Garmin, la società statunitense leader mondiale nella tecnologia GPS per l'automotive, la nautica, l'aviazione, il fitness e lo sport in generale, ha annunciato di essere stata vittima di un attacco informatico.
Per diversi giorni di silenzio infatti, in cui gli appassionati di corsa e ciclismo non hanno avuto accesso agli strumenti online forniti dalla piattaforma Garmin dedicata ai runner, è arrivato l’annuncio su Facebook della stessa Società che conferma di essere stata vittima di un attacco informatico di tipo ransomware e rassicura gli utenti sul fatto che la maggior parte dei sistemi e dei servizi recentemente bloccati, incluso Garmin Connect, sono tornati in funzione.
A quanto dichiarato, alcune funzioni sono ancora temporaneamente limitate, mentre i dati sono in corso di elaborazione.
L'azienda ringrazia gli utenti "per la pazienza e la comprensione" rimandando, per maggiori informazioni, alla pagina ufficiale dove spiega l’accaduto.
Gli impatti Privacy nei confronti degli utenti
La causa di questo 'stop' sembra essere riconducibile ad un Data Breach che ha colpito i server della società di servizi GPS.
Quanto accaduto offre dunque l’occasione per approfondire le disposizioni del GDPR in relazione ai Trattamenti di dati, per capire come gli utenti di tali servizi possono subire impatti.
Il GDPR si applica solo a quei trattamenti di dati di una persona fisica strettamente connessi ad un’attività commerciale o professionale, perciò le attività Social condotte da un utente privato, sono escluse da detto contesto applicativo.
Per definire meglio quali attività on line siano da considerarsi al di fuori del perimetro di applicazione pratica della normativa Privacy europea, potremmo dire che:
- nel contesto privato, per l’appunto domestico, rientra l’uso (privato) dei social network e le attività on line;
- per quanto concerne i social network, questi possono riguardare l’ambito più generale dei social media come ad esempio le molteplici app utilizzate dagli sportivi, in modo amatoriale;
- circa le attività on line, si rilevano in particolare quei servizi forniti dagli Internet Provider nella cui cerchia rientrano anche i fornitori di servizi app.
Alla luce di ciò le App, in quanto fornitrici dei servizi social e dei mezzi di trattamento, sono tenute a rispettare la normativa europea in materia di protezione dati. applicabile ai cittadini europei nei casi in cui le attività di trattamento riguardino:
offerte di beni o prestazioni di servizi agli interessati nell’Unione Europea, a prescindere dalla obbligatorietà di un pagamento (art. 3, par. 2, lett. a)
monitoraggio del comportamento dell’interessato all’interno dell’Unione Europea (art. 3, par. 2, lett. b)
Ne consegue che, al fine di circoscrivere il trattamento per uso domestico, i servizi di Garmin sono di pura elaborazione di dati ma anche di fitness e di prestazione fisica (informazioni di posizione e spostamento) forniti dagli utenti: dunque, di fatto, dati personali.
Dati sportivi e categorie particolari di dati
Nel mondo del fitness, i dati ad esso pertinenti e rilasciati dagli utenti, sono spesso qualificati come “dati sportivi”, informazioni di carattere personale che rientrano nelle particolari categorie di dati di cui all’art. 9 ed in particolare tra i dati relativi alla salute. Per trattare tali dati, in modo conforme al GDPR, occorre acquisire il consenso esplicito. Quest’ultimo non viene tendenzialmente richiesto nel caso di:
dati aggregati non essendo possibile identificare la persona fisica
ricerca scientifica ed analisi statistica, purché raccolti in forma anonima
A tal proposito, proprio perché tali App, finalizzate al mondo sportivo, hanno come core business i dati, il Garante è assai vigile su questa tipologia di attività (centri fitness, palestre, centri sportivi e società in questo ambito) e nel 2019 si è pronunciato nell’acquisizione di Fitbit da parte di Google con un comunicato nel quale poneva sostanzialmente l’attenzione sul rischio di concentrazione – in termini societari – dei dati.
Come rimediare al Data Breach
Quali rimedi porre, dunque, di fronte ad uno scenario simile e potenzialmente molto rischioso?
Il primo suggerimento è sempre inerente la sicurezza informatica, quindi, effettuare sempre la copia dei dati.
Dal lato utente è opportuno verificare la provenienza dell’app, perché dato che la maggior parte di queste applicazioni sportive sono fornite da multinazionali che hanno lo Stabilimento in Paesi extra UE, è necessario porsi il problema del trasferimento dei dati all’estero (ad esempio, rispetto agli Stati Uniti ricordiamo che, recentissimamente, la Corte di Giustizia ha invalidato l’accordo statunitense del Privacy Shield che garantiva un livello “sicuro” di trasferimento dei dati negli USA).
E ancora, è buona norma valutare le garanzie del fornitore soprattutto in termini di sicurezza.
Per chiarire questi e molti altri aspetti inerenti le disposizioni del Garante Privacy oltre agli adempimenti in materia di protezione dei trattamenti di dati personali e GDPR, contattaci senza impegno, saremo lieti di fornirti la nostra consulenza gratuita!
Chiamaci -> Cel. +39 371 46 371 45 - 371 46 30 129
Scrivici -> E-mail: info@enterprise-solutions.net
Chatta -> Cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." dal tuo smartphone.
Comments