Facebooktwitterredditpinterestlinkedinmail

privacy law

Data breach e viaggiatori. Colpito un colosso del turismo

Il settore alberghiero è tra quelli maggiormente esposti al rischio di data breach in quanto tratta grandi quantità di dati personali, che gli ospiti non possono fare a meno di fornire se intendono soggiornare all’interno di determinate strutture.

 

E’ pertanto necessario che tutte le strutture del settore recettivo, che trattano i dati personali dei viaggiatori, adottino tutte le misure necessarie a garantire la tutela e la protezione di tali dati.

In tutti i casi è indispensabile che chi gestisce i dati personali all’interno di questo settore, così come in altri settori delicati, li conservi utilizzando strumenti adeguati, e consideri che da piccole mancanze potrebbero derivare pesanti sanzioni imposte dai vari Garanti operanti negli Stati in cui operano, ma anche richieste di risarcimento proposte dai soggetti vittime delle perdite, delle sottrazioni e delle diffusioni dei dati.

Il 30 novembre è stato reso noto quello che è stato definito da molti il più grande data breach del settore del turismo, ma anche della storia. Trattasi di un incidente che ha coinvolto Marriott International, colosso del turismo statunitense, composto da 30 brand e più di 6.700 proprietà in 130 Paesi e territori.

Un attacco hacker ha colpito il database delle prenotazioni della catena di alberghi, la quale tramite una nota ha spiegato che un dispositivo di sicurezza interno ha segnalato un tentativo di accesso al database Marriott.

Nello specifico, c’è stato un tentativo di accesso non autorizzato al database, che conteneva i dati degli ospiti che hanno effettuato prenotazioni presso le strutture di Starwood l’8 settembre 2018 e forse in precedenza, probabilmente a partire dal 2014.

Al fine di rimediare all’accaduto, il Gruppo ha dichiarato di aver adottato misure per indagare sull’accaduto e per occuparsi dell’incidente. In primis Marriott ha richiesto l’intervento degli esperti di sicurezza incaricati affinché potessero indagare sull’accaduto e comprendere le dinamiche che avevano portato all’accesso non autorizzato, i quali hanno scoperto che una parte non autorizzata aveva copiato e cifrato le informazioni, e poi adottato misure per eliminarle.

Il 19 novembre 2018, Marriott è stato in grado di decifrare le informazioni ed ha determinato che i contenuti provenivano dal database per le prenotazioni degli ospiti di Starwood.

Dalle dichiarazioni rese dal Gruppo Marriott emerge che il quantitativo di dati “trafugati” è enorme.  Sono i dati di circa 383 milioni di ospiti ad essere stati sottratti, anche se questo non significa che siano stati coinvolti 383 milioni di ospiti unici, perché in alcuni casi sembrerebbero essere presenti più record per lo stesso ospite.

Dalle stime e dalle rilevazioni effettuate dagli esperti, è stato inoltre possibile rilevare che molto probabilmente i dati coinvolti nell’incidente comprendevano circa 8,6 milioni di numeri di carte di pagamento unici, tutti crittografati; circa 5,2 milioni di numeri di passaporto unici non crittografati e circa 20,3 milioni di numeri di passaporti crittografati.

Per circa 327 milioni di ospiti potrebbero essere state sottratti dati sensibili quali: nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, informazioni sull’account Starwood Preferred Guest (“SPG”), data di nascita, sesso, dati sull’arrivo e sulla partenza, data di prenotazione e preferenze di comunicazione.

Relativamente ai mezzi di pagamento, i dati attaccati e copiati sono stati sia i numeri delle carte di credito che le date di scadenza delle stesse. Solo che i numeri delle carte erano stati cifrati usando l’Advanced Encryption Standard (AES-128); e sarebbero stati necessari due componenti per decifrare i numeri delle carte stesse. Fino ad ora, però, dalle dichiarazioni rese da Marriott non è stato possibile dedurre se è possibile escludere che entrambi siano stati scoperti.

Al fine di porre rimedio all’accaduto, Marriott si è inoltre attivato per garantire ai titolari dei dati la possibilità di avere risposte tramite un sito Web dedicato e un call center (https://answers.kroll.com/); ha contattato via email tutti i clienti rimasti vittima del data breach ed ha offerto loro un servizio gratuito di monitoraggio contro il furto di identità.

Non dimentichiamo però che il primo attacco risale al 2014, ed il suo rilevamento cade nel 2018, quindi molti potrebbero essere già stati vittima di truffe, attacchi di phishing o furto di identità.

La data del 2014 è importante anche dal punto di vista giuridico, per il quale molteplici sarebbero le situazioni da analizzare. Bisogna considerare che la nuova normativa europea in materia di trattamento dati personali (Regolamento UE 2016/679 detto GDPR) non era ancora in vigore, mentre alla data in cui è stato scoperta l’intrusione lo era. Potrebbero esserci casi regolamentati dalla precedente normativa e casi ricadenti sotto il GDPR? Bisognerebbe approfondire! Ma non è questa la sede opportuna!

In questo momento la violazione dei dati di Marriott è sotto inchiesta in diversi paesi, e le autorità locali di ciascun paese sono interessate a partecipare come “autorità di vigilanza” nel quadro cooperativo del GDPR.

Le Autorità per la protezione dei dati personali dei vari Stati interessati dovranno accertare se nei confronti del Gruppo potranno essere applicate sanzioni, considerando che la sanzione più stretta potrebbe ammontare al 4% del fatturato (così come prevede il GDPR). Nel contempo non si esclude che molti clienti possano intraprendere azioni legali contro la società e richiedere un risarcimento che renderebbe il costo della violazione ancora più elevato.

È chiaro che al fine di evitare che si verifichino situazioni di questo tipo, prima di tutto bisogna fare il possibile per prevenire i data breach; possibilmente rendere tutti i processi in atto compliance al GDPR se si opera nello spazio UE, quindi ridurre il più possibile i rischi per gli utenti. Solo le strutture che agiscono nel modo giusto possono far sentire tutelati i loro ospiti, ed evitare di trovarsi ad affrontare situazioni così onerose e complesse (il rischio di incorrere nelle sanzioni amministrative e penali previste dalle normative degli Stati interessati; ed infine affrontare le richieste di risarcimento danni che possono inoltrare tutti gli interessati).

 

Luana Fierro
Dottore di ricerca in diritto pubblico dell’economia e dell’ambiente
Cultore della materia per il settore del diritto privato comparato, e per diritto dello sport
Fondatore del sito www.webcomparativelaw.eu

(il seguente articolo è stato pubblicato sul seguente sito: https://www.touristapp.info/data-breach-e-viaggiatori-colpito-un-colosso-del-turismo/?fbclid=IwAR1u39V0cx9Z3sG9pT54qcZ9Wv_5yBqiWPdGGvpxraU1PRw5zI6lyum5mLI )

Immagine logo creata con: http://<a href=”https://it.textstudio.com/”>Generatore di font</a>

Facebooktwitterredditpinterestlinkedinmail

privacy law

I diritti dell’interessato nel GDPR

I diritti dell'interessato nel GDPR
Scarica la slide

Il Reg. (UE) 2016/679 prevede molteplici diritti a favore dell’interessato: diritto alla portabilità dei dati, diritto alla cancellazione, diritto alla limitazione del trattamento, diritto di opporsi ad alcuni trattamenti fondati su alcune specifiche basi di legittimità

immagine superiore generata su:http://<a href=”https://it.textstudio.com/”>Generatore di font</a>

Facebooktwitterredditpinterestlinkedinmail

 

Ruoli e responsabilità nel Reg. UE 2016/679 GDPR

REGULATION (EU) N. 536/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
Scarica la slide

 

In queste slide andiamo ad analizzare tutte le figure previste dal Reg. UE 2016/679, gli obblighi ed i punti poco chiari.

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 ruota intorno ai seguenti ruoli: responsabile della protezione dei dati personali (DPO), titolare del trattamento, responsabile del trattamento. Andiamo a vedere in che modo devono relazionarsi tra loro.

Per consultare il testo normativo ufficiale entrare nel seguente link: https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en

 

Facebooktwitterredditpinterestlinkedinmail

Abiti difettosi e tutela del consumatore

Ignoranza o intenzionalità?

In data 6 gennaio, ho ricevuto in regalo un capo di abbigliamento acquistato presso il punto vendita Hey Dey di Campobasso (HEYDEY, FASCHION GROUP srl, Via Mazzini n. 61/63, 86100 Campobasso). Lo stesso giorno mi sono recata presso il punto vendita per sostituire il capo che risultava di taglia sbagliata (un cappottino), e data l’assenza della taglia richiesta, ho scelto un capo differente: una tuta bianca e nera (vedere foto).

Visto e considerato che il primo capo costava € 25,00 e la tuta 27.99, ho aggiunto la differenza di € 2,99.

Dopo alcuni giorni, ho lavato il capo perché avrei voluto indossarlo.

Dopo aver preso visione dell’etichetta interna al capo, l’unica contenente istruzioni per il lavaggio, e rilevato la possibilità di lavarlo a 20C°, procedevo al lavaggio all’interno di in una bacinella, con sapone neutro ed acqua fredda.

Al termine del lavaggio il capo mostrava la parte superiore, che inizialmente era bianca, ingrigita.

Molteplici sono stati i tentativi di sbiancarlo: sapone di marsiglia, strofinamenti ripetuti…l’effetto è stato solo quello riuscire a far scaricare un po’ di grigio alla tuta.

Alla luce di tutto questo, ho deciso di contattare il Servizio Clienti del negozio per avere qualche chiarimento e far presente l’accaduto.

Purtroppo l’azienda non ha un sito web, non ha un servizio consumatori individuabile, ma ha solo una pagina Facebook Hey Dey, una pagina Facebook Hey Dey Campobasso, ed una pagina Facebook Hey Dey Vairano. Ho provato a contattare la pagina FB Hey Dey, per ben due volte, ma ho solo ottenuto una risposta automatica.

A questo punto non restava che tornare nel punto vendita.

In data 20 gennaio sono tornata presso Hey Dey di Via Mazzini per far presente che il capo poteva essere difettoso, in quanto pur avendolo lavato in acqua fredda, esso si era macchiato – la parte bassa ha “contagiato” la parte bassa – e è diventato inutilizzabile: un grigio spento neppure uniforme.

A questo punto ho chiesto la sostituzione del prodotto con uno non difettoso, che non scaricasse colore in fase di lavaggio.

L’addetta alla vendita, una volta individuata la problematica ha contattato telefonicamente la responsabile, che non era presente nel punto vendita, e le ha fatto presente la questione.

La responsabile ha deciso di agire ignorando completamente la normativa a tutela del consumatore, come non fosse mai esistita. In pratica avrei dovuto tenere il capo difettoso, punto e basta! Un calcio a tutta la normativa sulla tutela del consumatore! E’ entusiasmante rilevare quanta considerazione abbia un cliente all’interno di questo punto vendita!

Tra l’altro avevo dimenticato di far presente che se avessi indossato il vestito senza lavarlo, avendo questi la capacità di perdere colore, esso avrebbe potuto rilasciare sostanze coloranti sulla mia pelle, ed un prodotto sicuro non dovrebbe fare questo!

Il produttore, laddove non potesse evitare una tale situazione, dovrebbe inserire un messaggio chiaro su un’etichetta, o un targhettino. Bisogna informare il cliente dell’esistenza di eventuali rischi a danno di persone o cose!

A quel punto le addette alla vendita hanno argomentato sostenendo che l’articolo avrebbe dovuto essere lavato velocemente, non sostare in una bacinella. In effetti io un po’ l’ho lasciato nella bacinella, ma questo dove è scritto? Chi avrebbe dovuto dirmelo? A me nessuno ha detto nulla in fase di acquisto!

Spesso ho letto etichette di articoli utilizzate per far presente il rischio di rilascio di colore in fase di lavaggio, o su abiti chiari indossati, ho letto etichette che consigliano di fare un primo lavaggio di un articolo con sale grosso, per fissare colori non ancora “raffinati”….

Nel mio caso nulla è scritto da nessuna parte, né le addette alla vendita mi hanno informata dei rischi!

Tra l’altro, un prodotto di media qualità non dovrebbe perdere colore così facilmente! Se il tessuto utilizzato per il nero ha un colore che non è stato fissato in fabbrica, lo stesso non può essere cucito insieme ad un tessuto bianco, che non è staccabile e deve essere lavato in blocco con la parte nera.

In conclusione:

  • sono state seguite le indicazioni relative al lavaggio: 20 C°;
  • il capo potrebbe essere pericoloso perché è in grado di rilasciare pigmenti di colore non segnalati,
  • sicuramente il capo è difettoso ed allo stato attuale è inutilizzabile per colpa non mia!

Il rivenditore Hey Dey di Campobasso dovrebbe sostituire l’articolo, o consentirmi la risoluzione del contratto, perché questo consentono le norme a tutela del consumatore!

A questo punto posso complimentarmi con la politica del punto vendita, che preferisce agire ignorando il problema!

 

Indicherò, di seguito, le norme poste a fondamento delle mie pretese.

 

Normativa

Direttiva 2001/95/CE del Parlamento europeo e del Consiglio, del 3 dicembre 2001, relativa alla sicurezza generale dei prodotti

Articolo 2 lett. B, lett. C:

“b) «prodotto sicuro»: qualsiasi prodotto che, in condizioni di uso normali o ragionevolmente prevedibili, compresa la durata e, se del caso, la messa in servizio, l’installazione e le esigenze di manutenzione, non presenti alcun rischio oppure presenti unicamente rischi minimi, compatibili con l’impiego del prodotto e considerati accettabili nell’osservanza di un livello elevato di tutela della salute e della sicurezza delle persone, in funzione, in particolare, degli elementi seguenti:

i) delle caratteristiche del prodotto, in particolare la sua composizione, il suo imballaggio, le modalità del suo assemblaggio e, se del caso, della sua installazione e della sua manutenzione;

ii) dell’effetto del prodotto su altri prodotti, qualora sia ragionevolmente prevedibile l’utilizzazione del primo con i secondi;

iii) della presentazione del prodotto, della sua etichettatura, delle eventuali avvertenze e istruzioni per il suo uso e la sua eliminazione nonché di qualsiasi altra indicazione o informazione relativa al prodotto;

iv) delle categorie di consumatori che si trovano in condizione di rischio nell’utilizzazione del prodotto, in particolare dei bambini e degli anziani. La possibilità di raggiungere un livello di sicurezza superiore o di procurarsi altri prodotti che presentano un rischio minore non costituisce un motivo sufficiente per considerare un prodotto come «non sicuro» o «pericoloso»;

c) «prodotto pericoloso»: qualsiasi prodotto che non risponda alla definizione di «prodotto sicuro» di cui alla lettera b);”

(Il prodotto, rilasciando pigmenti di colore, potrebbe essere pericoloso per la salute umana, bisognerebbe verificare se siamo sotto o sopra la soglia tollerata dalle normative).

 

Direttiva 85/374/CEE: responsabilità sul prodotto

Articolo 6

“1 . Un prodotto è difettoso quando non offre la sicurezza che ci si può legittimamente attendere tenuto conto di tutte le circostanze, tra cui : a) la presentazione del prodotto, b) l’uso al quale il prodotto può essere ragionevolmente destinato, c) il momento della messa in circolazione del prodotto.”

 

Codice del Consumo – Italia – ARTICOLO N.130 (1) – Diritti del consumatore

“1. Il venditore è responsabile nei confronti del consumatore per qualsiasi difetto di conformità’ esistente al momento della consegna del bene.

2. In caso di difetto di conformità, il consumatore ha diritto al ripristino, senza spese, della conformità del bene mediante riparazione o sostituzione, a norma dei commi 3, 4, 5 e 6, ovvero ad una riduzione adeguata del prezzo o alla risoluzione del contratto, conformemente ai commi 7, 8 e 9.

3. Il consumatore può chiedere, a sua scelta, al venditore di riparare il bene o di sostituirlo, senza spese in entrambi i casi, salvo che il rimedio richiesto sia oggettivamente impossibile o eccessivamente oneroso rispetto all’altro.”

 

ARTICOLO N.132 – Termini

“1. Il venditore è responsabile, a norma dell’articolo 130, quando il difetto di conformità si manifesta entro il termine di due anni dalla consegna del bene.

2. Il consumatore decade dai diritti previsti dall’articolo 130, comma 2, se non denuncia al venditore il difetto di conformità entro il termine di due mesi dalla data in cui ha scoperto il difetto. La denuncia non è necessaria se il venditore ha riconosciuto l’esistenza del difetto o lo ha occultato.

3. Salvo prova contraria, si presume che i difetti di conformità che si manifestano entro sei mesi dalla consegna del bene esistessero già a tale data, a meno che tale ipotesi sia incompatibile con la natura del bene o con la natura del difetto di conformità.

4. L’azione diretta a far valere i difetti non dolosamente occultati dal venditore si prescrive, in ogni caso, nel termine di ventisei mesi dalla consegna del bene; il consumatore, che sia convenuto per l’esecuzione del contratto, può tuttavia far valere sempre i diritti di cui all’articolo 130, comma 2, purché il difetto di conformità sia stato denunciato entro due mesi dalla scoperta e prima della scadenza del termine di cui al periodo precedente.

5. Ai fini di cui al comma 3 è da considerare eccessivamente oneroso uno dei due rimedi se impone al venditore spese irragionevoli in confronto all’altro, tenendo conto:

a) del valore che il bene avrebbe se non vi fosse difetto di conformità;

b) dell’entità del difetto di conformità;

c) dell’eventualità che il rimedio alternativo possa essere esperito senza notevoli inconvenienti per il consumatore.

6. Le riparazioni o le sostituzioni devono essere effettuate entro un congruo termine dalla richiesta e non devono arrecare notevoli inconvenienti al consumatore, tenendo conto della natura del bene e dello scopo per il quale il consumatore ha acquistato il bene.

7. Le spese di cui ai commi 2 e 3 si riferiscono ai costi indispensabili per rendere conformi i beni, in particolare modo con riferimento alle spese effettuate per la spedizione, per la mano d’opera e per i materiali.

8. Il consumatore può richiedere, a sua scelta, una congrua riduzione del prezzo o la risoluzione del contratto ove ricorra una delle seguenti situazioni:

a) la riparazione e la sostituzione sono impossibili o eccessivamente onerose;

b) il venditore non ha provveduto alla riparazione o alla sostituzione del bene entro il termine congruo di cui al comma 5;

c) la sostituzione o la riparazione precedentemente effettuata ha arrecato notevoli inconvenienti al consumatore.

9. Nel determinare l’importo della riduzione o la somma da restituire si tiene conto dell’uso del bene.

10. Dopo la denuncia del difetto di conformità, il venditore può offrire al consumatore qualsiasi altro rimedio disponibile, con i seguenti effetti:

a) qualora il consumatore abbia già richiesto uno specifico rimedio, il venditore resta obbligato ad attuarlo, con le necessarie conseguenze in ordine alla decorrenza del termine congruo di cui al comma 5, salvo accettazione da parte del consumatore del rimedio alternativo proposto;

b) qualora il consumatore non abbia già richiesto uno specifico rimedio, il consumatore deve accettare la proposta o respingerla scegliendo un altro rimedio ai sensi del presente articolo.

11. Un difetto di conformità di lieve entità’ per il quale non è stato possibile o è eccessivamente oneroso esperire i rimedi della riparazione o della sostituzione, non da diritto alla risoluzione del contratto.”

 

DOMANDA FINALE

Procediamo per vie legali?

Sicuramente dovremo pubblicizzare l’accaduto affinché tutti i consumatori comprendano i rischi che corrono acquistando in quel negozio!

Considerando poi che siamo nell’era dei Social Media, credo sia opportuno diffondere le immagini relative al prodotto!

 

NEI GIORNI SUCCESSIVI

“Nei giorni successivi sono riuscita ad entrare in contatto con l’azienda FASCHION GROUP srl, dopo aver rintracciato la loro PEC. Il responsabile alle vendite si è detto rammaricato per lo spiacevole inconveniente, e mi ha chiesto di riportare il capo al punto vendita di Campobasso, per consentire all’Azienda di agire nei confronti dei propri fornitori. Infine il responsabile ha acconsentito alla risoluzione del contratto.

La migliore soluzione a questo spiacevole inconveniente.

Non mi resta che ringraziare la HEYDEY, FASCHION GROUP srl, Via Mazzini n. 61/63, 86100 Campobasso, che ha optato per la soluzione più giusta ed ha dimostrato che la soddisfazione del cliente e la tutela del consumatore è un punto fermo.

Ricordatevi sempre di far valere i vostri diritti!”

 

Dott.ssa Luana Fierro