g-docweb-display Portlet

Provvedimento su data breach - 15 aprile 2021 [9591241]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9591241]

Provvedimento su data breach - 15 aprile 2021

Registro dei provvedimenti
n. 154 del 15 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la notifica preliminare di violazione dei dati personali trasmessa, ai sensi dell’art. 33 del Regolamento, il 15 luglio 2020 dal Comune di Recco, nella quale si rappresentava che “un operatore del servizio sociale ha inviato una e-mail contenente dati personali di due minori, appartenenti a nuclei seguiti dal servizio sociale stesso, ad uno dei genitori di un terzo minore, anch’esso seguito dal servizio. Il ricevente ha contattato l’operatore che ha inviato la e-mail dicendo di essersi accorto dell’errore e di aver immediatamente eliminato la mail.”, e che, in merito alla tipologia di dati personali coinvolti, il titolare rappresentava che “La mail inviata conteneva un file di excell composto da tre fogli, il primo foglio è stato compilato con i dati relativi alla situazione sociale del ricevente, mentre il secondo foglio conteneva il nome e cognome del minore e una breve descrizione degli obiettivi dell'intervento educativo relativo al minore stesso. Il terzo foglio conteneva nome, cognome e data di nascita del minore, recapiti telefonici dei famigliari del minore, composizione del nucleo famigliare del minore, situazione sociale del nucleo, scuola frequentata dal minore, riferimenti del provvedimento dell'Autorità Giudiziaria a cui è sottoposto il minore, obiettivi dell'intervento educativo, caratteristiche comportamentali del minore”;

VISTA la successiva integrazione della notifica di violazione dei dati personali, ai sensi dell’art. 33, par. 4, del Regolamento, trasmessa, su sollecitazione dell’Autorità, il 10 aprile 2021, con la quale il titolare ha rappresentato di confermare quanto indicato nella notifica preliminare, poiché non erano emersi elementi tali da modificare quanto già notificato, in merito alle caratteristiche della violazione, alla tipologia di dati coinvolti e alle categorie di interessati;

RITENUTO quindi che quanto rappresentato dal Comune nella notifica preliminare relativamente alla valutazione dei rischi per i diritti e le libertà degli interessati nonché alla comunicazione agli interessati ai sensi dell’art. 34 del Regolamento si deve ritenere confermato nella comunicazione integrativa;

VISTA la valutazione effettuata dal titolare in merito alla gravità della violazione, ritenuta di livello medio, in considerazione del fatto che: “La persona che ha ricevuto la e-mail si è accorta dell'errore ed ha comunicato al servizio inviante l'accaduto, specificando di non aver stampato i fogli che non si riferivano alla propria situazione e di aver provveduto immediatamente alla cancellazione della e-mail. Il ricevente non ha alcun interesse a trattenere ed utilizzare per interessi personali i dati erroneamente ricevuti “;

VISTA la conseguente decisione del titolare di non effettuare la comunicazione agli interessati coinvolti, ai sensi dell’art. 34 del Regolamento;

VISTO l’art. 34, par. 1, del Regolamento che stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”, fatti salvi i casi in cui tale comunicazione non è richiesta in quanto risulta essere soddisfatta una delle condizioni previste al par. 3 del medesimo articolo;

VISTI i considerando nn. 75 e 76 del Regolamento che suggeriscono che, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva;

VISTE le citate “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” che hanno, fra l’altro, individuato i fattori da considerare nella valutazione del rischio – presentato da una violazione dei dati personali – per i diritti e le libertà delle persone fisiche: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate;

CONSIDERATA la tipologia di dati personali oggetto di violazione, che rientrano nella categoria dei dati particolari, individuati dall’art. 9 del Regolamento;

CONSIDERATO altresì che i dati oggetto di violazione si riferiscono a minori;

CONSIDERATA la condizione di disagio e di fragilità degli interessati a cui si riferiscono i dati personali oggetto di violazione;

CONSIDERATO che, alla luce di un complessivo esame delle circostanze portate all’attenzione dell’Autorità e degli elementi acquisiti, la violazione dei dati personali in argomento è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati;

RAVVISATA la necessità di esercitare il potere dell’Autorità di ingiungere, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, al titolare del trattamento di comunicare agli interessati la violazione dei dati personali;

RITENUTO necessario disporre che la predetta comunicazione sia effettuata senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento;

RILEVATA l’urgenza di comunicare la violazione dei dati personali agli interessati;

TENUTO CONTO che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”;

RITENUTO, altresì, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e art. 157 del Codice, di ingiungere al Comune di Recco di fornire all’Autorità, entro i successivi sette giorni, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione agli interessati, nonché alle eventuali ulteriori misure adottate per attenuare i possibili effetti negativi della violazione nei confronti degli interessati;

RISERVATA in ogni caso, con ulteriori approfondimenti istruttori, la possibilità di verificare la conformità al Regolamento dei trattamenti effettuati, oltre agli aspetti critici evidenziati nel presente provvedimento, che rivestono carattere di urgenza;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi del combinato disposto degli artt. 34, par. 4 e 58, par. 2, lett. e), del Regolamento, ingiunge al Comune di Recco di comunicare la violazione dei dati personali agli interessati coinvolti senza ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento;

2) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge altresì al Comune di Recco di fornire all’Autorità, entro sette giorni dal completamento delle comunicazioni di cui al punto 1) precedente, un riscontro adeguatamente documentato in merito alle iniziative intraprese e alle eventuali ulteriori misure adottate per attenuare i possibili effetti pregiudizievoli della violazione nei confronti degli interessati. Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa ai sensi del combinato disposto degli artt. 83, par. 5, lett. e), del Regolamento e 166 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei