NEWSLETTER del 16 luglio 2026 - Data breach, il Garante privacy sanziona...
NEWSLETTER del 16 luglio 2026 - Data breach, il Garante privacy sanziona Wind Tre per 1,7 milioni di euro - Recupero crediti: il Garante sanziona due società per 50mila e 30mila euro - Garante a Enel Energia: il cliente può avere accesso all’audio delle conversazioni - Dai Garanti europei le linee guida su anonimizzazione, web scraping e blockchain

NEWSLETTER N. 549 del 16 luglio 2026
- Data breach, il Garante privacy sanziona Wind Tre per 1,7 milioni di euro
- Recupero crediti: il Garante sanziona due società per 50mila e 30mila euro
- Garante a Enel Energia: il cliente può avere accesso all’audio delle conversazioni
- Dai Garanti europei le linee guida su anonimizzazione, web scraping e blockchain
Data breach, il Garante privacy sanziona Wind Tre per 1,7 milioni di euro
Gravi carenze nella sicurezza dei dati coinvolti oltre 365mila clienti

Il Garante privacy ha inflitto una sanzione di 1.715.600 euro a Wind Tre Spa per gravi carenze nella sicurezza dei sistemi aziendali, che hanno determinato due accessi abusivi e l’esfiltrazione dei dati personali di oltre 365mila clienti. Per 41.359 di essi, l’esfiltrazione ha riguardato anche le informazioni relative ai metodi di pagamento utilizzati, come il bollettino postale, l’Iban, la carta di credito con il numero parzialmente oscurato e la data di scadenza.
L’istruttoria dell’Autorità – avviata a seguito dei due data breach notificati dalla società nel febbraio 2025 – ha accertato che gli hacker, fingendosi tecnici dell’assistenza, hanno convinto gli operatori di due punti vendita a consentire l’accesso ai sistemi aziendali, riuscendo così ad esfiltrare i dati anagrafici e di contatto dei clienti. In particolare, il Garante ha riscontrato carenze nella gestione delle credenziali di accesso e dei certificati digitali. Inoltre, le verifiche di sicurezza effettuate dalla società non avevano individuato vulnerabilità che sarebbero state rilevabili con controlli più approfonditi. Tali criticità hanno consentito agli hacker di accedere ai sistemi della società e di sottrarre i dati personali.
L’Autorità ha, pertanto, accertato la violazione dei principi di integrità e riservatezza dei dati e degli obblighi di sicurezza previsti dal GDPR e ha ordinato a Wind Tre di rafforzare i sistemi di protezione delle credenziali e dei certificati digitali, di introdurre strumenti sicuri per la gestione delle password e di migliorare le procedure di sicurezza informatica per prevenire episodi analoghi in futuro. Nel determinare l’importo della sanzione, il Garante ha tenuto conto della tempestiva notifica dell’incidente, delle misure correttive adottate dopo l’attacco e della collaborazione fornita dalla società nel corso dell’istruttoria.
Recupero crediti: il Garante sanziona due società per 50mila e 30mila euro
Titolari e responsabili dei dati personali hanno precisi obblighi

Nelle attività di recupero crediti il titolare del trattamento deve effettuare controlli periodici, documentati e verificabili per monitorare, sotto il profilo della protezione dei dati personali, le attività di recupero crediti affidate a società terze responsabili. Quest’ultime, a loro volta, devono adottare misure tecniche e organizzative che mettano a disposizione del titolare un quadro esatto ed aggiornato delle informazioni effettivamente raccolte e trattate per gestire la posizione del debitore.
Lo ha ribadito il Garante per la protezione dei dati personali che ha comminato una sanzione di 50mila euro alla società titolare del trattamento e di 30mila euro alla società incaricata del recupero del credito, destinataria dei dati del debitore trasmessi dal titolare, quale responsabile del trattamento.
L’Autorità è intervenuta a seguito di una segnalazione con cui il debitore indicava l’utilizzo, nell’ambito delle attività di recupero del credito nei suoi confronti, di un numero di cellulare a lui intestato ma non più nella sua disponibilità.
Il debitore lamentava le modalità con cui le due società avevano trattato i suoi dati personali e in particolare chiedeva in che modo fossero stati recuperati.
Dall’istruttoria è emerso che la società titolare del trattamento non aveva vigilato adeguatamente sulle attività effettuate dalla società responsabile e sulle istruzioni a questa impartite. Mentre la società responsabile non aveva fornito a quella titolare un quadro aggiornato delle informazioni raccolte durante l’incarico e non l’aveva informata del fatto che il debitore aveva chiesto di conoscere la provenienza del numero di telefono contattato ai fini del recupero del credito.
Nel determinare l’importo delle sanzioni, l’Autorità ha tenuto conto sia della gravità delle violazioni sia delle iniziative assunte dalle due società per prevenire il ripetersi di situazioni analoghe.
Garante a Enel Energia: il cliente può avere accesso all’audio delle conversazioni

