Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Oltre 7.000 linee telefoniche abusivamente intestate a persone ignare. Almeno 644 interessati colpiti, cifra tuttavia destinata a «un significativo incremento». Un illecito cominciato addirittura nel 2003 o nel 2001, e tuttora in essere.

Queste sono le prime, e già imponenti, coordinate numeriche della gravissima violazione di dati personali (data breach), ancora in fase di perimetrazione, accertata con il provvedimento n. 176/2017 del 6 aprile scorso dal Garante per la protezione dei dati personali.

L’atto amministrativo, finalmente pubblicato anche sul sito dell’Autorità di controllo, è stato adottato nei confronti della società Telecom Italia s.p.a. ad esito di una complessa procedura di reclamo patrocinata dallo studio legale Grieco Pelino Avvocati, che ha assistito un proprio cliente rimasto vittima dell’illecito. Leggi tuttoTelecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Art. 7 d.lgs. 196/03

Art. 7. Diritto di accesso ai dati personali ed altri diritti

1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L’interessato ha diritto di ottenere l’indicazione:

a) dell’origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L’interessato ha diritto di ottenere:

a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L’interessato ha diritto di opporsi, in tutto o in parte:

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

DPIA: pubblicate le linee guida europee

Il 4 aprile 2017 sono state finalmente rese disponibili, in una prima versione, le linee guida sul data protection impact assessment (DPIA), ossia la “valutazione d’impatto sulla protezione dei dati” prevista dal Regolamento UE n. 2016/679.

Il documento era particolarmente atteso, vista la centralità del tema e la complessa attività organizzativa e d’investimento che la valutazione d’impatto richiede.

Qui di seguito si propone una breve sintesi per punti delle indicazioni di maggior interesse, secondo l’apprezzamento dello scrivente. Leggi tuttoDPIA: pubblicate le linee guida europee

One-stop-shop: le linee guida europee

Abbiamo già parlato del pacchetto di linee guida sul “Regolamento privacy europeo” (reg. UE 2016/679) pubblicato dai Garanti europei (Gruppo di lavoro ex art. 29) il 13-16 dicembre 2016.

Esse riguardano anche il cd. one-stop-shop, ossia lo “sportello unico” del titolare e del responsabile di trattamento, una delle principali e più attese novità del Regolamento.

Occorre notare che le linee guida europee si limitano a una ricognizione ordinata dell’articolato normativo con pochi addenda interpretativi, a conferma, in questo caso, di un buon lavoro del legislatore. Leggi tuttoOne-stop-shop: le linee guida europee

Dati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite

Con due ordinanze gemelle, le nn. 3455 e 3456 del 9 febbraio 2017, la Cassazione ha disposto la trasmissione degli atti al Primo Presidente della Corte al fine di demandare alle Sezioni Unite un insanabile contrasto registratosi sulla definizione delle nozioni di trattamento e comunicazione dei dati sensibili nonché sulle loro modalità.

Le ordinanze, nel disporre la rimessione, ripercorrono le posizioni espresse dal Supremo collegio in particolare nella ben nota sentenza del 20 maggio 2015, n. 10280. Leggi tuttoDati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite

Si applicano a Yahoo! le disposizioni del codice privacy (d.lgs. 196/03)?

L’applicabilità “extraterritoriale”, ossia extra UE e SEE (Spazio economico europeo), della direttiva 95/46/CE e, a cascata, degli strumenti attuativi di ogni Stato membro (appunto il codice privacy per l’Italia) non è un’astratta questione giuridica ma ha evidenti conseguenze pratiche.

Per esempio, i principali motori di ricerca sono tutti gestiti da società con sede extra UE/SEE, si pensi a Yahoo! Search, Google, Bing (Microsoft), Baidu.

Stesso discorso vale per popolari social network quali Facebook, Twitter, Linked-in.

Analoghe considerazioni si applicano ai grandi siti di e-commerce come Amazon, Taobao, Ebay, Alibaba.

In tutti questi casi è fuori discussione l’esistenza di un massiccio trattamento di dati personali.

È dunque necessario chiedersi se siano richiamabili le ordinarie tutele vigenti nel nostro Paese.

Le chiavi interpretative per risolvere la questione sono state da tempo fornite dalla Corte di Giustizia UE, com’è ben noto. Leggi tuttoSi applicano a Yahoo! le disposizioni del codice privacy (d.lgs. 196/03)?

DPO: le linee guida in 10 punti

Ad esito della riunione plenaria del 16 dicembre 2016, il “Gruppo di lavoro ex art. 29”, ossia l’organismo consultivo che riunisce (tra l’altro) i Garanti europei, ha reso pubblico  un primo e assai atteso pacchetto di linee guida e FAQ sul cd. Regolamento Generale sulla Protezione dei Dati (“RGPD”), comunemente noto come regolamento privacy europeo.

Qui di seguito si analizzeranno in particolare le linee guida sul data protection officer o DPO, ossia il “responsabile della protezione dei dati”. Leggi tuttoDPO: le linee guida in 10 punti

Avv. Enrico Pelino

Da sempre appassionato delle frontiere del diritto, è avvocato esperto di diritto digitale, diritto della privacy, protezione dei dati personali, sicurezza informatica, IT law, e-commerce.

È specialista in diritto dell’informatica (PhD Università di Bologna), Privacy expert Anorc Professioni, Fellow dell’Istituto Italiano Privacy.

Associa tematiche fortemente innovative a una preparazione rigorosa in settori giuridici più “tradizionali”, che costituiscono una parte fondamentale della sua attività professionale: civile e commerciale, fallimentare, del lavoro.

Si occupa sia di contenzioso in ambito giudiziale sia di contenzioso amministrativo avanti al Garante per la protezione dei dati personali sia di consulenza, assistenza, formazione.

In materia di diritto digitale, ha trattato questioni particolarmente innovative e di alto profilo tecnologico. Ad esempio: furto d’identità e protezione dell’identità online, deindicizzazione e oblio, cloud computing, banche dati in ambito sanitario, anonimizzazione e pseudonimizzazione di dati personali, videosorveglianza, tutela dei dati personali nei luoghi di lavoro, controlli su posta elettronica e Internet, violazione di dati (data breach), diritto di cronaca e tutela dei minori, Internet delle cose (IoT), utilizzo di body cam.

Assiste professionisti, imprese, pubbliche amministrazioni nell’adeguamento al Regolamento privacy europeo (Regolamento (UE) 2016/679, “GDPR o RGPD”). Per esempio: realizzazione di data protection gap analysis, consulenza sull’assolvimento della DPIA, riorganizzazione dei processi e valutazione della “compliance” alla normativa europea.

[leggi di più]

Nell’ottobre 2016 ha pubblicato per Giuffrè (vai alla pagina), con L. Bolognini e C. Bistolfi, Il Regolamento Privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, un articolato commentario al Regolamento (UE) 2016/679, uno dei primi editi in Italia.

Ha all’attivo numerose pubblicazioni in italiano e in inglese, tra le quali si segnalano Rethinking the one-stop-shop mechanism: Legal certainty and legitimate expectation, con P. Balboni e L. Scudiero, in Computer Law & Security Review, 30 (2014) 392-402 e diversi contributi raccolti nel volume Diritto all’anonimato Anonimato, nome e identità personale (a cura della Prof.ssa G. Finocchiaro), pubblicato all’interno del Trattato di diritto commerciale e di diritto pubblico dell’economia diretto da F. Galgano, editore Cedam, 2008.

Svolge docenze ed è relatore in convegni. Parla e scrive correntemente in lingua inglese e ha una conoscenza operativa delle più diffuse lingue europee.

Formazione

Laureatosi con lode all’Università di Parma nel 1998, ha conseguito l’abilitazione forense nel 2001. Dal 2003 è iscritto all’albo degli avvocati di Bologna.

Dal 2000 al 2005 ha collaborato a vari progetti in materia di information technology e diritto presso il centro di ricerca interdisciplinare “Cirsfid” dell’Università di Bologna.

Presso questo ateneo, nel 2000-2001 ha conseguito un corso di perfezionamento / master in diritto dell’informatica e delle nuove tecnologie.

Nel 2003-2005 ha conseguito il dottorato di ricerca in informatica giuridica e diritto delle nuove tecnologie presso l’Università di Bologna, lavorando alla tematica della diritto alla privacy in chiave comparatistica.

Successivamente è stato assegnista di ricerca in materia di diritto alla privacy / protezione dei dati personali e ha affiancato quale collaboratore la cattedra di diritto di Internet presso l’Università di Bologna. [leggi di meno]

Email:

Informativa sul trattamento dei dati personali

Gentile Utente/Cliente/Assistito/Interessato,

Lo studio legale Grieco Pelino Avvocati osserva in maniera scrupolosa gli obblighi normativi in materia di tutela dei dati personali.

Finalità del trattamento, basi giuridiche, periodo di conservazione

1. Visualizzazione sito e navigazione
  • Precisazioni sulla finalità: la visualizzazione del sito e la navigazione al suo interno comportano, per ragioni intrinseche all’utilizzo di protocolli informatici, uno scambio di informazioni tecniche tra il nostro sistema informatico e il Suo. Le informazioni trasmesse sono ad esempio le seguenti: sistema operativo utilizzato, browser e sua versione, orario della richiesta, dimensione dei flussi di informazioni. In ogni caso, le informazioni raccolte per la finalità qui in esame non sono dirette a identificarLa, ma potrebbero essere idonee a farlo nel caso di commissione di illeciti.
    Per garantirLe un accesso e una navigazione senza preoccupazioni, abbiamo scelto di non usare cookie che richiedano il Suo consenso: per questo non trova alcun banner sulla pagina iniziale
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: i dati sono immediatamente cancellati al cessare della sessione di navigazione, a meno che essi non siano necessari per l’esercizio o la difesa di diritti (ved. più avanti).

2. Gestione dei contatti
  • Precisazioni sulla finalità: la compilazione del modulo contatti presente sul sito o più in generale l’invio di una email di contatto comportano necessariamente il trattamento dei dati personali ivi contenuti (nome, cognome, oggetto, recapiti di contatto)
  • NB: le comunicazioni di cui sopra e i relativi allegati sono lette da tutti i componenti dello studio legale, essendo strumenti di lavoro, non hanno dunque natura di corrispondenza privata e personale. Ovviamente sono protette da stringenti obblighi di riservatezza e non sono rivelate a terzi se non per ragioni connesse con l’espletamento dell’incarico, ordini legittimi dell’Autorità, obblighi di legge, esercizio dei nostri diritti di difesa (ved. sotto)
    Il presente sito utilizza protocollo di cifratura https. Qualora Lei lo ritenga opportuno, potrà per ulteriore garanzia inviarci file cifrati, comunicandoci telefonicamente la chiave di cifratura
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: tali dati sono utilizzati per elaborare la richiesta e per riscontrarla e vengono cancellati al momento in cui sia definitivamente esaurita la finalità di contatto, di risposta o di corrispondenza

3. Gestione dell'incarico conferitoci da Clienti/Assistiti
  • Precisazioni sulla finalità: nel caso in cui il Cliente/l’Assistito ci conferisca un incarico, i dati personali (anche di terzi) raccolti per il suo espletamento saranno trattati per le strette finalità di esecuzione dello stesso e nel rispetto delle prescrizioni di legge
  • Base giuridica: rispetto al Cliente/Assistito persona fisica contratto e misure precontrattuali, art. 6.1.b) GDPR. Negli altri casi: interesse legittimo, art. 6.1.f) GDPR, consistente nell’espletamento dell’incarico professionale. Ove applicabile: obbligo di legge, art. 6.1.c) GDPR, per es. in materia di antiriclaggio
  • Conservazione: i dati personali sono conservati per tutta la durata dell’incarico. Cessato l’incarico saranno conservati ai sensi della finalità di accertamento/esercizio/difesa di un diritto e di quella di archiviazione (ved. sotto), in quanto applicabili

