g-docweb-display Portlet

Provvedimento del 6 aprile 2021 - Avvertimento generale ai sensi dell’articolo 58, paragrafo 2, lettera a), del Regolamento UE 2016/679 [9574600]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9574600]

Provvedimento del 6 aprile 2021 - Avvertimento generale ai sensi dell’articolo 58, paragrafo 2, lettera a), del Regolamento UE 2016/679
(Pubblicato sulla sulla Gazzetta Ufficiale n. 96 del 22 aprile 2021)

Registro dei provvedimenti
n. 130 del 6 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Regolamento generale sulla protezione dei dati” - di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i numerosi articoli di stampa che hanno diffuso la notizia relativa alla libera disponibilità in rete di dati personali di circa 533 milioni di utenti Facebook, probabile oggetto di una sottrazione data avvenuta nel 2019 grazie ad una vulnerabilità della piattaforma, asseritamente risolta nel corso dello stesso anno;

RILEVATO che, tra i dati personali oggetto di diffusione on-line risultano esservi numeri di telefonia cellulare, identificativi dell’account Facebook, nome, cognome, sesso dei titolari di account e data della loro creazione, nonché, in alcuni casi, data di nascita, elementi biografici, città di origine e attuale, status, denominazione del datore di lavoro e indirizzo di posta elettronica degli utenti;

CONSIDERATO, pertanto, che non può escludersi che fra i dati in questione ve ne possano essere anche alcuni riconducibili alle categorie particolari di dati personali;

CONSIDERATO che, nel caso di specie, l’autorità di controllo capofila, competente a esercitare i poteri di cui all’art. 58 del Regolamento, è l’autorità di controllo irlandese (Data Protection Commission - DPC) in quanto il titolare del trattamento (Facebook Ireland Limited, controllata da Facebook Inc., società di diritto statunitense) ha il suo stabilimento principale in Irlanda e che la stessa ha già avviato una procedura di cooperazione, ai sensi degli artt. 60 e ss. del Regolamento, nei confronti di Facebook in relazione alla specifica violazione di dati;

CONSIDERATO che, allo stato, non pare ancora chiara la natura e la portata effettiva della violazione e che, al contempo, trattandosi di fatti risalenti nel tempo, il titolare del trattamento pare aver già adottato misure atte a scongiurare il ripetersi di tale violazione avendo risolto la vulnerabilità del sistema a far data dall’agosto 2019;

CONSIDERATO che sembrerebbero essere coinvolti oltre 35 milioni di utenti italiani e che la libera disponibilità di tali informazioni comporta un elevato rischio per i diritti e le libertà delle persone fisiche, anche in ragione di possibili riutilizzi da parte di soggetti non autorizzati;

PRESO ATTO che al riguardo è stata rivolta una specifica richiesta di informazione a Facebook;

RILEVATO che, ai sensi dell’art. 2-decies del Codice, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati;

RITENUTO che qualsivoglia trattamento basato sull’utilizzo ulteriore di tali dati sia da considerare illecito in quanto effettuato in violazione del principio di liceità e senza alcuna valida base giuridica;

RITENUTO opportuno, nelle more dell’acquisizione di maggiori elementi informativi e data l’indeterminatezza dei potenziali destinatari, rivolgere, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento un avvertimento ai potenziali utilizzatori di detti dati, evidenziandone l’illiceità e le connesse responsabilità;

RITENUTO opportuno, per le medesime ragioni sopra esplicitate, disporre, ai sensi dall’art. 154-bis, comma 3, del Codice, la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica Italiana;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento n.1/2000;

RELATORE il Prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, § 2, lett. a), del Regolamento, avverte tutte le persone fisiche o giuridiche, le autorità pubbliche, i servizi e qualsiasi organismo che, singolarmente o insieme ad altri svolgano nell’ambito dei trattamenti di dati personali il ruolo di titolari o di responsabili del trattamento che eventuali trattamenti dei dati personali oggetto della violazione descritta in premessa, si porrebbero in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali;

b) ai sensi dell’art. 154-bis, comma 3, del Codice dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 6 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei