Panda SecurityScopri le violazioni della privacy più frequenti: telemarketing, dati sanitari e violazioni del GDPR. Casi reali, multe record e consigli pratici per proteggerti.
Il Garante della privacy ha pubblicato un report con le violazioni della privacy più diffuse in Italia, che hanno portato a sanzioni per un totale di 50 milioni di euro nell’ultimo anno.
Telemarketing aggressivo, esfiltrazione di dati sanitari e mancato rispetto del GDPR: queste sono le tre categorie più frequenti di violazioni della privacy che avvengono in Italia (ma anche in Europa).
In questo post ne parliamo in modo approfondito, vedendo un caso reale di ciascun tipo di violazione e alcuni consigli pratici per difenderti e proteggere i tuoi dati.
In questo articolo:
- Cos’è una violazione della privacy?
- Quali sono le violazioni della privacy più frequenti in Italia?
- Casi reali di violazioni della privacy contro cui è intervenuto il garante
- Cosa fare per proteggere la privacy dei tuoi dati
- Domande frequenti sulle violazioni della privacy
Buona lettura!
Cos’è una violazione della privacy
Quando si parla di violazione della privacy, si fa riferimento a qualsiasi comportamento, volontario o accidentale, che espone informazioni personali senza il consenso della persona interessata, ledendo così il suo diritto alla riservatezza.
Quindi, non solo furti di dati o accessi non autorizzati: anche la raccolta, l’uso o la condivisione di dati personali senza un’adeguata informativa o senza base legale rappresentano una violazione della privacy.
Secondo il Garante per la protezione dei dati personali, le violazioni possono manifestarsi in molti modi, tra cui:
- Esposizione involontaria di dati su siti o portali pubblici
- Trattamento non autorizzato di dati sensibili
- Utilizzo dei dati per scopi diversi da quelli dichiarati
- Assenza di misure di sicurezza per proteggere le informazioni.
In sostanza, la privacy viene violata ogni volta che perdiamo il controllo sui nostri dati personali, siano essi un numero di telefono, una foto, un documento sanitario o una preferenza politica. Ed è proprio per evitare questo che esistono regolamenti come il GDPR, che impongono trasparenza, richiesta del consenso e responsabilità a chi tratta informazioni che ci riguardano.
Violazioni della privacy più diffuse in Italia
Andiamo a vedere le tre categorie a cui abbiamo accennato. Per ognuna di esse presenteremo una breve descrizione, vedremo un caso concreto di violazione avvenuto nell’ultimo anno e ti daremo alcuni consigli pratici per difenderti.
Telemarketing aggressivo
Quando si parla di marketing aggressivo, pensiamo subito a email indesiderate e telefonate moleste a tutte le ore del giorno. Ma a volte la violazione è più subdola, e le aziende utilizzano dati personali ottenuti in modo illecito per promuovere i propri servizi (in modo altrettanto illecito).
CASO REALE
Nel 2024 il Garante per la privacy ha multato Enel Energia per oltre 79 milioni di euro, accusandola di aver attivato migliaia di contratti con i dati ricevuti da società esterne non autorizzate e di non aver protetto adeguatamente i dati personali dei clienti.
Inoltre, i sistemi informatici interni dell’azienda avevano gravi falle di sicurezza, che hanno permesso a operatori esterni di accedere ai dati e usarli per attività di telemarketing. Si tratta della sanzione più alta mai emessa in Italia per violazioni del GDPR.
COME PROTEGGERSI
Per ridurre lo spam e il telemarketing aggressivo ci sono due modi:
- Leggere bene le informative sulla privacy e cercare di condividere il meno possibile i propri contatti (email e numero di telefono).
- Acquistare un servizio di identità alternativa, che ti fornisce un numero e un indirizzo email fittizi da usare per le registrazioni e gli annunci online. Questa funzionalità è molto utile perché inoltra i messaggi alla tua casella di posta, così puoi controllarli comodamente e, se inizi a ricevere troppa spazzatura, puoi semplicemente eliminare il profilo e crearne uno nuovo.
In questo modo, puoi ridurre moltissimo l’impatto e la frequenza del marketing aggressivo, delle truffe telematiche e del trattamento illecito dei tuoi dati.
Violazioni del GDPR
Come dicevamo, il Regolamento europeo non penalizza solo l’accesso, ma anche il trattamento non autorizzato e non conforme ai principi di protezione della privacy. Un esempio di questo comportamento è la raccolta di informazioni personali online (web scraping) effettuata in modo intenzionale o come parte di altre attività, ad esempio per addestrare i modelli di AI generativa.
