PRIVACYDAILY

N. 159/2023

LE TRE NEWS DI OGGI:

• IRLANDA, PREOCCUPAZIONI PRIVACY PER IL NUOVO SISTEMA DI REGISTRAZIONE DELLA FOOTBALL ASSOCIATION OF IRELAND PER I DATI DEI BAMBINI
• USA, L’INCIDENTE INFORMATICO SBALLA I DATI DEL RESORT DI LAS VEGAS
• SPAGNA, AEPD AFFERMA CHE IL DIRITTO DI ACCESSO RIGUARDA ANCHE I DATI DI LOCALIZZAZIONE

Il vice commissario per la protezione dei dati ha incontrato la Football Association of Ireland in merito alle preoccupazioni sulla registrazione dei dati dei passaporti e delle foto dei bambini. Alcune società calcistiche hanno dichiarato di non essere soddisfatte del nuovo sistema di registrazione dei giocatori introdotto in questa stagione. La Football Association of Ireland ha comunicato ai club che devono raccogliere una certificazione di età e una foto dei loro giocatori minorenni per poter partecipare alle partite ufficiali del campionato FAI.La documentazione può essere una foto di un passaporto o di un certificato di nascita.Si stima che ci siano più di 30.000 bambini iscritti ai club di Dublino e un numero di volte superiore nei club fuori dalla capitale.Il nuovo sistema ha suscitato preoccupazioni sulla sicurezza dei dati in molti genitori e in alcuni club. Un club, l’Ardmore Rovers di Bray, ha rifiutato di partecipare al nuovo sistema e non è stato autorizzato a partecipare alle partite.A Dublino e nelle zone limitrofe, tutti i giocatori minorenni devono ora essere registrati dai genitori presso la Dublin District School Boys and School Girls League, che richiede il caricamento di una foto della pagina del passaporto o del certificato di nascita, una foto del giocatore e il pagamento di una tassa di 30 euro.Alcuni hanno espresso preoccupazione su chi possa accedere ai dati, ma SportLoMo, la società che gestisce il sistema, afferma che è sicuro e che solo i funzionari dei club potranno accedere ai dati dei passaporti dei loro membri.In altre aree, ai club è stato detto che gli allenatori devono raccogliere i dati sui propri dispositivi da inviare al sistema FAI Connects. Anche questo ha causato qualche preoccupazione.Il Ballybridge United, un club di East Cork, si è rifiutato di farlo, adducendo questioni di GDPR e di sicurezza dei bambini.Il presidente del club John Corr ha detto che gli era stato detto che al suo club sarebbero state negate le partite di campionato se non avesse partecipato al nuovo sistema, ma questo non è ancora successo.In risposta alle domande di RTÉ News, la FAI ha rilasciato una dichiarazione in cui afferma di “essere a conoscenza di domande relative a un sistema di registrazione utilizzato da uno dei nostri affiliati”.

Il gestore di casinò e alloggi MGM Resorts ha disattivato una serie di sistemi informatici, tra cui il suo sito web, in risposta a un “problema di sicurezza informatica”, così ha affermato la società in un post sui social media lunedì. La chiusura iniziale ha avuto un impatto su quasi tutti gli aspetti dell’attività dell’operatore di casinò. I sistemi di prenotazione, i sistemi di prenotazione, i sistemi di chiavi elettroniche degli hotel e i piani del casinò sono stati tutti apparentemente interessati dall’interruzione. Anche i sistemi di posta elettronica dell’azienda sono stati apparentemente disattivati in relazione al problema di cybersicurezza e non sono ancora tornati in linea. Ma i sistemi di prenotazione che gestiscono le migliaia di camere d’albergo e il sistema di prenotazione che controlla le prenotazioni per i ristoranti sono apparentemente ancora fuori uso, più di un giorno dopo che sono circolate le prime notizie dell’incidente. MGM gestisce migliaia di camere d’albergo a Las Vegas e negli Stati Uniti. Secondo i documenti della SEC, le entrate derivanti dalle camere d’albergo a Las Vegas superano quelle direttamente riconducibili alle attività del casinò. La società ha registrato ricavi dalle camere di Las Vegas pari a 706,7 milioni di dollari per il trimestre conclusosi il 30 giugno, rispetto ai ricavi del casinò pari a 492,2 milioni di dollari per lo stesso periodo.” Abbiamo rapidamente avviato un’indagine con l’assistenza di importanti esperti esterni di cybersicurezza”, ha dichiarato MGM in un post su X, precedentemente noto come Twitter. “L’FBI ha confermato di essere a conoscenza dell’incidente “in corso”, ma non ha fornito ulteriori informazioni. Le azioni MGM hanno chiuso in ribasso di quasi il 2,4% lunedì. Il sito web di MGM è stato sostituito da una pagina di destinazione che consiglia ai clienti di contattare direttamente gli hotel o i casinò per telefono. Non è stato immediatamente chiaro quando sia iniziata l’interruzione, anche se alcuni utenti sui social media hanno riferito che i sistemi di MGM erano fuori uso già da domenica sera. L’azienda ha già avuto incidenti di cybersicurezza in passato. Nel 2020, i dati personali di oltre 10 milioni di visitatori di MGM sono stati pubblicati su un forum di hacking. Le informazioni sono state esfiltrate nell’estate del 2019, ha dichiarato l’azienda all’epoca.

L’Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato una risoluzione che stabilisce l’obbligo per le compagnie telefoniche di assistere coloro che richiedono i dati di geolocalizzazione delle linee che hanno sottoscritto.Una richiesta a Vodafone ha dato il via a questa serie di eventi. Il denunciante aveva dichiarato che nell’ottobre 2022 aveva chiesto alla compagnia i dati di localizzazione di ciascuna delle linee di cui era titolare, in esercizio del suo diritto di accesso. Secondo il denunciante, la sua richiesta non ha ricevuto la risposta prevista dalla legge e gli è stato detto che questi dati non erano registrati negli archivi della società. Dopo aver trasmesso il reclamo all’AEPD, quest’ultima ha stabilito che Vodafone non ha rispettato il diritto di accesso dell’interessato non fornendogli i dati in questione.L’intervistato ha sostenuto che la richiesta eccedeva l’ambito dell’esercizio del diritto di accesso, ai sensi dell’articolo 6 della legge 25/2007, del 18 ottobre, sulla conservazione dei dati relativi alle comunicazioni elettroniche e alle reti pubbliche di comunicazione, poiché conservava i dati richiesti per trasferirli esclusivamente alle Forze di sicurezza dello Stato e ai Corpi di polizia previa autorizzazione giudiziaria e nell’ambito di un’indagine giudiziaria.Nonostante ciò, l’AEPD risponde affermando che i dati richiesti sono personali e, pertanto, rientrano nel diritto dei cittadini di richiederli, determinando come eccezioni quelle determinate dall’articolo 9 della citata Legge 25/2007, per cui il trasferimento dei dati non sarà comunicato e non potrà essere esercitato il diritto di soppressione.Tuttavia, nella delibera l’Agenzia precisa anche che gli enti e le società a cui vengono richiesti gli stessi dati devono adottare le necessarie cautele per garantire che i dati forniti siano quelli di stretta pertinenza del richiedente, “il tutto in considerazione dei rischi per i diritti e le libertà degli interessati”. Ciò è dovuto alla differenza indicata tra utenti e titolari di linee telefoniche.

English version

• IRELAND, PRIVACY CONCERNS FOR FOOTBALL ASSOCIATION OF IRELAND’S NEW REGISTRATION SYSTEM FOR CHILDREN’S DATA
• USA: IT INCIDENT BURNS LAS VEGAS RESORT DATA /USA, IT INCIDENT BURNS LAS VEGAS RESORT DATA
• SPAIN, AEPD AFFIRMS THAT THE RIGHT OF ACCESS ALSO COVERES LOCALISATION DATA

The Deputy Data Protection Commissioner has met the Football Association of Ireland over concerns over the storage of passport details and photos of children.Some football clubs have said they are not happy with a new player registration system introduced this season.The Football Association of Ireland has told clubs they must collect proof of age along with a photo of their underage players if they are to participate in official FAI league matches.The proof of age can be a photo of a passport or a birth certificate.There are estimated to be more than 30,000 children registered with clubs in Dublin and several times that number in clubs outside the capital.The new system has caused some concerns about data security amongst many parents and some clubs. One club Ardmore Rovers in Bray has refused to participate in the new system and has not been allowed to participate in matches.In Dublin and surrounding areas, all underage players must now be registered by their parents with the Dublin District School Boys and School Girls League.This requires uploading a photo of their passport page or birth certificate, a photo of the player and the payment of a €30 fee.Some have expressed concern about who can access the data, but SportLoMo, the company who is running the system, says it is secure and only club officials will be able to access the passport details of their members. In other areas, clubs have been told coaches should collect the data on their own devices for submission to the FAI Connects system.This has also caused some concern.Ballybridge United, a club in East Cork, has refused to do this, citing GDPR and child safety issues.Club Chairman John Corr said that he was told his club would be refused league matches if it did not participate in the new system, but this has not happened yet.In response to queries from RTÉ News, the FAI has issued a statement saying it “is aware of queries relating to a registration system used by one of our affiliates”.

Casino and lodging operator MGM Resorts shut down a number of its computer systems including its website in response to a “cybersecurity issue,” the company said in a social media post Monday.The initial shutdown impacted nearly every aspect of the casino operator’s business. Reservation systems, booking systems, hotel electronic key card systems, and the casino floors were all apparently impacted by the outage.The company’s email systems were also apparently taken down in response to the cybersecurity issue, and have not yet come back online.The company said that as of Monday evening, their casino floors were back online. But the reservation systems that power their thousands of hotel rooms and the booking system that controls reservations for their restaurants are apparently still down, more than a day after the first reports of the incident began to circulate.MGM operates thousands of hotel rooms across Las Vegas and the United States. Revenue from their hotel rooms in Las Vegas outstrips the revenue directly attributed to their casino operations, according to SEC filings. The company reported Las Vegas rooms revenue of $706.7 million for the quarter ended June 30, compared to casino revenue of $492.2 million for the same period.“We quickly began an investigation with assistance from leading external cybersecurity experts,” MGM said in a post on X, formerly known as Twitter. “We also notified law enforcement and took prompt action to protect our systems and data, including shutting down certain systems.”The FBI confirmed that it was aware of the “ongoing” incident but did not provide further information. MGM shares closed down nearly 2.4% on Monday.MGM’s website has been replaced by a landing page advising that patrons contact their hotels or casinos directly via phone. It wasn’t immediately clear when the outage started, although some users on social media reported that MGM’s systems were down as early as Sunday night.The company has had cybersecurity incidents in the past. In 2020, the personal details of more than 10 million MGM visitors were published on a hacking forum. The information was exfiltrated in the summer of 2019, the company said at the time.

The Spanish Data Protection Agency (AEPD) has issued a resolution establishing the obligation of telephone companies to attend to those who request geolocation data from the lines they have contracted. A request to Vodafone was what started this series of events. The complainant had stated that in October 2022 he had asked the company for the location data of each of the lines of which he was the holder, in exercise of his right of access. According to the complainant, his request did not receive the legally established response, and he was told that this data was not registered in the company’s files. After the complaint was forwarded to the AEPD, the latter ruled that Vodafone had not properly complied with the affected party’s right of access by not providing him with the aforementioned data.The respondent argued that the request exceeded the scope of the exercise of the right of access, according to article 6 of Law 25/2007, of 18 October, on the conservation of data relating to electronic communications and public communications networks, since it kept the data requested in order to transfer them exclusively to the State Security Forces and Corps with prior judicial authorisation and within the framework of a judicial investigation.Even so, the AEPD responds by stating that the data requested are personal and, therefore, fall within the right of citizens to request them, determining as exceptions those determined by article 9 of the aforementioned Law 25/2007, whereby the transfer of the data will not be communicated and the right of suppression may not be exercised.However, the agency also specifies in the resolution that the bodies and companies from whom these same data are requested must adopt the necessary precautions to ensure that the data they provide are those that strictly pertain to the applicant, “all in consideration of the risks to the rights and freedoms of the interested parties”. This is due to the difference indicated between users and telephone line holders.