4. Accertamento, esercizio e/o difesa di diritti
  • Precisazioni sulla finalità: i dati personali oggetto dell’incarico e quelli di origine extra-contrattuale potrebbero essere necessari per far valere i nostri diritti costituzionali di difesa ed esercizio di diritti sia in sede giudiziale (inclusa sede precontenziosa) sia in sede stragiudiziale. I Suoi dati potrebbero per esempio essere utilizzati nell’ambito di controversie relative alla corretta esecuzione dell’incarico
  • Base giuridica: legittimo interesse, art. 6.1.f) GDPR
  • Conservazione: i dati personali sono conservati sono conservati per 10 anni, come previsto dal termine ordinario di prescrizione (art. 2946 c.c.), salva conservazione ulteriore nel caso di interruzione della prescrizione, come per legge

5. Archiviazione per obbligo di legge (inclusi obblighi deontologici)
  • Precisazioni sulla finalità: i dati personali oggetto dell’incarico devono essere conservati per obblighi di legge che siamo tenuti a osservare
  • Base giuridica: obbligo di legge, art. 6.1.c) GDPR
  • Conservazione: i dati
    personali sono conservati per 10 anni per finalità di archiviazione obbligatoria ex lege (artt. 2220 c.c.; 22, commi 2 e 3 D.P.R. 29.9.1973, n. 600; 33 cod. deont. forense), salva conservazione ulteriore nel caso di interruzione della prescrizione, come per legge.

6. Instaurazione di rapporti di collaborazione e gestione cv
  • Precisazioni sulla finalità: analizziamo, se del caso, i cv che ci vengono inviati per finalità di instaurazione di rapporti di collaborazione. L’interessato che ci invia il propri cv è edotto che ci riserviamo verifica delle informazioni e dei titoli anche presso terzi.
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: i cv e le ulteriori informazioni raccolte in esecuzione della finalità saranno cancellate senza ritardo nel caso di mancata instaurazione del rapporto di collaborazione. Nel caso di instaurazione del rapporto, saranno tenute per l’intera durata del rapporto e comunque non oltre 10 anni dalla raccolta, in quanto informazioni che hanno determinato la volontà contrattuale e per necessarie verifiche sulla loro corrispondenza a fatti e circostanze veritiere

7. Comunicazione a terzi e altri trattamenti in esecuzione di obbligo di legge/ordini Autorità
  • Precisazioni sulla finalità: ove applicabile, tratteremo i Suoi dati per osservanza di obblighi di legge e/o per dare corso a richieste legittime (es. richieste di accesso o di trasmissione di informazioni) da parte di Autorità e di soggetti a ciò autorizzati. Faremo in ogni caso quanto opportuno per tutelare i Suoi diritti e per informarLa, ove legalmente e fattivamente possibile, di qualsiasi richiesta di tal genere da parte di terzi
  • Base giuridica: obbligo di legge, art. 6.1.c) GDPR e, a seconda dei casi, altresì interesse legittimo, art. 6.1.f) GDPR
  • Conservazione: i dati personali oggetto trasmessi sono quelli di cui disponiamo per qualcuna delle altre finalità indicate in questa informativa. Fare dunque riferimento ad esse

8. Manutenzione sistemi informatici e dispositivi
  • Precisazioni sulla finalità: i soggetti incaricati di eseguire manutenzione e riparazioni potrebbero avere accidentalmente accesso a dati personali presenti sui sistemi informatici e sui dispositivi. Si tratta di eventi del tutto occasionali e non prevedibili e in ogni caso privi di finalità di identificazione e di durata limitata all’esecuzione dell’intervento di manutenzione/riparazione
  • Base giuridica: interesse legittimo, art. 6.1.f) GDPR
  • Conservazione: i dati personali oggetto trasmessi sono quelli di cui disponiamo per qualcuna delle altre finalità indicate in questa informativa. Fare dunque riferimento ad esse

Facoltatività del conferimento

A parte i dati personali che si impegna a fornirci contrattualmente o che deve fornici per obbligo di legge (la cui mancata fornitura può determinare responsabilità giuridica), ogni altro conferimento di dati personali da parte Sua è meramente facoltivo (es. invio di cv, invio di richieste non ancora contrattualizzate, navigazione nel sito). Unica conseguenza del mancato conferimento facoltativo sarà l’impossibilità di fornire o di eseguire i servizi richiesti.

Categorie di destinatari

  • fornitori di hosting, housing, cloud, fornitori di servizi di posta elettronica (per le esigenze di pubblicazione del sito e di gestione del servizio email/Pec);
  • commercialisti, periti in generale, altri legali (nei limiti dell’esecuzione degli adempimenti di legge o dell’incarico del Cliente);
  • soggetti pubblici ((nei limiti dell’esecuzione degli adempimenti di legge o dell’incarico del Cliente). Ad es., può trattarsi dei seguenti: Autorità giudiziaria, Autorità indipendenti, organismi di conciliazione/mediazione, Ordini professionali, Autorità di polizia, Agenzia delle entrate;
  • persone da noi autorizzate trattamento dei dati che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (es. dipendenti e collaboratori).

Diritti dell'interessato e reclamo avanti al Garante

Potrà esercitare nei nostri confronti i seguenti diritti:

  • Accesso (art. 15 GDPR): potrà contattarci per conoscere se i tuoi dati personali sono oggetto di trattamento e le informazioni di legge sul trattamento;
  • Rettifica (art. 16 GDPR): la correzione dei dati inesatti o l’integrazione di quelli incompleti;
  • Cancellazione/oblio (art. 17 GDPR): ottenere la cancellazione dei dati personali, nei casi di legge;
  • Limitazione (art. 18 GDPR): ottenere la sottoposizione dei dati alla sola conservazione, con esclusione di altre attività, nei casi di legge;
  • Portabilità (art. 20 GDPR): ottenere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e ottenerne altresì la trasmissione diretta ad altro titolare del trattamento, nei casi di legge;
  • Opposizione (art. 21 GDPR): diritto di far cessare ulteriore trattamento dei dati personali per motivi connessi alla sua situazione particolare, salva prevalenza dei nostri motivi legittimi cogenti, nei casi di legge.
  • Revoca del consenso (art. 7.3 GDPR): diritto di revocare in qualsiasi momento il consenso. NB: per Sua garanzia, non abbiamo previsto consensi nel nostro sito. Inoltre, di regola, nessun nostro trattamento è basato sul consenso. Le basi giuridiche su cui operiamo sono: contratto, obbligo di legge e interesse legittimo.

Non svolgiamo trattamenti con processi decisionali automatizzati né profilazioni nei confronti dei ns. Assistiti e degli Utenti del sito.

Per esercitare i diritti suddetti utilizzare i contatti dei Contitolari (ved. sotto).

Reclamo avanti al Garante
Lei ha diritto altresì di promuvore reclamo avanti all’Autorità garante per la protezione dei dati personali competente. Ricordiamo che il reclamo, a norma dell’art. 77.1 GDPR, può essere promosso dall’interessato presso l’Autorità del luogo dove l’interessato risiede abitualmente, dove lavora oppure dove si è verificata la presunta violazione

Contitolari del trattamento

Contitolari del trattamento sono gli avvocati Enrico Pelino e Luciana Grieco.

Contatti in materia di protezione dei dati personali:

  • Email (consigliato): .
  • Posta cartacea: Grieco Pelino Avvocati, viale Masini 12 – 6° piano, 40126 Bologna;
  • Telefono:

Cookie

Non usiamo cookie, se non di natura tecnica al fine di garantire corretta visualizzazione e navigazione nel sito. I cookie tecnici non richiedono alcun consenso

Come impostare i browser per impedire l’installazione dei cookie: unicamente per Sua informazione, può comunque disabilitare l’installazione dei cookie impostando il proprio browser. La disabilitazione dei cookie tecnici potrebbe determinare malfunzionamenti nella navigazione del sito. Qui di seguito le indicazioni per disabilitare i cookie, relative ai principali browser:

Blog giuridico