E’ iniziato tutto da un reclamo di un cittadino che continuava a ricevere innumerevoli telefonate da diverse società di recupero crediti e che, dopo aver esercitato diritto di accesso ai propri dati, si era reso conto di essere intestatario, a sua insaputa, di ben 826 utenze telefoniche. Con il reclamo presentato all’Autorità Garante per la protezione dei dati personali il cittadino lamentava il trattamento illecito dei propri dati e l’indebita comunicazione dei propri dati a terzi (i.e. alle varie società di recupero del credito).

Dalle indagini avviate dall’Autorità si è scoperto un Data Breach di dimensioni macroscopiche: assegnazioni di utenze telefoniche non supportate da alcun contratto, intestazioni erronee di utenze telefoniche che coinvolgevano molti altri soggetti oltre al reclamante (si stimano almeno 644 utenti e 7.000 linee telefoniche coinvolte), compromissione di banche dati in uso all’Autorità inquirente e alla Polizia giudiziaria, mancata adozione di misure di sicurezza idonee ad assicurare integrità, riservatezza, esattezza ed aggiornamento dei dati (art. 32 del Codice Privacy), violazione dei principi di correttezza e qualità dei dati nonché di liceità del trattamento (art. 11 e 23 del Codice Privacy).

Alla luce di quanto sopra il Garante ha prescritto l’adozione di misure necessarie, tra le quali:

a) la verifica dell’esattezza dei dati personali riferiti o associati al reclamante presenti in tutti i sistemi della società;

b) l’eliminazione della qualità di “moroso” attribuita nei sistemi al reclamante;

c) l’eliminazione dell’associazione al nominativo del reclamante di due recapiti di telefonia residenziale riferibili ad altri clienti;

d) l’effettuazione di puntuali verifiche volte ad individuare la correttezza dei dati ed in grado di far emergere le falle del sistema e quindi risolverle;

e) il censimento degli interessati coinvolti, dei sistemi raggiunti dalla violazione e dei soggetti a cui i dati sono stati comunicati;

f) l’adozione di sistemi atti a “registrare” le verifiche effettuate.

L’Autorità si è riservata di provvedere, con autonomo procedimento, a contestare le violazioni amministrative concernenti la mancanza di base giuridica del trattamento effettuato rispetto ai dati del reclamante e degli altri clienti interessati dai rilevati disallineamenti, nonché per l’illecita comunicazione dei dati a terzi.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6376175