Garante privacy sanziona Eni Gas e Luce

Due maxi sanzioni, irrogate dall’Autorità di Controllo italiana alla società Eni Gas e Luce, in relazione ad attività di TeleMarketing indesiderate e attivazione di contratti non richiesti.

La prima sanzione – 8,5 milioni di euro – “… riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrati nel corso di accertamenti e ispezioni svolti dall’Autorità a seguito di diverse decine di segnalazioni e reclami ricevuti … Tra le violazioni messe in luce spiccano le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.”

La seconda sanzione – 3 milioni di euro – “… riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all’Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di ENI Gas Luce. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa. Le gravi irregolarità hanno interessato circa 7200 consumatori. Dagli accertamenti dell’Autorità è emerso che le condotte adottate da ENI Gas Luce nell’acquisizione di nuovi clienti mediante alcune agenzie esterne operanti per suo conto, per modalità organizzative e gestionali, hanno determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.”

Windows 7, R.I.P.

Lo avevamo già annunciato; oggi termina il supporto a Windows 7, da parte di Microsoft.

Questo determina la impossibilità di aggiornare ulteriormente il sistema operativo, con la conseguenza che non potrà più essere ritenuto adeguato al trattamento di dati personali; occorrerà pertanto passare a Windows 10.

Windows 7 è stato uno dei migliori sistemi operativi mai rilasciati da Microsoft; certamente migliore del suo successore Windows 8; è ancora molto utilizzato (le stime di StatCounter indicano il 26,79% nell’ambiente Windows) specialmente per dispositivi aziendali, sistemi di controllo (es. lavaggi automatici) e Bancomat.

Le grandi aziende possono sottoscrivere con Microsoft – a caro prezzo – un servizio di aggiornamento sino al 2023; consiglierei, invece, di passare a Windows 10 LTSC, versione spartana e veloce di Windows 10 riservata – purtroppo – solo alle aziende.

Ho già sentito alcune soluzioni assurde, quali continuare ad utilizzare Windows 7 bloccandone l’accesso ad Internet.

Lo scrivo chiaramente: qualsiasi soluzione diversa dal passaggio a Windows 10 (o altri sistemi operativi, come macOS o distribuzioni Linux recenti e supportate) o – in sub-ordine – dalla sottoscrizione del salato contratto di aggiornamento esteso non sono compliant – a mio parere – alla normativa di protezione dei dati personali.

Maxi multa a British Airways per violazione del GDPR

L’autorità di controllo inglese ICO ha comunicato l’intenzione di sanzionare British Airways per violazione del regolamento GDPR.

L’evento è relativo all’attacco cracker di settembre 2018, che ha determinato un data breach nel quale sono stati raccolti (intercettati illecitamente) dati personali di circa 500.000 utenti (nominativi, indirizzi, dati dei viaggi, carte di credito).

La sanzione, oltre 183 milioni di sterline, indica come l’autorità sia determinata a far ben comprendere – alle aziende inglesi ma non solo – che la tutela dei dati personali dei loro clienti sia un aspetto primario della mission aziendale.

Vediamo anche come il GDPR abbia cambiato notevolmente il peso delle sanzioni comminabili alle aziende; siamo ben oltre i 20 milioni di euro previsti come soglia, quindi la somma è stata calcolata sulla base del fatturato annuo globale della maggior compagnia aerea inglese.

EDPS investiga la telemetria di Office

EDPS – European Data Protection Supervisor (Garante Europeo della protezione dei dati) ha messo sotto indagine Microsoft, in relazione alle funzioni di telemetria di Office 2016 e del correlato servizio Office 365.

L’indagine ha avuto avvio da una valutazione effettuata dalla Autorità di controllo olandese, la quale ha commissionato una DPIA – Data Protection Impact Assessment, nella quale si sono evidenziate attività incompatibili con il GDPR.

Nell’ottimo assessment tecnico effettuato, si è evidenziato un invio di dati diagnostici abnorme (oltre 25.000 tipologie diverse di eventi), la presenza di metadati relativi all’utente e della intestazione delle e-mail, oltre a parti dei contenuti dei testi, specialmente quando sono usati correttore automatico e traduttore.

Sono stati elencati otto punti maggiori di incompatibilità con il Regolamento UE 679/2016:

  • mancanza di trasparenza ed informazione all’utente;
  • impossibilità, per gli utenti, di impostare – o disabilitare del tutto – le funzioni di telemetria;
  • illegale acquisizione e memorizzazione di dati personali speciali/sensibili/classificati;
  • incorretta qualifica di Microsoft come data processor;
  • insufficiente controllo sui sub-processors e sulla relativa elaborazione dei dati;
  • inapplicazione del criterio di limitazione allo scopo (telemetria); a mio parere anche inapplicazione del criterio di minimizzazione e di privacy by design;
  • trasferimento illecito di dati personali al di fuori dello spazio europeo;
  • periodo di data retention indefinito.

Microsoft ha comunicato che sta lavorando per risolvere tutti i punti contestati; fornirà una documentazione esaustiva sulla tipologia di dati raccolti da Office, opzioni chiare e semplici per permettere all’utente o all’amministratore di decidere tipologie e quantità di dati, e uno strumento che permetterà ad amministratori ed utenti di visualizzare i dati raccolti (a mio parere la più grave lacuna attualmente presente).

Segnalo come Microsoft, in passato, sia già stata oggetto di contestazioni simili, in relazione alle funzioni di telemetria di Windows (specialmente il 10).

Update: oggi (15 maggio) una mia installazione di Office 2016 ha chiesto di scegliere quali dati diagnostici condividere: obbligatori e facoltativi; viene proposto un link alla informativa estesa.

Hotel e HotSpot WiFi

La sicurezza degli HotSpot WiFi di Hotel ed Alberghi è uno degli aspetti più trascurati nello scenario italiano.

Negli anni, siamo passati da un servizio a costo aggiuntivo ad un accessorio pressoché obbligatorio da fornire agli ospiti, a titolo gratuito; per questo, spesso non si ritiene utile investire in tale ambito, in quanto non porta utili tangibili.

Talvolta, nei nostri pernottamenti di lavoro in vari hotel, troviamo soluzioni che definire raffazzonate è eufemistico; in taluni casi, viene semplicemente consentito l’accesso alla stessa WLAN del router fornito dal provider internet, con tutta una serie di gravissimi rischi, incombenti sia a carico del gestore alberghiero che dei suoi clienti. In tale situazione, infatti, i dispositivi dei clienti non solo possono compromettere i devices dell’hotel ma anche quelli degli altri ospiti, in quanto possono comunicare tra di loro.

In relazione alla fornitura del servizio di connettività InterNet agli ospiti, sussistono varie normative e regolamenti, ivi compreso il Regolamento UE 679/2016; nella progettazione ed erogazione del servizio, occorre tener conto degli aspetti cogenti del GDPR e dei principi alla base della protezione dei dati personali, in particolare gli aspetti di minimizzazione, gestione del rischio, privacy by design – by default, misure di sicurezza e crittografia.

In relazione invece al famoso decreto Pisanu, pur essendo venuti meno gli obblighi di registrare i dati anagrafici e identificativi degli utenti e di monitorarne le sessioni InterNet, non mi sento di consigliare i proprietari di strutture alberghiere in tal senso, essendo sempre in capo ad essi la responsabilità di eventuali illeciti commessi da terzi nell’utilizzo delle proprie infrastrutture ITC.

Occorre quindi trovare “la quadratura del cerchio”; questa dovrà essere basata sulle specifiche caratteristiche della infrastruttura e delle esigenze della proprietà.