(AGENPARL) – mar 22 ottobre 2024 22 ottobre 2024
NOTIZIARIO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – ANNO XXVI
Data breach, Garante Privacy sanziona Postel per 900mila euro
Garante: stop al software che accede all’email del dipendente
Assegno di inclusione, Garante Privacy: ok alle verifiche Inps
Progetto S.IN.D.A.C.A.: via libera del Garante Privacy
00N. 528
22 ottobre 2024
NOTIZIARIO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – ANNO XXVI
Data breach, Garante Privacy sanziona Postel per 900mila euro
Garante: stop al software che accede all’email del dipendente
Assegno di inclusione, Garante Privacy: ok alle verifiche Inps
Progetto S.IN.D.A.C.A.: via libera del Garante Privacy
Data breach, Garante Privacy sanziona Postel per 900mila euro
Una vulnerabilità, nota da tempo,
ha reso inadeguate le misure di sicurezza e agevolato l’attacco
Il Garante Privacy ha applicato una sanzione di 900mila euro a Postel Spa che per quasi un anno non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali.
Nell’agosto del 2023, la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.
In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.
Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.
Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi.
La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.
Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi
per le verifiche dell’Autorità.
Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.
Garante: stop al software che accede all’email del dipendente
Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi. Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore.
Lo ha stabilito il Garante Privacy sanzionando una società per 80mila euro.
Il Garante, intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale.
Le informazioni raccolte erano poi state utilizzate dalla società in un contenzioso.
L’Autorità ha appurato inoltre l’inidoneità e la carenza dell’informativa resa ai lavoratori. Il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.
Nel definire il procedimento, il Garante ha affermato che la sistematica conservazione delle email – effettuata per un considerevole periodo di tempo (pari a tre anni successivamente alla cessazione del rapporto) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla disciplina di protezione dei dati. Tale conservazione infatti risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate
dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
Ciò, inoltre, aveva consentito alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.
Per quanto riguarda infine l’uso dei dati in tribunale, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate come in questo caso.
Oltre alla sanzione, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.
Trending
- LOMBARDIA, MIT: INCONTRO TRA SALVINI E IL SINDACO DI BORMIO, FOCUS SULLE OLIMPIADI
- Treni, Schlein: Meloni e Salvini paralizzano l’Italia
- INDUSTRIA, APPENDINO (M5S): 22 MESI CALO PRODUZIONE: AGONIA SENZA FINE, URSO SE NE VADA
- AGENDA STAMPA CAMERA DI DOMANI, MERCOLEDì 15 GENNAIO 2025
- Giustizia, Gianassi (PD) attacca Nordio: Ministro imbarazzante imbavaglia la maggioranza e tace in aula
- TUTELA VITTIME DI REATO, BALBONI (FDI): NORMA COSTITUZIONALE DI GRANDE SOSTANZA
- MALTEMPO. ALMICI (FDI): GRATI A GOVERNO MELONI PER ATTENZIONE AL TERRITORIO DI BRESCIA
- Treni: Furfaro (Pd), oggi ritardi di ore e ore, a che ora Meloni dimissiona ministro Trasporti?
- comunicato stampa: Europa Verde – Sinistra Civica, Approvato in Assemblea Capitolina il Climate city Contract
- Date Announced for the Inquest into the Death of Ryan McKechnie