La richiesta di accesso ai dati personali contenuti in registrazioni audio o video può essere soddisfatta anche mediante la consegna della trascrizione della conversazione, purché siano oscurati gli elementi che consentono di identificare eventuali altri soggetti coinvolti.
Lo ha affermato il Garante privacy a conclusione di un procedimento nei confronti di Enel Energia Spa che aveva negato ad un cliente la richiesta di accesso ai propri dati personali.
Il procedimento trae origine da un reclamo in cui l’utente lamentava il diniego, da parte della società, di accedere alle informazioni contenute in una registrazione telefonica intercorsa con il servizio clienti. Nel corso dell’istruttoria è emerso che Enel Energia aveva respinto la richiesta ritenendo prevalente, nel bilanciamento tra gli interessi contrapposti, l’esigenza di tutelare la privacy dell’operatore. Secondo la società, durante la conversazione, l’operatore aveva fornito dettagli che avrebbero potuto consentirne l’identificazione, come il nome e la matricola. Al riguardo il Garante ha ricordato che tale valutazione implica un’analisi da effettuare caso per caso, in base agli effettivi rischi per i diritti e le libertà del terzo coinvolto. Il tutto, valutando la possibilità di adottare misure per mitigare l’eventuale pregiudizio, ad esempio mediante l’oscuramento dei dati personali dell’operatore o l’applicazione di tecniche di camuffamento della voce.
Nel caso di specie, l’Autorità ha rilevato che Enel avrebbe potuto soddisfare la richiesta di accesso, oscurando preventivamente i dati identificativi dell’operatore. Tale soluzione, considerati il contesto professionale della telefonata e il suo oggetto, relativo al contratto di fornitura di gas, non avrebbe pregiudicato il diritto dell’operatore alla riservatezza.
Dai Garanti europei le linee guida su anonimizzazione, web scraping e blockchain

Nel corso della plenaria di luglio, il Comitato europeo per la protezione dei dati ha adottato le linee guida sull'anonimizzazione e quelle sul web scraping nel contesto dell'intelligenza artificiale generativa. L’EDPB ha inoltre adottato la versione definitiva delle linee guida sul trattamento dei dati personali mediante tecnologie blockchain.
Le nuove linee guida sull’anonimizzazione, che tengono contro della più recente giurisprudenza della Corte di giustizia europea, ha commentato la Presidente Anu Talus, “rappresentano un importante passo avanti nel chiarire la nozione di dati anonimi, definendo standard chiari che favoriscono l'utilizzo dei dati, salvaguardando al contempo i diritti fondamentali delle persone”.
Il documento fornisce inoltre un quadro operativo che consente alle organizzazioni di verificare se il processo di anonimizzazione abbia avuto esito positivo, attraverso due approcci (uno contestuale, più articolato, che tiene conto delle diverse capacità dei soggetti che potrebbero identificare l’interessato, e uno semplificato, più prudente), e tre criteri tecnici che devono essere contemporaneamente soddisfatti: assenza di isolamento del record, assenza di collegamenti, assenza di inferenze.
Le linee guida sull’anonimizzazione saranno in consultazione pubblica fino al 30 ottobre 2026. Fino a quella data, sarà possibile inviare osservazioni e contributi anche sulle linee guida relative al web scraping nel contesto dell'intelligenza artificiale generativa.
Il web scraping è un processo automatizzato di estrazione di dati su larga scala che spesso avviene senza che gli interessati ne siano consapevoli e che può comportare rischi significativi per la protezione dei loro dati personali. Nel documento il Comitato chiarisce diversi aspetti della conformità di tale attività al GDPR, compresa la base giuridica del trattamento e le condizioni alle quali possono essere trattate le categorie particolari di dati personali.
A seguito della consultazione pubblica, l'EDPB ha adottato la versione definitiva delle linee guida sulle tecnologie blockchain, nelle quali vengono analizzate le diverse architetture possibili e le relative implicazioni per il trattamento dei dati personali.
L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità
- Intelligenza artificiale: il Garante privacy sanziona Character.AI Rilevate criticità anche nella tutela dei minori e nei sistemi di verifica dell'età - Comunicato del 9 luglio 2026
- G7 privacy: Principi comuni a tutela dei minori online e per un'IA rispettosa dei diritti – Comunicato del 26 giugno 2026
- Il Garante privacy presenta la Relazione annuale – Comunicato del 25 giugno 2026
NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it
Condividi