Archivio

Regolamento Europeo

18 Nov 2019

Il Tribunale di Bari si è pronunciato con l’ordinanza del 7 novembre scorso all’interno del procedimento civile 6359/2017, affermando che il consenso dell’interessato può essere revocato in un secondo momento. La persona ritratta può sempre cambiare idea, indipendentemente dalla liberatoria sottoscritta. E la richiesta di cancellazione deve essere esaudita.

Il giudice ha chiarito che l’immagine e la riservatezza sono due diritti assoluti e non possono subire limiti, salvi i casi cui la pubblicazione è obbligatoria per legge (esigenze di giustizia, vitali, pubblico interesse, esecuzioni contrattuali). L’entrata in vigore del Regolamento Ue 679/2016 (il Gdpr) del 25 maggio 2018 ha rafforzato questo concetto.

Così se due amici acconsentono alla pubblicazione delle proprie fotografie sui social network, un litigio successivo potrebbe giustificare la richiesta di cancellazione di quelle stesse immagini, a prescindere dalla dimostrazione del danno subito. Non conta sostenere che la posa sorridente equivalga al consenso implicito perché l’interessato può sempre cambiare idea e negare che le fotografie continuino a restare online.

Nel caso specifico su cui si è pronunciato il tribunale di Bari, oltre alle foto del ricorrente, erano state condivise su Facebook anche le immagini dei suoi figli minorenni. Ancora una volta il giudice richiama l’attenzione sulla tutela rafforzata del diritto all’immagine dei minori. Così la signora, che non si è costituita in giudizio, è stata condannata a rimuovere le fotografie, a pagare le spese processuali e, visti i rapporti anche pregressi tra le parti, a versare la somma esigua di due euro per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione.

La condotta della donna «deve considerarsi del tutto illecita poiché, a fronte della conoscenza dell’espresso dissenso dell’interessato, l’omessa cancellazione delle foto dal proprio profilo Facebook realizza un abuso dell’immagine altrui».

La pubblicazione delle fotografie che ritraggono una persona sui social network rappresenta un trattamento dei dati personali che, in base a quanto stabilito degli articoli 10 del Codice civile, 96 della legge sul diritto d’autore e articolo 6 del Gdpr non può prescindere dal consenso dell’interessato.

(Fonte Sole 24 Ore)

30 Ott 2019

Le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici. Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo. E’ quanto spiega l’Ufficio del Garante privacy in una nota a conclusione di un’istruttoria nell’ambito della quale sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti.

La società una volta ricevute le immagini, attraverso un software, aveva anche effettuato un’operazione di estrazione, anonimizzazione e pseudonimizzazione di dati. Copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario. Poiché i fatti risalgono al periodo antecedente la piena applicazione del Regolamento europeo (Gdpr), i trattamenti sono stati valutati alla luce del Codice privacy allora vigente.

Intervenuto a seguito di una segnalazione, il Garante ha ritenuto illecito il trattamento effettuato dalla azienda sanitaria che ha messo a disposizione della società le immagini della Tac, determinando così una “comunicazione” di informazioni sulla salute di alcuni pazienti identificati in assenza di un’adeguata base normativa. Parimenti illecito è stato ritenuto dall’Autorità il trattamento svolto dalla società. La designazione della stessa come “responsabile del trattamento” da parte dell’azienda sanitaria non giustifica l’acquisizione delle immagini della Tac.

Le operazioni eseguite perseguono, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile. Tra queste rientrano, ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Il Garante quindi, rilevati gli illeciti trattamenti svolti dall’azienda sanitaria e dalla società, ha avviato i relativi procedimenti sanzionatori.

Fonte Garante Privacy

30 Ott 2019

L’Autorità per la protezione dei dati personali greca (Hellenic Data Protection Authority), con Decisione n° 26/2019, ha sanzionato una multinazione a pagare 150 mila euro per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability, in conformità al Reg. UE 2016/679.

Il Garante ha condotto un’indagine in merito alla legittimità del trattamento di dati personali degli impiegati della società scaturito da un reclamo presentato da un’organizzazione sindacale, nel quale veniva rilevato come il datore di lavoro avesse erroneamente individuato il consenso del dipendente quale base giuridica del trattamento.

La richiesta del consenso ai dipendenti era illegittima, scorretta e non trasparente alla luce del disposto dell’articolo 5 del Gdpr.  Il datore di lavoro, si legge nella sintesi del provvedimento, pubblicata sul sito dell’autorità ellenica, ha dato ai dipendenti la falsa impressione che stesse trattando i loro dati secondo la base giuridica del consenso, mentre in realtà stava trattando i loro dati sotto una base giuridica diversa, sulla quale, tra l’altro, i dipendenti non erano mai stati informati.

Il consenso del dipendente non va bene, in quanto non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti. Le basi giuridiche corrette per questo trattamento sono il contratto di lavoro, l’adempimento di obblighi di legge del titolare del trattamento o il suo legittimo interesse, che consiste nel funzionamento regolare ed efficace dell’azienda.

Il Garante mette in evidenza,  come i dipendenti siano stati indotti a pensare che la legittimità del trattamento si fondasse sul consenso, in violazione del principio di trasparenza e degli art. 13 e 14 del Reg. UE 2016/679, e si sono visti negare un corretto esercizio dei diritti privacy, in quanto questi ultimi variano a seconda della base giuridica determinata a fondamento del trattamento.

In addition, the company gave employees the false impression that it was processing their personal data under the legal basis of consent, while in reality it was processing their data under a different legal basis about which the employees had never been informed. This was in violation of the principle of transparency and thus in breach of the obligation to provide information under Articles 13(1)(c) and 14(1)(c) of the GDPR.

Altro aspetto importante sottolineato nella decisione è che la scelta del consenso del dipendente come base giuridica deve essere effettuata come ultima ratio, proprio per le sue caratteristiche di irreversibilità: infatti, la revoca del consenso è considerata alla stregua di un divieto definitivo di effettuare il trattamento, che comporta l’impossibilità di trattare i dati anche identificando una diversa base giuridica.

Infine, il Garante greco ha constatato la violazione del principio di accountability o responsabilizzazione (art. 5 par. 2 del Reg. UE 2016/679). Questo in quanto l’azienda non è stata in grado di soddisfare la richiesta dell’Autorità di documentare la propria scelta in merito alla base giuridica del trattamento dei dati personali dei dipendenti.

E’ stato rilevato come le modalità concrete di gestione abbiano comportato un trasferimento dell’onere della prova dell’accountability dal titolare all’interessato: in particolare, è stato richiesto ai dipendenti di firmare un documento con il quale riconoscevano che i loro dati personali – trattati dall’azienda – fossero direttamente collegati, pertinenti e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa. L’Autorità ha specificato, invece, che è onere di ciascun titolare adottare un modello di compliance privacy tale da dimostrare la corretta applicazione dei principi di cui all’art. 5 del Reg. UE 2016/679.

The principle of accountability constitutes the core of the compliance model adopted by the GDPR. Under this principle, the controller should implement the necessary measures to comply with the principles set out in Article 5(1) of the GDPR and demonstrate their effectiveness, without the DPA having to submit individual — specific questions and requests to assess compliance while exercising its investigative powers.

Il Garante ha imposto alla società delle misure correttive tali da comportare l’immediato adeguamento della Società al Regolamento, in conformità alla Decisione. Inoltre ha comminato una sanzione amministrativa pecuniaria di 150 mila euro, calcolato sulla base del bilancio della società, pubblicato per il periodo 1-7-2017 al 20-6-2018.

FONTE: Summary of Hellenic DPA’s Decision n° 26/2019 (Hellenic Data Protection Authority)

20 Set 2019
Crescono le esigenze dell’impresa e cresce l’universo della consulenza. È un mondo articolato, che va dagli studi legali specializzati nei più vari ambiti del diritto e nella protezione della privacy e dei patrimoni sino a realtà particolari come broker del noleggio e start up davvero innovative.
 Fra i protagonisti anche i partner tecnologici, forti della visione strategica e degli strumenti più efficaci per affrontare le sfide dell’Industria 4.0.
18 Set 2019

Il Tar Puglia, sezione Lecce, con sentenza  n.1468/2019 pubblicata il 13 settembre 2019, annulla l’aggiudicazione di un incarico biennale di Dpo a una società, che ha indicato, per lo svolgimento dell’attività, un consulente esterno.

Nell’esprimersi su di un ricorso riguardante una gara indetta da un Comune per il conferimento di un incarico biennale per l’attuazione del Regolamento U.E. n. 679 del 2016 sulla protezione dei dati e per l’individuazione del RPD dell’ente, i giudici della Sezione Terza di Lecce hanno affermato che la funzione di responsabile della protezione dei dati può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’ente ma è necessario che il soggetto (persona fisica) operante come R.P.D. sia “appartenente” alla persona giuridica.

“non risulta evidenziato il legame fra la società S.r.l. e il sig. xx. Questi non è un socio della Società, ma pare non esserne neanche dipendente. Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune per eventuali inadempimenti e/o danni provocati dal detto soggetto. La deliberazione impugnata si limita a definirlo “soggetto individuato quale RDP”.

Il TAR, riscontrata una situazione di non chiarezza della reale natura del rapporto giuridico tra la società che aveva partecipato alla gara e il soggetto persona fisica designato a operare quale RPD, ha ritenuto fondamentali, nel proprio giudizio, le Linee guida sui responsabili della protezione dati del 13 dicembre 2016, le quali ben esplicano, con interpretazione autentica, la relativa normativa comunitaria in merito alle necessarie conoscenze e qualità professionali del Responsabile Protezione Dati (R.P.D.) nonché, per quanto qui di interesse, circa la sua (necessaria) posizione all’interno di una persona giuridica, qualora la funzione di R.P.D. sia svolta, come nel caso de quo, da una persona giuridica.

Si legge nella sentenza: il Tribunale rileva che la scrittura privata fra S.r.l. ed il Dr.  parla esplicitamente di un “incarico professionale”, ossia di un rapporto non di subordinazione e rientrante nell’alveo delle prestazioni professionali, in cui il soggetto incaricato, ossia il Dr. M., può godere, ai sensi degli articoli 2222 e seguenti del codice civile, di una propria autonomia nell’esplicazione dell’incarico, atteso che la lettera di conferimento non esclude tale possibilità con vincolo contrattuale, così ponendo seri dubbi circa la sussistenza del sopra menzionato requisito dell’appartenenza.

Infine, il TAR censura ogni eventuale traduzione delle citate Linee guida che faccia riferimento ad ogni soggetto (esterno) cui la persona giuridica incaricata fa svolgere le funzioni di RPD evidenziando, invece, come stabilito dalla versione italiana ufficiale, che le Linee guida fanno riferimento ad ogni membro interno all’organizzazione incaricata della predetta funzione che la svolge.

(Fonte ANCI.it e https://www.giustizia-amministrativa.it/giusrisprudenza)

20 Giu 2019

Il CNIL, l’Autorità per la privacy francese, con delibera del 29 maggio 2019, ha multato per 400.000 euro la società Sergic che gestisce un sito web di servizi immobiliari. L’azienda non avrebbe protetto in modo adeguato i dati degli utenti e avrebbe conservato in modo inappropriato dati personali senza procedere alla cancellazione.

La société SERGIC (ci-après la société ) est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Elle emploie 486 personnes et a réalisé en 2017 un chiffre d’affaires d’environ 43 millions d’euros.

La società francese Sergic gestisce il sito web sergic.com in cui gli utenti possono creare un profilo personale per richiedere alloggi in affitto e caricare i documenti necessari alla conclusione del contratto di locazione.

Nell’agosto del 2018, un cliente sporge denuncia al CNIL, in quanto era riuscito ad avere accesso ai documenti di altri clienti, modificando leggermente l’URL dalla sua area personale sul sito.

Il CNIL a settembre procede con una verifica on line, attestando che i documenti degli utenti erano liberamente accessibili senza previa autenticazione. Si potevano vedere documenti come: carta d’identità, dati bancari, assegni familiari.

L’autorità avvia così un controllo presso la sede della società e scopre che questa era a conoscenza di questa mancanza di sicurezza fin dal marzo 2018, ma non aveva fatto nulla per contrastarla.

Le 12 août 2018, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été saisie d’une plainte d’un utilisateur du site. Le plaignant indiquait qu’une modification du caractère X dans l’adresse URL composée comme suit : https://www.crm.sergic.com/documents/upload/eresa/X.pdf , où X représente un nombre entier, lui avait permis d’accéder aux pièces justificatives qu’il avait lui-même téléchargées via le site mais également à celles téléchargées par d’autres candidats à la location. Dans sa plainte, le plaignant a fourni plusieurs exemples d’ adresses URL à partir desquelles il a pu accéder à des pièces téléchargées par des tiers. Il a indiqué avoir informé la société de ces faits dès le mois de mars 2018.

Le violazioni contestate dall’Autorità francese alla società sono due.

La prima relativa alla violazione dell’articolo 32 del GDPR. La società non ha garantito la sicurezza dei dati degli utenti, e non ha nemmeno provveduto tempestivamente a risolvere il problema o a cercare una soluzione adeguata per non consentire a soggetti terzi, non autorizzati, di accedere a tali dati.

La vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente. 

La seconda sanzione, in violazione dell’art. 5 del GDPR. L’Autorità ha constatato che la società ha conservato tutti i documenti caricati dai candidati per una durata superiore a quella necessaria in relazione ai fini del trattamento. Il CNIL ha osservato che, una volta raggiunto lo scopo del trattamento (ad esempio, la chiusura di una candidatura ad affittare una casa) i dati devono essere cancellati o, almeno, archiviati in una banca dati separata qualora fosse stato necessario per adempiere agli obblighi di legge o per gestire eventuali controversie.

Il ressort de ces différents éléments que la société SERGIC conservait en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.

La sanzione di euro 400.000 stabilita dal CNIL è stata stabilita sulla base dei seguenti parametri:

  • la gravità della violazione (La mise en œuvre d’une procédure d’authentification sur le site était une mesure élémentaire à prendre, qui aurait permis d’éviter la violation de données personnelles).
  • l’inerzia della società nell’affrontare una vulnerabilità conosciuta (a manqué de diligence dans la correction de la vulnérabilité alors qu’en présence d’une violation de données, le RGPD impose une réaction rapide).
  • il fatto che i documenti accessibili rivelassero aspetti privati della vita dei richiedenti (informations particulièrement précises sur certains aspects de leur vie privée).
  • le dimensioni dell’azienda e la sua solidità finanziaria.

Fonte: https://www.cnil.fr

 

17 Giu 2019

Risponde il dirigente scolastico del danno causato all’istituto dal pagamento di una sanzione amministrativa irrogata dal Garante della privacy per la pubblicazione online di una circolare contente dati di alunni disabili, sentenza n. 246/2019 la Corte dei Conti- Sezione Giurisdizionale per il Lazio.

La Sezione giurisdizionale per il Lazio è stata chiamata a pronunciarsi sulla pretesa fatta valere dalla Procura regionale a carico della Dirigente scolastica di un Istituto professionale e di tre docenti appartenenti all’Istituto stesso, per asserito danno indiretto cagionato all’amministrazione di appartenenza, derivante dalla pubblicazione sulla rete internet di una circolare contenente dati idonei a rivelare lo stato di salute di alunni minori affetti da disabilità.

La pubblicazione della circolare, contente dati di studenti minori di età e disabili, era stata valutata dal Garante della Protezione dei dati Personali quale lesione al diritto alla riservatezza dei minori e delle famiglie, e come tale punita con l’irrogazione di una sanzione amministrativa, per violazione dell’art. 22, comma 8 del Codice per la protezione di dati personali, per un importo di euro 20.000,00. Tale sanzione fu pagata con i fondi della scuola.

La sezione ha ritenuto il comportamento del Dirigente scolastico gravemente negligente per non aver tenuto conto della necessità della riservatezza dei dati idonei a rivelare lo stato di salute degli studenti minori dell’Istituto affetti da disabilità, ed ha consentito la divulgazione nella rete internet della circolare in forma integrale, non avendo prescritto alcun divieto di pubblicazione, né in ultimo controllato che la circolare, a differenza di quelle adottate di consueto, non venisse pubblicata sul sito web dell’Istituto.

La divulgazione del nominativo ha così leso la personalità dello studente disabile, che si è conseguentemente lamentato del trattamento illecito dei dati personali.

Tale sanzione, con decisione pur sempre riconducibile alla Dirigente scolastica, è stata pagata con fondi appartenenti all’Istituto, le cui casse risultano quindi essere state depauperate ad opera della condotta ad un tempo attiva ed omissiva della Dirigente scolastica, compendiatasi in una grave violazione della normativa a presidio della tutela del diritto alla riservatezza, a cui si è posto rimedio con il pagamento con denaro pubblico.

La Corte ha inoltre stabilito che nessuna colpa può essere addossata a chi ha scritto e pubblicato manualmente la circolare, in quanto la responsabilità di verificare la correttezza e la legittimità di una circolare è solo del dirigente scolastico e non può essere estesa ai docenti coinvolti nella stesura e nella pubblicazione.

Sul dirigente scolastico gravava l’obbligo di verificare la correttezza e la legittimità della circolare sottoscritta e di monitorarne i successivi passaggi fino anche ad impedirne la pubblicazione, in quanto il Dlgs 165/ 2001 attribuisce direttamente alla dirigenza la responsabilità dell’organizzazione e della gestione scolastica.

http://www.dirittodeiservizipubblici.it/

10 Giu 2019

2 milioni di euro, questa la sanzione comminata dal Garante Privacy ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.

La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile.

La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.

la trasmissione dei dati dei potenziali clienti in formato elettronico da parte della società albanese all’agente di vendita, ovvero la trasmissione dei modelli cartacei di proposta di adesione privi della sottoscrizione del cliente, costituisce prova evidente che i potenziali clienti non hanno avuto modo di prendere visione di alcun modello di informativa ai sensi dell’art. 13 del Codice. L’assenza di uno script contente la predetta informativa, da leggere agli interessati nel corso dei contatti telefonici, conferma che l’informativa non è stata resa neanche mediante tale strumento. Inoltre, non avendo i potenziali clienti sottoscritto alcuna proposta di adesione e non risultando in atti l’esistenza di registrazioni dei contatti telefonici operati da xxx, i trattamenti di dati personali svolti da xxx non possono essere ricompresi fra quelli per i quali non è necessario acquisire il consenso in base all’art. 24, comma 1, lett. b), del Codice (esecuzione di obblighi contrattuali o adempimento a specifiche richieste precontrattuali);

La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.

La sanzione è stata così definita:

– euro 6.000 (seimila) per ciascuna delle 78 violazioni di cui agli artt. 13 e 161 del Codice, per un totale di euro 468.000 (quattrocentosessantottomila);

– euro 10.000 (diecimila) per ciascuna delle 155 violazioni di cui agli artt. 23 e 162, comma 2-bis, del Codice, per un totale di euro 1.550.000 (un milione cinquecentocinquantamila)

(Fonte Garante Privacy)

Potrebbero interessarti:

12 Mag 2019

Nessun silenzio-assenso sulla richiesta di autorizzazione all’installazione e utilizzo nei luoghi di lavoro degli impianti audiovisivi e degli altri strumenti di controllo previsti dall’art. 4, comma 1, della L. n.300/1970 e successive modificazioni. A chiarirlo è il Ministero del Lavoro nell’interpello n.3/2019 in risposta all’istanza presentata dal Consiglio nazionale dell’Ordine dei Consulenti del Lavoro, precisando che la stessa norma non consente l’installazione e l’utilizzo degli impianti di controllo senza un atto espresso di autorizzazione sia di carattere negoziale, come un accordo sindacale, sia di carattere amministrativo, come un provvedimento, per via della disuguaglianza di stato tra datore di lavoro e lavoratori.

Infatti, le disposizioni contenute all’art. 4 affidano, in primis, ad un accordo tra la parte datoriale e le rappresentanze sindacali la possibilità di impiego degli impianti e degli altri strumenti che consentano anche il controllo dell’attività dei lavoratori. In mancanza di accordo, l’installazione è subordinata all’autorizzazione dell’Ispettorato del lavoro.

Già con nota del 16 aprile 2012 (prot. n. 7162) la Direzione Generale per l’attività ispettiva del Ministero aveva fornito istruzioni operative in relazione al rilascio delle autorizzazioni previste dall’articolo 4 della legge n. 300del 1970. In quella occasione era stata sottolineata la necessità di considerare i presupposti legittimanti la richiesta di installazione di impianti di controllo, ovvero l’effettiva sussistenza delle esigenze organizzative e produttive, sottolineando inoltre il necessario rispetto del Codice per la privacy, nonché dei successivi provvedimenti del Garante, in particolare delle prescrizioni del Provvedimento generale sulla videosorveglianza dell’8 aprile 2010, nel quale, tra l’altro, si afferma l’esclusione dell’applicazione del principio del silenzio-assenso in questo caso specifico.

(Fonte: Consulenti del Lavoro)

12 Mag 2019

“Abbiamo avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati: in particolare avvocati e loro assistiti”. Il presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro, risponde così all’Agi in relazione al caso del”hackeraggio delle email di migliaia di avvocati romani ad opera di Anonymous.

“Sin da ora – sottolinea Soro – emerge l’assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la pec, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l’intera architettura del processo telematico”.

Il Presidente Antonello Soro, interviene con questo comunicato stampa dopo l’attacco di Anonymous alle caselle pec degli avvocati di Roma, circa 30mila e-mail certificate violate, comprese quella della sindaca Virginia Raggi.

«Salve cittadini Italiani, oggi Anonymous, con questa operazione e con l’avvicinarsi dell’anniversario della loro cattura, vuole ricordare i vecchi Amici Aken e Otherwise arrestati nel Maggio 2015», si legge nel post del network pro-Wikileaks che annuncia l’operazione di hackeraggio. E conclude: «Non avete capito che Anonymous non ha leader? Arrestati 2 altri 100 ne nascono. Abbiamo continuato la nostra lotta, e nonostante gli arresti noi non ci arrendiamo».

Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia Postale è ora al lavoro per accertare l’esatta portata della violazione rivendicata da Anonymous Italia. Al momento la Procura capitolina non ha formalmente aperto un fascicolo di indagine ma il Cnaipic è intervenuta per acquisire dati ed elementi per le indagini successive.

L’attacco informatico subito dall’Ordine degli Avvocati di Roma – sottolinea il presidente Antonino Galletti – «rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza». «I tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine capitolino – spiega – sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili – conclude – saranno naturalmente denunciati all’autorità giudiziaria».

 

Fonte: Il Sole 24 Ore, Garante Privacy