CASO REALE
A dicembre 2024 il Garante per la privacy ha applicato a OpenAI una sanzione di 15 milioni di euro per diverse irregolarità nel servizio di ChatGPT. L’autorità ha contestato che i dati personali degli utenti sono stati raccolti e utilizzati per addestrare modelli di intelligenza artificiale senza una base giuridica adeguata.
In particolare, il Garante contesta una scarsa trasparenza nelle informative per gli utenti e la mancanza di controlli efficaci per l’età, a causa dei quali i minori potrebbero essere stati esposti a contenuti inappropriati.
Inoltre, l’autorità ha rilevato che non è stata notificata una violazione della privacy avvenuta nel marzo 2023, come obbliga il GDPR. Come misura correttiva, oltre alla multa, è stata imposta a OpenAI la realizzazione di una campagna informativa di sei mesi per sensibilizzare il pubblico sui diritti relativi al trattamento dei dati personali.
COME PROTEGGERSI
Per prima cosa, cerca di non condividere pubblicamente dati personali, ad esempio sui social o nei forum. Tutti i dati pubblicamente visibili possono essere raccolti da tracker e web scraper, e possono finire nei data set e nei database di aziende più o meno oneste.
Il punto è gestire con prudenza la propria traccia digitale, ovvero la quantità di informazioni che ci riguardano direttamente e indirettamente online. Questi dati non fanno gola solo alle Big Tech, ma anche ai criminali informatici, che li usano per inviare messaggi truffa personalizzati o per cercare di accedere agli account personali delle vittime.
Per lo stesso motivo, molta attenzione quando condividi dati personali con i chatbot come Gemini o ChatGPT. Prima, leggi le informative sulla privacy per sapere come verranno usati i tuoi dati e per quanto tempo verranno salvati.
Infine, puoi utilizzare un servizio di rimozione dei dati personali dal web, che contatta i cosiddetti broker di dati – aziende che vendono dati personali online – per richiedere la cancellazione delle tue informazioni dai loro database.
Questo è possibile perché le normative europee sanciscono il diritto alla gestione e rimozione dei propri dati in qualsiasi momento, nonché il diritto all’oblio.
Protezione dei dati sanitari
Il settore sanitario è uno dei contesti in cui avvengono più incidenti di sicurezza: da uno dei bilanci del Garante, risulta che le ASL, gli ospedali e i laboratori sono stati coinvolti in circa il 9 % di tutti gli incidenti di sicurezza segnalati.
Le leggi sulla privacy italiane ed europee proteggono le persone non solo dalle violazioni dei dati dirette, ma anche da quelle subite dalle organizzazioni per mancanza di sistemi di sicurezza efficaci e che mettono a rischio la privacy degli utenti.
CASO REALE
Nel 2023 l’ASL Napoli 3 Sud è stata colpita da un attacco ransomware che ha compromesso l’infrastruttura IT dell’ente, rendendo inaccessibili i dati di circa 842.000 assistiti.
Il Garante ha svolto delle indagini e concluso che le misure di sicurezza adottate non erano adeguate al rischio, violando i principi di privacy by design, responsabilità e obblighi generali del GDPR. Di conseguenza, ha applicato una sanzione di 30.000 euro all’ente locale.
Questo caso mette in luce come le struttura pubbliche siano un protagonista importante della privacy personale: pensiamo sempre alle violazioni commesse dalle grandi multinazionali, ma spesso dimentichiamo che la Pubblica Amministrazione è la prima ad avere gravi falle nella propria sicurezza informatica.
COME PROTEGGERSI
Purtroppo c’è poco da fare contro questi incidenti, dato che come utenti del sistema sanitario nazionale possiamo solo fidarci e sperare che i nostri dati vengano protetti adeguatamente.
Quello che però possiamo fare è limitare i danni in caso di violazione:
- Richiedi regolarmente una copia dei dati, per non perdere l’accesso completo in caso di attacco ransomware.
- Attiva lo SPID o la CIE.
- Non condividere i tuoi documenti sanitari tramite email non protette o su piattaforme che non conosci.
- Se viene notificata una violazione, controlla se i tuoi dati sono rimasti esposti e, se necessario, presenta un reclamo al Garante.
- Installa un antivirus potente, come Panda Dome, che protegga i tuoi dispositivi anche da spyware e ransomware.
In questo modo potrai mitigare i danni di eventuali violazioni della privacy e, soprattutto, ridurre la superficie di attacco, cioè la quantità di informazioni vulnerabili e i punti di accesso non autorizzato.
LEGGI ANCHE: Fuga di dati e data breach, che differenza c’è?
Altre violazioni della privacy frequenti in Italia
Oltre al telemarketing aggressivo, alle falle nei sistemi di dati sanitari e alle violazioni del GDPR, in Italia emergono spesso altri casi ricorrenti di violazione della privacy. Uno è il trasferimento illecito di dati verso paesi al di fuori dell’UE da parte di enti pubblici: uno studio recente ha rilevato che circa il 14 % dei siti delle Pubbliche Amministrazioni italiane effettua richieste a server che si trovano oltre i confini dello Spazio Economico Europeo (SEE), spesso usando servizi come CDN e cloud esteri, senza trasparenza né garanzie adeguate.
Un’altra forma diffusa è l’esposizione accidentale o errata di dati personali nei portali pubblici o siti web istituzionali: per esempio, l’INPS è stato sanzionato dal Garante per aver reso visibili i dati personali di migliaia di partecipanti a un concorso su un sito pubblico.
Infine, stanno diventando sempre più comuni i casi di deepfake e revenge porn, in cui immagini intime vengono alterate o diffuse senza consenso, spesso a scopo di vendetta o umiliazione pubblica. Il Garante e la magistratura italiana trattano questi episodi come violazioni gravissime della privacy e dell’integrità personale, con implicazioni penali per chi li commette.
Cosa dice la legge sulle violazioni della privacy
Per avere un’idea più chiara delle violazioni della privacy e dei tuoi diritti, vediamo cosa dice la legge. Si tratta della normativa sulla protezione dei dati personali.
In Europa, e quindi anche in Italia, i tuoi dati personali sono tutelati dal Regolamento Generale sulla Protezione dei Dati (GDPR). Questo regolamento stabilisce regole chiare su come aziende, enti pubblici e organizzazioni devono raccogliere, usare e proteggere le informazioni che ti riguardano.
In particolare:
- I tuoi dati possono essere usati solo con una base legale, come il tuo consenso, un contratto o un obbligo di legge.
- Devi sempre essere informato in modo chiaro su quali dati vengono raccolti e per quali scopi.
- Hai diritto ad accedere, correggere e cancellare i tuoi dati, e di opporti a certi tipi di trattamento delle informazioni.
- Se si verifica una violazione, l’azienda è obbligata a informarti se il rischio è alto per i tuoi diritti.
- Le autorità possono imporre multe molto elevate a chi non rispetta queste regole.
Queste norme servono a proteggere la tua privacy digitale e a darti strumenti concreti per difenderti. Ti aiutano quando i tuoi dati vengono usati in modo scorretto o finiscono nelle mani sbagliate.
In questo articolo abbiamo visto cos’è una violazione della privacy, cosa dice la legge a proposito e quali sono le violazioni più frequenti in Italia. Abbiamo inoltre raccontato i casi reali più emblematici e con le multe più salate, come quelli di Enel e OpenAI. Abbiamo anche condiviso dei consigli pratici per aiutarti a proteggere la tua privacy online.
Infine, ti consigliamo di usare un buon antivirus come Panda Dome. Ti aiuta a difenderti da molte violazioni della privacy, che spesso iniziano con un attacco di phishing, uno spyware o un ransomware.
E tu, cosa fai per proteggere la tua privacy digitale? Raccontacelo nei commenti!
CONTINUA A LEGGERE: 11 modi facili per eliminare i tuoi dati da internet
Buona navigazione e buona protezione dalle violazioni della privacy!
Frequently Asked Questions
Cos’è il diritto all’oblio e come posso esercitarlo?
È il diritto a chiedere la cancellazione di informazioni personali dai motori di ricerca o da siti web, quando non sono più rilevanti o danneggiano la tua reputazione. Puoi esercitarlo contattando direttamente il titolare del sito o il motore di ricerca (ad esempio Google), oppure rivolgendoti al Garante.
Quali sono le multe previste per chi viola la privacy?
Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuale mondiale, a seconda della gravità. Il Garante può anche imporre obblighi correttivi o bloccare i trattamenti dei dati (come nel caso della campagna di sensibilizzazione imposta a OpenAI).
Come posso proteggere i miei dati personali online?
Usa password sicure e diverse per ogni servizio, attiva l’autenticazione a due fattori, non condividere informazioni sensibili sui social e leggi sempre le informative prima di dare il consenso.
Che cos’è il GDPR e perché è importante?
È la legge europea che protegge i tuoi dati personali. Stabilisce regole su come possono essere raccolti, usati, conservati e condivisi, e ti dà diritti precisi su come controllare le informazioni che ti riguardano.
Che cosa posso fare se penso che la mia privacy sia stata violata?
Puoi presentare un reclamo al Garante per la protezione dei dati personali (anche online), oppure rivolgerti a un avvocato per valutare un’azione legale. In certi casi, potresti anche ottenere un risarcimento.
