Comunicazione di violazione di dati personali (data breach) agli interessati ex art. 34 Reg. UE n. 2016/679

In data 09.05.2025 la società Promosfera S.r.l., P.IVA 02250050024, con sede in 21011 Casorate Sempione (VA), Via XXV Aprile n. 56 (di seguito, per brevità, “Promosfera”), nominata da Panasonic Marketing Europe GmbH, P.IVA 07409680969, con sede secondaria in 20126 Milano (MI), Viale Fulvio Testi n. 280/6 (di seguito per brevità, “Panasonic” o il “Titolare del trattamento”) Responsabile del Trattamento di dati personali ex art. 28 GDPR, ha informato Panasonic, di un data breach subito dalla stessa Promosfera tra il 02.05.2025 ed il 04.05.2025.
Secondo quanto comunicato da Promosfera, in tale lasso temporale (02.05.2025-04.05.2025), durante la chiusura degli uffici della stessa Promosfera, nonostante misure tecniche ed organizzative adottate da quest’ultima, vi è stato, ad opera di terzi, un attacco hacker ai server di Promosfera con esfiltrazione di dati.
Sempre in base alle informazioni fornite da Promosfera, dalle indagini e verifiche da questa effettuate dalla scoperta dell’attacco hacker al fine di individuare, tra i clienti di Promosfera, i database e i diversi titolari di trattamento coinvolti (diverse società, tra cui la scrivente Panasonic), tra i dati interessati dalla violazione subita dai server di Promosfera, vi sono anche dati personali che riguardano i consumatori che hanno partecipato tra il 2018 e il 2024 a operazioni a premi, promozioni “cashback” e “soddisfatti o rimborsati”, trattati da Promosfera su incarico di Panasonic. Nello specifico si tratta di dati anagrafici (nome e cognome), dati di contatto (indirizzo postale e/o indirizzo e-mail, n. telefono fisso e/o mobile) e, nel solo caso delle promozioni “cashback” e “soddisfatti o rimborsati” IBAN - in quanto su tali server erano conservati dati personali forniti in occasione di tali operazioni a premi e promozioni (del tipo cashback, soddisfatti o rimborsati) indette da Panasonic e gestite, su incarico di Panasonic, dalla stessa Promosfera.

Si segnala che la violazione ai danni dei server di Promosfera ha comportato una perdita della riservatezza di dati personali che riguardano i consumatori partecipanti a operazioni a premi e promozioni “cashback” e “soddisfatti o rimborsati” e potrebbe comportare oltreché la conoscenza e l’uso di tali dati da parte di terzi non autorizzati, per finalità diverse da quelle previste al momento della loro raccolta oppure in modo non lecito, la possibile diffusione di tali dati personali, possibili rischi di furto o usurpazione di identità, frodi, perdite finanziarie.

Si segnala che Promosfera ha comunicato di aver già posto in essere quali misure tecniche ed organizzative volte a porre rimedio alla violazione e a ridurne gli effetti negativi:
a) interruzione della rete al momento del rilevamento dell’anomalia;
b) verifica consistenza dei backup;
c) attivazione di un server parallelo (escluso dall’attacco informatico);
d) caricamento di un backup pulito e ripristino della disponibilità e dell’accesso ai dati;
e) recupero dei log dai server compromessi per rendicontazione;
f) sostituzione firewall;
g) cambio indirizzo IP pubblico;
h) cambio password di accesso ai pc e servizi esterni utilizzati dall’azienda;
i) installazione Nas con tecnologia Snapshot.

Promosfera ha, inoltre, comunicato di aver già segnalato l’accaduto alla Polizia postale di Varese.

Si segnala, infine, che, in ordine alla violazione di dati personali subita da Promosfera, Panasonic ha provveduto, in conformità alle tempistiche e modalità prescritte dall’art. 33 GDPR, in data 12.05.2025, ad effettuare la notifica dell’avvenuto data breach all’Autorità Garante della Privacy.
Nell’evidenziar che Panasonic dà la massima importanza alla tutela dei dati personali dei propri clienti ed è spiacente per quanto occorso, si comunica che, per ulteriori informazioni in ordine al data breach subito da Promosfera e/o qualsiasi eventuale chiarimento, osservazione e/o segnalazione è possibile scrivere al seguente indirizzo e-mail privacy.Milan@eu.panasonic.com.
In considerazione del data breach verificatosi, si consiglia di prestare particolare attenzione ad eventuali e-mail di phishing e/o a eventuali telefonate sospette.

Panasonic Marketing Europe GmbH
sede secondaria di Milano