g-docweb-display Portlet

Provvedimento su data breach - 2 luglio 2020 [9445732]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9445732]

Provvedimento su data breach - 2 luglio 2020

Registro dei provvedimenti
n. 121 del 2 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. La violazione dei dati personali.

Il Comune di Besozzo (di seguito, “Comune”) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento, in relazione all’avvenuto invio, mediante e-mail, di un allegato consistente in un “decreto di citazione di testimoni” a soggetti estranei al procedimento penale in corso.

Come dichiarato dal Comune, pertanto, i destinatari della e-mail, estranei alla vicenda giurisdizionale, sono venuti a conoscenza di dati anagrafici e “dati relativi a condanne penali e ai reati o a connesse misure di sicurezza o di prevenzione (ovvero la sua assunzione della qualifica ad imputato all'interno di un processo ancora pendente)” di un soggetto, nonché dei dati anagrafici e di contatto di altri quattro soggetti, “ovvero i tre testimoni citati a comparire” e un soggetto “destinatario di notifica che riceve l'atto di citazione per assenza temporanea del reale destinatario”.

Nella stessa comunicazione il Comune ha rappresentato di aver provveduto ad inviare una e-mail ai soggetti che avevano in precedenza visto recapitarsi il decreto sopracitato, con invito a cancellare quanto ricevuto e ha precisato, con riferimento alle misure assunte per contenere la violazione dei dati e prevenire simili violazioni future, di voler svolgere delle “attività di sensibilizzazione interna volta ad una corretta gestione degli allegati ricevuti contenenti dati personali” (comunicazione del XX).

2. L’attività istruttoria.

In relazione a quanto comunicato dal Comune, l’Ufficio, con nota del XX, prot. n. XX notificata in pari data mediante posta elettronica certificata, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione delle misure correttive di cui all’art. 58, par. 2 del Regolamento, nei confronti dello stesso Comune, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con nota del XX prot. n. XX il Comune ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha rappresentato che:

• “il carattere meramente colposo dell’evento è testimoniato dalle circostanze che hanno determinato la violazione di dati personali: nello specifico l’operatore […], dovendo contemporaneamente inviare via PEC l’avviso di avvenuta notificazione in favore della Procura […] e via e-mail la comunicazione informativa in materia di Covid-19 in favore dei commercianti del territorio, è intercorso in un mero errore umano allegando il file contenete dati personali alla e-mail anziché alla PEC”;

• circa “l’attività di formazione e sensibilizzazione del personale […] La data prevista per la formazione è il XX […] Affinché l’attività di sensibilizzazione acquisisca maggior efficacia, l’Ente ha inteso coinvolgere l’intero personale chiamato a trattare i dati personali”;

• “da un punto di vista puramente tecnico, il Comune di Besozzo ha adottato determinate misure correttive volte a prevenire il ripetersi di scenari come quello verificatosi in data XX. Con esclusivo riferimento alle comunicazioni contenenti dati giudiziari, si provvede a generare un file “zippato” e crittografato protetto da specifica password. La comunicazione della stessa avviene in modalità asincrona tramite telefonata”.

Sono stati, altresì, allegati i documenti tra cui le notifiche agli interessati della violazione avvenuta, il programma della giornata formativa prevista per il XX e la comunicazione ai terzi soggetti destinatari del decreto di citazione con invito a cancellare quanto ricevuto.

3. Esito dell’attività istruttoria.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, che di fatto riconoscono quanto contestato, emerge che il Comune ha effettuato una comunicazione di dati identificativi (anagrafici, di contatto) e di dati relativi a condanne penali e reati in assenza di un idoneo presupposto giuridico, in violazione degli artt. 6 e 10 del Regolamento, 2-ter e 2-octies del Codice e quindi del principio di liceità del trattamento di cui all’artt. 5, par. 1, lett. a).

La comunicazione non autorizzata di dati personali a “terzi” soggetti deriva anche dall’assenza di adeguate misure tecniche e organizzative, in violazione del principio di “riservatezza” di cui all’art. 5, par. 1, lett. f) del Regolamento e dell’art. 32 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria volte a evidenziare che la violazione è stata determinata da un mero errore materiale, si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali, anche relativi a condanne penali e reati, in quanto effettuato in assenza di un idoneo presupposto giuridico e di adeguate misure tecniche e organizzative, in violazione degli artt. 5, 6, 10 e 32 del Regolamento, 2-ter e 2-octies del Codice e, quindi, dei principi di liceità e riservatezza del trattamento di cui all’art. 5, par. 1, lett. a) ed f) del Regolamento.

A prescindere dalla notificazione della violazione di dati personali effettuata dal titolare del trattamento in osservanza dell’obbligo di cui all’art. 33 del Regolamento, i profili di illiceità del trattamento rilevati nel caso di specie, quale conseguenza della mancata adozione di misure tecniche e organizzative adeguate, richiedono comunque l'intervento correttivo di questa Autorità al fine di salvaguardare i diritti e le libertà fondamentali degli interessati.

Ciò premesso, tuttavia, dalla documentazione in atti e dalle dichiarazioni fornite dal titolare del trattamento, risulta che l’episodio è stato unico e isolato e determinato da un errore umano di un operatore comunale; l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto gli interessati; dopo l’evento sono state prontamente adottate misure correttive volte a prevenire il ripetersi di comunicazione illecita di dati personali relativi a condanne penali e reati; non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposte misure correttive di cui all’art. 58 del Regolamento; il Comune ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento, avendo fornito elementi istruttori con la massima tempestività. Le circostanze del caso concreto inducono, pertanto, a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) 2016/679.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, che occorra ammonire il Comune, in qualità di titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione degli artt. 5, par. 1, lett. a) ed f), 6, 10 e 32 del Regolamento e 2-ter e 2-octies del Codice e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dal Comune di Besozzo, per la violazione degli artt. 5, par. 1, lett. a) ed f), 6, 10 e 32 del Regolamento e 2-ter e 2-octies del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il predetto Comune, quale titolare del trattamento in questione, per aver violato gli artt. 5, 6, 10 e 32 del Regolamento e 2-ter e 2-octies del Codice, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia