Quando si parla di protezione dei dati personali, la sicurezza non è un’opzione tecnica né un dettaglio rimandabile a future implementazioni. È, al contrario, uno degli assi portanti dell’intero impianto del GDPR. Il recente provvedimento con cui il Garante per la protezione dei dati personali ha sanzionato Aimag S.p.A. per 300.000 euro lo ribadisce con particolare chiarezza, intrecciando due profili classici – e spesso sottovalutati – delle violazioni in materia di data protection: l’inadeguatezza delle misure di sicurezza e l’assenza di una valida base giuridica per i trattamenti di marketing.
Il caso è di quelli che dovrebbero far riflettere, soprattutto perché riguarda un’azienda che opera in settori essenziali – energia, acqua, ambiente, teleriscaldamento – e che, per definizione, gestisce quotidianamente grandi quantità di dati personali di utenti e clienti. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. L’origine del procedimento: un accesso troppo facile ai dati altrui
- 2. Sicurezza dei dati: l’art. 32 GDPR non è un suggerimento
- 3. Il secondo fronte: marketing senza base giuridica e informative carenti
- 4. Informativa e conservazione dei dati: violazioni che si sommano
- 5. La sanzione: proporzionalità, ma anche un segnale chiaro
- 6. Considerazioni conclusive: la sicurezza come prerequisito, non come optional
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. L’origine del procedimento: un accesso troppo facile ai dati altrui
Il procedimento prende avvio da una segnalazione individuale, nella quale l’interessato lamentava la totale assenza di adeguate misure di sicurezza nella procedura di registrazione all’area riservata del sito della società. Un’area, va ricordato, destinata alla consultazione delle bollette e dello storico dei consumi, dunque contenente informazioni tutt’altro che banali.
L’istruttoria del Garante ha accertato un dato allarmante nella sua semplicità: chiunque, conoscendo il codice fiscale dell’intestatario del servizio e inserendo una qualunque e-mail, poteva registrarsi a suo nome ed accedere all’area riservata. Nessun meccanismo di verifica dell’identità, nessuna procedura di autenticazione robusta, nessun controllo idoneo a impedire accessi abusivi.
Una volta dentro, l’utente “abusivo” poteva visualizzare ulteriori dati personali, tra cui l’indirizzo di abitazione e il numero di telefono dell’intestatario. Dati che, per loro natura, meritano un livello di protezione elevato e che, invece, risultavano esposti a un rischio concreto e sistematico di accesso non autorizzato. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
2. Sicurezza dei dati: l’art. 32 GDPR non è un suggerimento
La violazione accertata si colloca pienamente nell’alveo dell’art. 32 del GDPR, che impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio.
Il punto centrale, ancora una volta, non è l’assenza di una tecnologia “avanzata”, ma la mancanza di misure minime e ragionevoli. Consentire la creazione di un account sulla base di un dato come il codice fiscale – notoriamente non segreto – senza ulteriori verifiche equivale a ignorare completamente il rischio di accessi illeciti, con conseguenze dirette sulla riservatezza e sull’integrità dei dati.
Il Garante, in linea con la propria giurisprudenza consolidata, ribadisce che la sicurezza non può essere valutata in astratto, ma va calibrata sul contesto, sulle finalità del trattamento e sulla natura dei dati trattati. E nel caso di servizi essenziali, l’asticella non può che essere alta.
3. Il secondo fronte: marketing senza base giuridica e informative carenti
Accanto alle gravi carenze in materia di sicurezza, l’istruttoria ha fatto emergere un ulteriore profilo di illiceità: il trattamento dei dati personali degli utenti per finalità promozionali in assenza di un’idonea base giuridica e senza un’adeguata informativa.
Durante la registrazione all’area riservata, agli utenti venivano sottoposti tre moduli di consenso, tutti preflaggati sul “SÌ”, relativi rispettivamente all’informativa privacy, all’utilizzo dei dati per l’invio di comunicazioni pubblicitarie e al trattamento per finalità di customer satisfaction.
Una prassi che il GDPR ha definitivamente espulso dall’ordinamento: il consenso deve essere una manifestazione di volontà libera, specifica e inequivocabile. Le caselle preselezionate non consentono alcuna scelta reale e trasformano il consenso in un automatismo, svuotandolo del suo significato giuridico.
Ancora più grave è il fatto che il consenso fosse richiesto – e di fatto imposto – in un contesto necessario per accedere a un servizio essenziale, come la consultazione delle proprie bollette. Un’impostazione che mette seriamente in discussione la libertà della scelta dell’interessato.
Potrebbero interessarti anche:
4. Informativa e conservazione dei dati: violazioni che si sommano
A completare il quadro, il Garante ha rilevato l’inadeguatezza dell’informativa fornita agli utenti e il mancato rispetto del principio di limitazione della conservazione dei dati personali. Anche sotto questo profilo, il trattamento risultava eccedente e privo di una giustificazione concreta, in violazione dell’art. 5 GDPR.
Il provvedimento evidenzia come le violazioni non fossero episodiche o marginali, ma strutturali e protratte nel tempo, tanto da continuare anche nel corso della fase istruttoria. Un elemento che ha inciso in modo significativo sulla valutazione della gravità complessiva della condotta.
5. La sanzione: proporzionalità, ma anche un segnale chiaro
Alla luce delle numerose violazioni riscontrate, del numero elevato di interessati potenzialmente coinvolti e della persistenza delle criticità, il Garante ha irrogato una sanzione amministrativa pecuniaria di 300.000 euro.
Una sanzione che non colpisce solo l’assenza di misure di sicurezza, ma l’intero approccio al trattamento dei dati personali: dalla progettazione dei sistemi informativi, alla gestione dei consensi, fino alle finalità di marketing.
6. Considerazioni conclusive: la sicurezza come prerequisito, non come optional
Il caso Aimag dimostra, ancora una volta, che la protezione dei dati personali non può essere affrontata per compartimenti stagni. Sicurezza, basi giuridiche, informativa e conservazione dei dati sono elementi interconnessi, e la carenza anche di uno solo di essi può compromettere la liceità complessiva del trattamento.
Soprattutto nei settori dei servizi essenziali, la fiducia degli utenti si fonda anche – e sempre di più – sulla capacità delle organizzazioni di proteggere i dati che raccolgono. Trascurare questo aspetto non è solo un rischio sanzionatorio, ma un problema di responsabilità giuridica e reputazionale.
Il messaggio del Garante è netto: senza sicurezza non c’è liceità, e senza una base giuridica valida il marketing diventa, semplicemente, un trattamento illecito. E il tempo delle caselle preflaggate, se mai ce ne fosse stato uno, è definitivamente finito.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento