La newsletter n. 512 del 23 ottobre 2023 è stata pubblicata dall’Autorità per comunicare gli ultimi provvedimenti adottati. Il Garante ha affrontato il tema dell’euro digitale, chiedendo maggiori garanzie per i cittadini, e ha comminato importanti sanzioni per l’attivazione di contratti non richiesti, sms promozionali senza consenso e la mancata adozione di adeguate misure di sicurezza per prevenire gli attacchi informatici.
Il Garante è intervenuto in merito all’euro digitale, sollecitando maggiori garanzie per i cittadini. Inoltre, sono state comminate importanti sanzioni per l’attivazione di contratti non richiesti, l’invio di sms promozionali senza consenso e la mancata adozione di adeguate misure di sicurezza per prevenire gli attacchi informatici.
L’euro digitale
Stiamo studiando, insieme alle banche centrali nazionali dei paesi dell’area dell’euro, la possibilità di introdurre un euro digitale. Si tratterebbe di una valuta digitale della banca centrale, un equivalente elettronico del contante. Affiancherebbe le banconote e monete, offrendo alle persone più scelta su come pagare.
Un euro digitale sarebbe una forma digitale di contante, emessa dalla banca centrale e accessibile a chiunque nell’area dell’euro.
L’euro digitale è una forma di valuta digitale proposta dalla Banca Centrale Europea (BCE). Si tratta di una versione elettronica dell’euro, che sarebbe emessa e gestita dalla BCE. L’obiettivo principale dell’euro digitale è fornire un’alternativa sicura e stabile alle criptovalute private, come Bitcoin, che sono soggette a fluttuazioni di valore significative.
L’euro digitale è stato creato per offrire alle persone la possibilità di effettuare pagamenti elettronici, sia online che offline, oltre a quelli in contanti.
Un euro digitale semplificherebbe la vita di tutti, rendendo disponibile la moneta pubblica per i pagamenti digitali. Questo strumento contribuirebbe a rafforzare la sovranità monetaria dell’area dell’euro e la concorrenza nel settore europeo dei pagamenti.
Gli importi in euro digitali possono essere conservati all’interno di un portafoglio elettronico (wallet), che gli utenti possono creare presso la propria banca o un intermediario pubblico. Grazie a questo strumento, è possibile effettuare pagamenti elettronici in modo conveniente e sicuro, sia presso negozi fisici, online o tramite trasferimento di denaro a un amico. I pagamenti possono essere effettuati utilizzando il telefono o la carta, sia online che offline.
Il parere del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo della protezione dei dati (EDPS) accoglie favorevolmente questa opzione, tuttavia formulando diverse raccomandazioni per garantire la privacy e la protezione dei dati personali.
In particolare, è stato richiesto che siano trattati solo i dati personali necessari al funzionamento della moneta digitale, evitando la concentrazione di dati da parte della Banca centrale europea (BCE) o delle banche centrali nazionali.
La proposta di regolamento dovrebbe introdurre un obbligo esplicito di pseudonimizzazione dei dati delle transazioni. Inoltre, la normativa dovrà specificare chiaramente le responsabilità in materia di protezione dei dati di ciascuno degli attori che partecipano all’emissione dell’euro digitale (BCE, banche centrali nazionali, fornitori di servizi di pagamento e fornitori di servizi di supporto).
Il Comitato europeo ha commentato che con questo parere congiunto si intende garantire che la protezione dei dati sia incorporata sin dalla fase di progettazione dell’euro digitale, sia online che offline.
La fase di preparazione, che avrà inizio a novembre 2023, sarà finalizzata allo sviluppo e alle sperimentazioni dell’euro digitale, sulla base dei risultati della fase istruttoria.
Sanzionata una società fornitrice di energia elettrica per l’attivazione di contratti non richiesti con dati inesatti
L’Autorità Garante per la Privacy ha inflitto una multa di 10 milioni di euro ad una società fornitrice di energia elettrica e gas per aver attivato contratti non richiesti nel mercato libero, utilizzando dati inesatti e non aggiornati dei propri clienti.
Sono stati riscontrati casi di trattamento illecito dei dati di 5.000 utenti. Dalle verifiche effettuate è emerso che la società acquisiva nuovi contratti attraverso una rete di circa 280 venditori porta a porta, senza l’utilizzo di strumenti e procedure adeguate per garantire la corrispondenza dei dati inseriti nel database con i reali utilizzatori.
Nel database della società sono stati individuati oltre 2.000 proposte contrattuali in cui lo stesso indirizzo email del potenziale cliente era stato inserito per più di cinque volte.
L’Autorità ha quindi prescritto alla società di adottare una serie di misure correttive, tra cui:
- l’utilizzo di un sistema di “check-call” bloccante per verificare la correttezza dei contratti acquisiti tramite la rete di venditori;
- l’introduzione di sistemi di alert idonei a rilevare eventuali comportamenti scorretti e/o fraudolenti di acquisizione dei dati di potenziali clienti da parte dei venditori; l’implementazione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione;
- l’adozione di regole procedurali volte a rafforzare le attività di audit nei confronti dell’operato delle agenzie.
Ateneo molesto
L’università telematica è stata ritenuta responsabile di aver inviato sms promozionali senza il consenso dei destinatari, violando il Regolamento UE e il Codice privacy.
L’Autorità ha evidenziato la mancanza di collaborazione da parte dell’ateneo, che non ha risposto alle richieste dell’Autorità, rendendo necessario l’intervento del Nucleo speciale privacy della Guardia di Finanza per la notifica degli atti. Inoltre, l’università ha disertato un’audizione richiesta da essa stessa e rinviata più volte.
Oltre al pagamento della multa, il Garante ha ordinato all’università telematica di stabilire tempi adeguati per la conservazione dei dati e di fornire istruzioni appropriate al personale, in modo che le richieste di accesso, opposizione o cancellazione dei dati vengano soddisfatte tempestivamente.
Misure di sicurezza inadeguate – sanzionara ASL
La Asl napoletana non ha protetto adeguatamente da attacchi hacker i dati personali e sanitari di 842.000 soggetti, tra assistiti e dipendenti.
La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l’accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.
l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto riscontrando diverse criticità come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design).
L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password.
Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.
