Bastava chiamare il call center e fornire nominativo e data di nascita per ottenere dati personali di un qualsiasi cliente
Bastava chiamare il call center e fornire al sistema di assistenza automatizzato il nome e la data di nascita di un qualsiasi cliente per ottenere ampie informazioni ed ulteriori dati personali dell’interessato. Il caso era stato infatti sollevato nel 2018, quando una donna aveva chiamato la hotline, e con questa escamotage aveva ottenuto il nuovo numero di cellulare del suo ex marito.
Per tali falle riscontrate nelle misure di sicurezza adottate nel sistema di autenticazione, nel 2019 il garante per la protezione dei dati tedesco (BFDI) aveva quindi inflitto una maxi sanzione al servizio di call center del provider 1&1 Telecommunications per 9,55 milioni di euro per violazione dell’art. 32 del Gdpr.
A distanza di un anno, la 1 & 1 Telecom GmbH sembra poter tirare (almeno parzialmente) un sospiro di sollievo: mercoledì scorso, il tribunale regionale di Bonn ha infatti annunciato una sentenza sul ricorso che aveva presentato il provider, confermando che la sanzione era fondamentalmente giustificata, reputandola però allo stesso tempo irragionevolmente elevata, e stabilendone la riduzione a 900.000 euro, quindi a meno di un decimo dell’importo di iniziale.
Trai motivi che hanno indotto i giudici ad essere indulgenti, vi è stato il fatto che la portata della violazione sarebbe rimasta limitata a casi isolati e che non vi sarebbe stata una divulgazione massiva di dati personali a terzi non autorizzati, perché le falle del sistema di autenticazione della 1 & 1 Telecom GmbH non erano mai state contestate in precedenza, evidenziando la mancanza di consapevolezza del problema. Inoltre, l’azienda aveva subito riconosciuto fin da subito i propri torti, e si era mostrata sempre collaborativa con l’autorità per la protezione dei dati.
