g-docweb-display Portlet

Provvedimento del 1° dicembre 2022 [9838292]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9838292]

Provvedimento del 1° dicembre 2022

Registro dei provvedimenti
n. 410 del 1° dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la notifica di violazione dei dati personali trasmessa ai sensi dell’art. 33 del Regolamento, in forma completa, il 23 settembre 2022 da Vorwerk Italia s.a.s. di Vorwerk Management s.r.l., con la quale il titolare del trattamento ha dichiarato che:

a) il 19 settembre 2022 è avvenuta la violazione di dati personali di cui il titolare è venuto a conoscenza il 22 settembre 2022;

b) la natura della violazione riguarda la perdita di riservatezza e di disponibilità dei dati, causata da un’“azione intenzionale esterna” consistente nel “furto da parte di ignoti di un plico contenente n. 4 proposte d'ordine relative a prodotti Vorwerk, due delle quali corredate da assegni rilasciati dai clienti in relazione agli ordini medesimi” in quanto la “documentazione cartacea [era] temporaneamente custodita da incaricato alle vendite”;

c) la violazione riguarda circa n. 68 registrazioni di dati personali relativi a quattro interessati, tra cui dati anagrafici, di contatto, di accesso e di identificazione, dati di pagamento e relativi a documenti di riconoscimento nonché “dati e informazioni inerenti al prodotto Vorwerk oggetto di acquisto, ivi incluse modalità di pagamento e consegna e firma. Titoli di credito (n. 2 assegni bancari)”;

d) nello specifico, i documenti oggetto di furto da parte di ignoti “contengono o possono contenere: nome e cognome, telefono, indirizzo email, status di cliente, codice fiscale, codice destinatario, partita IVA, pec, sesso e data di nascita, luogo nascita, riferimento documento identificativo, informazioni su luogo e data di consegna del prodotto, descrizione del prodotto acquistato, descrizione delle modalità di pagamento, firma”;

e) “con riguardo al furto degli assegni bancari [possono emergere] potenziali problemi amministrativi connessi al blocco degli assegni in questione”;

RILEVATO che nella citata notificazione il titolare ha ritenuto che il livello di gravità del potenziale impatto per gli interessati fosse di livello “medio”, in quanto “le informazioni personali oggetto di data breach non comportano la possibilità di porre in essere direttamente azioni dispositive con riguardo, per esempio, ai rapporti bancari degli utenti, né consentono di dedurre direttamente informazioni sul loro stato patrimoniale. Per quanto attiene poi agli assegni bancari sottratti, in ogni caso non vi sarà alcun maggiore esborso, da parte dei clienti”;

RILEVATA la conseguente decisione del titolare di non effettuare la comunicazione agli interessati coinvolti, ai sensi dell’art. 34 del Regolamento;

VISTI i considerando nn. 75 e 76 del Regolamento, secondo cui nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva;

VISTE le citate “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” secondo cui i fattori da considerare nella valutazione del rischio presentato da una violazione dei dati personali per i diritti e le libertà delle persone fisiche sono, tra gli altri, il tipo di violazione, la natura e la numerosità dei dati personali violati per ciascun soggetto interessato, la facilità di identificazione, la gravità delle conseguenze per le persone fisiche;

CONSIDERATO che la natura e la numerosità dei dati violati per ciascun soggetto espongono gli interessati a danni potenziali di elevata gravità, quali il furto o l’usurpazione di identità o tentativi di truffa, e configurano la violazione occorsa, pertanto, come a rischio elevato per gli interessati;

VISTO l’art. 34, par. 1, del Regolamento che stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”, fatti salvi i casi in cui tale comunicazione non è richiesta in quanto risulta essere soddisfatta una delle condizioni previste al par. 3 del medesimo articolo;

CONSIDERATA l’insussistenza delle condizioni previste dal par. 3 dell’art. 34;

CONSIDERATO che, alla luce di un complessivo esame delle circostanze portate all’attenzione dell’Autorità la violazione dei dati personali in argomento è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati;

RAVVISATA, dunque, la necessità di esercitare il potere dell’Autorità di ingiungere al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, di comunicare agli interessati la violazione dei loro dati personali;

RITENUTO necessario disporre che la predetta comunicazione sia effettuata senza ulteriore ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento;

RILEVATA l’urgenza di comunicare la violazione dei dati personali agli interessati;

TENUTO CONTO che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”;

RITENUTO, altresì, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di ingiungere a Vorwerk Italia s.a.s. di Vorwerk Management s.r.l. di fornire all’Autorità, con riferimento alla comunicazione della violazione dei dati personali agli interessati, entro i successivi 10 giorni, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione agli interessati, nonché alle eventuali ulteriori misure adottate per attenuare i possibili effetti negativi della violazione nei confronti degli interessati;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi del combinato disposto degli artt. 34, par. 4 e 58, par. 2, lett. e), del Regolamento, ingiunge a Vorwerk Italia s.a.s. di Vorwerk Management s.r.l., P.IVA 00793630153, sede legale in Milano, via Ludovico di Breme 33, indirizzo PEC direzioneamminvorwerkitalia@pec.net, di comunicare la violazione dei dati personali agli interessati coinvolti senza ulteriore ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento;

2)  ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge altresì a Vorwerk Italia s.a.s. di Vorwerk Management s.r.l. di fornire all’Autorità, entro 10 giorni dal completamento delle comunicazioni di cui al precedente punto 1), un riscontro adeguatamente documentato in merito alle iniziative intraprese e alle eventuali ulteriori misure adottate per attenuare i possibili effetti pregiudizievoli della violazione nei confronti degli interessati. Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa ai sensi del combinato disposto degli artt. 83, par. 5, lett. e), del Regolamento e 166 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152, comma 1 bis del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei