27 Maggio 2026 di carmignaniconsulenza

Data breach, il Garante privacy sanziona The European House Ambrosetti per 85mila euro. Coinvolte oltre 61mila persone, password non protette e comunicazione tardiva agli interessati – Garante della Privacy Provvedimento del 17 aprile 2026

Una sanzione di 85mila euro è stata irrogata dal Garante per la protezione dei dati personali a The European House – Ambrosetti spa, società di consulenza strategica e think tank, per carenze nelle misure di sicurezza. Le criticità sono emerse a seguito di un data breach che ha coinvolto 61.670 persone, tra cui dipendenti di aziende clienti e personale interno che utilizzavano i servizi online. Tardiva anche la comunicazione della violazione agli interessati, avvenuta solo dopo l’intervento dell’Autorità.

L’attacco informatico, riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica, ha comportato l’esfiltrazione di nomi, cognomi, indirizzi email, username e password. Dagli accertamenti del Garante sono emerse diverse violazioni della normativa privacy. In particolare, la società conservava una parte delle password in chiaro e un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati. Conservava inoltre credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati.

L’Autorità ha anche accertato che la società, pur avendo notificato il data breach entro le 72 ore previste dalla normativa, non ha informato tempestivamente gli interessati, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e libertà. La comunicazione agli utenti è avvenuta a distanza di circa due mesi dalla scoperta dell’incidente, solo dopo un provvedimento correttivo del Garante.

Con il provvedimento, il Garante ribadisce la necessità per i titolari del trattamento di adottare misure tecniche e organizzative adeguate e di assicurare una gestione tempestiva e trasparente delle violazioni dei dati personali. Le esigenze reputazionali rappresentate dalla società non possono prevalere sui diritti delle persone coinvolte.

Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10252460

RispondiAnnulla risposta

22 Aprile 2026 di carmignaniconsulenza

Garante: non conforme al Gdpr “FaceBoarding” di Milano Linate – Provvedimento del 12 marzo 2026

Il Garante privacy ha dichiarato illecito il trattamento dei dati biometrici dei passeggeri dell’aeroporto di Milano Linate effettuato attraverso il sistema di riconoscimento facciale “FaceBoarding”, rispetto al quale l’Autorità era già intervenuta con un provvedimento di limitazione provvisoria nel mese di settembre 2025.

Il sistema veniva utilizzato da SEA (Società per azioni esercizi aeroportuali), per consentire l’accesso all’area sterile e l’imbarco al gate dei passeggeri previa registrazione presso appositi chioschi o mediante app e successiva associazione del volto al documento di riconoscimento e alla carta d’imbarco.

L’Autorità, nel corso dell’istruttoria avviata d’ufficio, ha accertato che il “FaceBoarding” vìola il GDPR ed è in contrasto, in particolare, con il parere dell’EDPB sull’uso del riconoscimento facciale in aeroporto. Il sistema, infatti, prevede che i dati biometrici acquisiti siano interamente conservati in maniera centralizzata nei server di SEA impedendo ai passeggeri di esercitare un controllo esclusivo sui propri dati.

Il Garante ha riscontrato, inoltre, che SEA non ha adottato misure di cifratura dei modelli biometrici; ha conservato i template per un periodo eccessivo (fino a 12 mesi), comportando così un aumento significativo dei rischi di violazioni dei dati personali, ed ha rilasciato un’informativa con indicazioni inesatte. Per di più la società acquisiva, senza il loro consenso, le immagini del volto dei passeggeri che, pur non avendo aderito al “FaceBoarding”, utilizzavano i varchi ibridi.

Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10238246

RispondiAnnulla risposta

22 Aprile 2026 di carmignaniconsulenza

Garante: sì ad accesso proprie email dopo fine rapporto lavoro. Sanzione di 50mila euro ad una compagnia assicurativa – Provvedimento del 12 marzo 2026

Il lavoratore può accedere ai messaggi del proprio account email aziendale e ai documenti presenti nel pc dopo la fine del rapporto di lavoro. Eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali.

È quanto ha affermato il Garante per la protezione dei dati personali accogliendo il reclamo di un ex dipendente di una compagnia assicurativa, che aveva chiesto copia dei messaggi della propria casella di posta elettronica aziendale e dei documenti salvati nel pc. La società aveva effettuato un accesso alla posta elettronica dell’ex dipendente e, dopo averne esaminato il contenuto, aveva fornito esclusivamente i messaggi ritenuti “strettamente personali”, escludendo quelli legati all’attività lavorativa.

Secondo il Garante, il diritto di accesso riguarda tutti i dati personali, comprese le comunicazioni intercorse tramite un account aziendale individualizzato. Non è quindi legittimo selezionare preventivamente i contenuti da fornire né limitarli o oscurarli sulla base della distinzione tra ambito personale e professionale.

L’Autorità ha inoltre rilevato criticità nella gestione dei dati, in particolare per la mancanza di trasparenza nelle informative e per i tempi di conservazione delle email (5 anni) e dei dati di navigazione (12 mesi), ritenuti non proporzionati rispetto alle finalità dichiarate.

Per le violazioni accertate è stata inflitta una sanzione di 50mila euro. Il Garante ha inoltre ordinato di consentire l’accesso integrale ai dati richiesti e di adeguare informative e policy interne alla normativa privacy.

Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10233328