Whatsapp, le imprese sottovalutano i rischi di attacchi informatici
Attacchi informatici e non danno istruzioni sulle modalità corrette di utilizzo. È quanto risulta dall’esame dei provvedimenti noti, decisi nel triennio 2021-2023 dalle autorità Ue preposte alla protezione dei dati personali, in applicazione del Regolamento Ue sulla privacy n. 2016/679 (Gdpr).
Per alcuni Garanti, tra l’altro, la messaggistica istantanea è radicalmente incompatibile con l’uso aziendale, perché crea un rapporto contrattuale diretto da dipendente e gestore del servizio (bypassando l’azienda). Per altre autorità il servizio è inadatto perché divulga indiscriminatamente i dati dei partecipanti alle chat. Per altre autorità, infine, WhatsApp non consente al datore di lavoro di supervisionare il trattamento dei dati relativi alla clientela messo in atto dai dipendenti.
Il caso della messaggeria istantanea mette in evidenza un suggestivo trabocchetto: l’apparente facilità di utilizzo del sistema, infatti, fa velo sui pericoli connessi all’utilizzo stesso. E si tratta di pericoli che le aziende non possono trascurare se si vuole evitare il rischio di ricevere sanzioni per violazioni del Gdpr.
Ma passiamo a una panoramica delle decisioni: l’applicazione diretta del Gdpr in tutti i paesi della Ue rende indispensabile la circolazione delle notizie sui provvedimenti adottati dai Garanti europei della privacy.
Videosorveglianza – Il Garante spagnolo (decisione del 12 luglio 2023) ha ordinato a una società di vigilanza il pagamento di 10 mila euro per aver carpito immagini dal sistema di videosorveglianza di un istituto penitenziario e averle diffuse tramite WhatsApp. Una guardia, assunta dalla società privata, che forniva servizi di videosorveglianza a una prigione di Madrid, ha usato il suo telefono cellulare per catturare le immagini di un visitatore dal sistema di videosorveglianza e ha inviato queste immagini tramite WhatsApp ad altri colleghi.
Associazione – Un’associazione, che ha divulgato i dati personali di uno dei suoi membri in un gruppo Whatsapp, è stata sanzionata 3 mila euro dal Garante spagnolo (decisione del 28 aprile 2023, caso n. PS/00353/2022). L’interessato era un socio di una associazione dei cacciatori e ha inviato una lettera al suo presidente chiedendo l’accesso ai libri contabili. Il presidente ha diffuso questa lettera in un gruppo Whatsapp formato da 195 associati, insieme a conversazioni private con l’interessato. L’interessato ha presentato un reclamo al Garante spagnolo. Il Garante ha evidenziato che il gruppo WhatsApp in questione dovrebbe limitarsi esclusivamente alla condivisione delle informazioni necessarie per l’adempimento degli scopi dell’associazione.
Comune – Il Garante catalano (decisione del 13 settembre 2021 nel caso PS 28/2021) ha emesso un ammonimento nei confronti di un consiglio comunale per aver creato, con lo scopo di dare informazioni relative al consiglio comunale, un gruppo WhatsApp, che consentiva ai partecipanti di vedere i nomi, i numeri di telefono e le immagini del profilo di altri partecipanti. Al momento della creazione del gruppo, il consiglio comunale non aveva attuato misure tecniche o organizzative adeguate a garantire la riservatezza dei dati. Secondo il Garante, il consiglio comunale avrebbe dovuto astenersi dall’utilizzare un gruppo WhatsApp come strumento appropriato per gli scopi pur di pubblico interesse. In conclusione, il Garante ha ordinato al consiglio comunale di eliminare il gruppo WhatsApp e ha emesso un rimprovero formale.
Avvocati – Il Garante rumeno (decisione resa nota il 22 febbraio 2022) ha irrogato una multa di circa mille euro a uno studio legale per aver divulgato un fascicolo con i dati personali di uno dei suoi clienti su un gruppo WhatsApp esterno con altri avvocati, senza il consenso dell’interessato. L’indagine del Garante ha rilevato che il fascicolo del caso, che includeva i dati personali dell’interessato (inclusi nome, cognome, indirizzo di casa e informazioni relative a un caso pendente dinanzi a un tribunale) era stato effettivamente condiviso sul gruppo di avvocati esterni di WhatsApp, che conteneva 247 membri, e quindi in maniera eccessiva e senza base giuridica.
Wellness – Il Garante rumeno (decisione resa nota il 7 maggio 2021) ha irrogato a una società di wellness una sanzione di 32 mila euro, per avere pubblicato la richiesta di dimissioni di un ex dipendente sul gruppo WhatsApp dei dipendenti. Il garante rumeno ha ritenuto che il titolare del trattamento non ha predisposto misure tecniche e organizzative idonee a garantire un livello adeguato di riservatezza dei dati, considerando che tutti i membri del gruppo WhatsApp avevano accesso ai dati personali inclusi nella richiesta di dimissioni.
Banca – Il Garante rumeno ha irrogato a una banca una sanzione di tre mila euro per aver scambiato, tramite WhatsApp, un file formato “pdf”, contenente dati di un numero significativo dei suoi clienti. Il Garante ha ritenuto che il titolare del trattamento non ha realizzato misure tecniche e organizzative adeguate e che la banca non ha impedito la divulgazione non autorizzata o l’accesso non autorizzato ai dati personali.
Consumatori – Il Garante rumeno ha adottato misure correttive nei confronti dell’Autorità nazionale per la protezione dei consumatori (Anpc) romena per aver utilizzato WhatsApp come canale ufficiale di comunicazione con i consumatori, per la raccolta di reclami, senza mettere in atto idonee misure tecniche e organizzative. Il Garante ha rilevato che l’Anpc ha raccolto dati personali tramite WhatsApp, mancando di valutare i potenziali rischi per gli interessati e nonostante avesse altri canali disponibili per presentare petizioni e reclami, come un account di posta elettronica registrato o un modulo sul sito web istituzionale.
Sanità – Il Garante danese (decisione del 9 luglio 2021) ha irrogato una sanzione di 80.500 euro a un organismo sanitario per il trattamento illegale di un gran numero di informazioni sanitarie dei cittadini. I dipendenti dell’ente sanitario utilizzavano i loro telefoni privati per comunicare informazioni riservate sui pazienti (numero di previdenza sociale e i dati sanitari). Le chat erano disponibili anche ad ex dipendenti, non rimossi dalla chat di gruppo a causa di una gestione degli accessi inadeguata.
Messaggi personali – L’autorità austriaca per la protezione dei dati (decisione del 3 maggio 2021 resa nel caso 2021-0.285.169) ha rilevato che né il Gdpr né la legge austriaca attuativa del Gdpr si applicano allo scambio di dati sanitari tra due individui tramite WhatsApp, poiché tale trattamento rientra tra i trattamenti di dati da parte di persone fisiche per scopi esclusivamente personali, esentati dal Gdpr
Imprese – Il Garante finlandese (decisione del 29 ottobre 2021 resa nel caso 9024/181/19) ha stabilito che un’impresa di pulizie ha violato il Gdpr utilizzando i servizi di messaggistica istantanea di WhatsApp con i propri dipendenti come mezzo per scambiare informazioni sui propri clienti, inclusi nomi, indirizzo, codice della porta o codice della cassetta portachiavi. Tra le altre cose, il titolare del trattamento non aveva mezzi per supervisionare l’uso dei dati personali tramite WhatsApp o altrimenti imporre restrizioni sul possibile ulteriore utilizzo. Il Garante finlandese ha ritenuto che la società avrebbe dovuto prendere in considerazione tutti i rischi potenziali, come la possibilità che i dipendenti perdessero i loro telefoni, e che i dati personali dei clienti potessero quindi diventare accessibili a terzi. Dopo aver considerato i termini di utilizzo di WhatsApp, il Garante finlandese ha osservato che l’uso dell’app non è normalmente compatibile con scopi commerciali, in quanto avrebbe creato un rapporto contrattuale tra il dipendente e Facebook (ora Meta).
Inghilterra – L’Information Commissioner’s Office (Ico), con decisione del 31 luglio 2023, ha ammonito un ente responsabile dell’assistenza sanitaria di oltre 652 mila persone che vivono in Scozia, per avere alcuni suoi dipendenti scambiato (anche con un estraneo allo staff medico), a mezzo WhatsApp, per più di 500 volte, nominativi, indirizzi, immagini, video, e screenshot, con informazioni sanitarie dei pazienti. All’ente è stato rimproverato di non aver effettuato alcuna valutazione dei potenziali rischi.