NEWS

Bastava chiamare il call center e fornire nominativo e data di nascita per ottenere dati personali di un qualsiasi cliente

Bastava chiamare il call center e fornire al sistema di assistenza automatizzato il nome e la data di nascita di un qualsiasi cliente per ottenere ampie informazioni ed ulteriori dati personali dell’interessato. Il caso era stato infatti sollevato nel 2018, quando una donna aveva chiamato la hotline, e con questa escamotage aveva ottenuto il nuovo numero di cellulare del suo ex marito.

uomo riceve telefonata dalla ex moglie


Per tali falle riscontrate nelle misure di sicurezza adottate nel sistema di autenticazione, nel 2019 il garante per la protezione dei dati tedesco (BFDI) aveva quindi inflitto una maxi sanzione al servizio di call center del provider 1&1 Telecommunications per 9,55 milioni di euro per violazione dell’art. 32 del Gdpr.

A distanza di un anno, la 1 & 1 Telecom GmbH sembra poter tirare (almeno parzialmente) un sospiro di sollievo: mercoledì scorso, il tribunale regionale di Bonn ha infatti annunciato una sentenza sul ricorso che aveva presentato il provider, confermando che la sanzione era fondamentalmente giustificata, reputandola però allo stesso tempo irragionevolmente elevata, e stabilendone la riduzione a 900.000 euro, quindi a meno di un decimo dell’importo di iniziale.

donna ottiene il numero dell'ex martio sfruttando una falla del call center


Trai motivi che hanno indotto i giudici ad essere indulgenti, vi è stato il fatto che la portata della violazione sarebbe rimasta limitata a casi isolati e che non vi sarebbe stata una divulgazione massiva di dati personali a terzi non autorizzati, perché le falle del sistema di autenticazione della 1 & 1 Telecom GmbH non erano mai state contestate in precedenza, evidenziando la mancanza di consapevolezza del problema. Inoltre, l’azienda aveva subito riconosciuto fin da subito i propri torti, e si era mostrata sempre collaborativa con l’autorità per la protezione dei dati.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Dipendenti infedeli dell'agenzia delle entrate vendevano i dati dei contribuenti agli investigatori privati
Next Telemarketing, dal 1° dicembre possibile opporsi alle chiamate sul cellulare, ma solo in teoria

Privacy Day Forum 2019: il trailer

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy