefono riportato all’interno della email.
Sul punto, la società confermava di non detenere dati del reclamante e di aver accertato, a seguito di ulteriori controlli, che la medesima aveva subito degli accessi non autorizzati sul proprio sito internet, che presumibilmente avevano inviato le email in questione (anche se non risultavano effettuati invii di email verso altri soggetti). Per approfondimenti al riguardo consigliamo il volume Formulario commentato della privacy

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

2. Uso di sito web non aggiornato e vulnerabile ad attacchi: la valutazione del Garante

Il Garante ha svolto delle valutazioni tecniche sul sito web della società, accertando che detto sito utilizza una versione del CMS assolutamente obsoleta e soggetta a numerose vulnerabilità anche di gravità elevata (fra le quali una che – nota da diversi mesi alla società – avrebbe permesso di effettuare un attacco malevolo alla piattaforma tale da determinare la perdita della riservatezza, integrità e disponibilità dei dati coinvolti). Dal medesimo accertamento è emerso inoltre che la società faceva uso di un sistema obsoleto per la gestione dei dati raccolti tramite il sito web, che viene usato per attività di e-commerce e dunque per ricevere numerosi ed eterogenei dati (quali i dati anagrafici, quelli di contatto e quelli di pagamento).
Secondo il Garante, le vulnerabilità presenti avrebbero potuto consentire a terzi di usare la piattaforma di e-commerce della società per svolgere attività illecite, come ad esempio l’invio di email di phishing, con conseguenti elevati rischi per i diritti e le libertà delle persone fisiche. Nonostante ciò, la società non ha preso contezza del predetto rischio e si è limitata a registrare solo la deindicizzazione del sito suo web dai motori di ricerca e lo spostamento dei suoi indirizzi in black list.
I suddetti sistemi obsoleti, inoltre, sono stati mantenuti dalla società, anche dopo le interlocuzioni con il Garante, nonostante da alcuni mesi fossero disponibili gli aggiornamenti rilasciati dal produttore.
Secondo il Garante, quindi, tale condotta della società ha comportato la violazione dell’obbligo di garantire un’adeguata protezione dei dati personali da trattamenti e accessi non autorizzati, mediante misure tecniche opportune che assicurino l’integrità e la riservatezza dei dati personali.
In secondo luogo, la mancata comunicazione al Garante delle vulnerabilità presenti sul sito web e del relativo rischio per i diritti e le libertà dei diritti degli interessati, ha comportato una ulteriore violazione della normativa in materia di privacy.
Infine, con riguardo all’invio delle email promozionali indesiderate e al mancato riscontro all’esercizio dei diritti, il Garante ha ritenuto che la società non ha fornito chiarimenti in merito all’origine dei dati del reclamante, limitandosi ad affermare, in un primo momento, che essi erano stati erroneamente inseriti nella lista di contatto senza però indicarne la fonte e successivamente ad ipotizzare che l’erroneo inserimento dell’indirizzo email del reclamante fosse dovuto a un’errata digitazione di tale indirizzo.
Pertanto, la società ha violato ulteriormente la normativa privacy, da un lato, nella misura in cui non ha fornito riscontro alla richiesta di esercizio dei diritti da parte del reclamante (poiché ha fornito le proprie giustificazioni solo dopo l’avvio del procedimento); dall’altro lato, nella misura in cui non ha acquisito alcun consenso per l’invio dei messaggi promozionali (quindi compiendo un trattamento in assenza di idonea base giuridica).

3. La decisione del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto di ingiungere alla società l’adozione di misure tecniche, relative alla gestione dei dati contenuti nel sito web, che siano considerate adeguate rispetto ai rischi esistenti.
In secondo luogo, il Garante ha ritenuto di poter comminare alla società anche una sanzione pecuniaria amministrativa.
Per quanto concerne la quantificazione di detta sanzione, il Garante ha valutato – dal punto di vista delle aggravanti – la gravità e la durata delle violazioni suddette nonché la mancata adozione di misure adeguate per attenuare il danno agli interessati; mentre – dal punto di vista delle attenuanti – l’esiguo numero dei soggetti interessati (cioè uno) e l’assenza di dolo nella condotta nonché il grado di cooperazione con l’autorità e l’assenza di precedenti violazioni, in uno con le piccole dimensioni dell’azienda e le perdite economiche subite a causa dell’attacco informatico. Conseguentemente, il Garante ha comminato la sanzione di €. 30.000 (trentamila).

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento