Telefono e Fax
Tel: 0172425634 Fax: 0172439098

Privacy: quanto costa perdere un hard disk esterno

Mercoledì 24/02/2021

a cura di Studio Valter Franco


Sul sito del Garante per la Protezione dei Dati Personali è stato pubblicato il Provvedimento del 14 gennaio 2021 (doc. web 9538748) che riguarda il caso dell'Agenzia Regionale Protezione Ambientale della Campania (ARPAC) che ha subito il furto di un hard disk esterno.

L'ARPAC notificava ai sensi dell'art. 33 del Regolamento UE 679/20161 il furto di un hard disk esterno nel quale erano contenuti dati personali (copie di documenti di riconoscimento, CUD, modelli F24 - 730, buste paga, pratiche di rimborso etc.).

Il Garante osserva che tale situazione ha comportato una illecita sottrazione e possibile divulgazione non autorizzata dei dati contenuti nell'hard disk esterno", e quindi che essa, "in virtù del numero degli interessati, della natura, numero e grado di sensibilità dei dati personali violati possa determinare un conseguente rischio per le libertà e i diritti degli interessati"; inoltre, avrebbe compromesso sia la riservatezza dei summenzionati dati che la loro disponibilità, in quanto "il salvataggio di backup non [era] andato a buon fine, di conseguenza i dati [erano] andati quasi tutti irreparabilmente persi". Come specificato nella denuncia al Comando dei Carabinieri effettuata in data XX, "I dati in questione erano stati oggetto di backup il XX, pertanto quelli salvati successivamente alla citata data sono andati persi"; l'hard disk oggetto di sottrazione sarebbe stato "collegato al server installato in una stanza alla quale può accedere qualsiasi dipendente", nonché i dipendenti dell'ARPAC Multiservizi, società in house dell'Agenzia.

L'ARPAC presentava scritti difensivi (art. 166 c. 6 del Codice2) evidenziando che il server era protetto da password di accesso, che aveva contattato gli interessati per informarli del furto, che non appare vi siano conseguenze negative, che i dipendenti erano stati informati circa l'utilizzo improprio dei dati e dei danni che ne potevano conseguire.

Il Garante osserva che il titolare del trattamento e il responsabile del trattamento debbono mettere  in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento"  e che "Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati" .

Pertanto, si rileva l'illiceità del trattamento di dati personali effettuato dall' ARPAC, per non aver adottato misure tecniche e organizzative adeguate per assicurare la protezione da trattamenti non autorizzati o illeciti o dalla perdita, e per garantire un livello di sicurezza adeguato al rischio, in violazione degli artt. 5, par. 1, lett. f)3, e 32 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall'art. 83, par. 5, del Regolamento4, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo, ed ordina all'ARPAC di pagare la somma di euro 8.000,00 (ottomila/00).

Note:
1. art. 33 - RE 679/2016 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.
2. D.lgs. 196/2003 - art. 166 c 6. Entro trenta giorni dal ricevimento della comunicazione di cui al comma 5, il contravventore può inviare al Garante scritti difensivi o documenti e può chiedere di essere sentito dalla medesima autorità.
3. f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
4.   art. 83 c. 5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.
Le ultime news
Oggi
Il Decreto del 23 marzo 2021, pubblicato sulla Gazzetta Ufficiale n.83 del 7 aprile 2021 ha...
 
Oggi
L'articolo 1, comma 1, del DL 41/2021 (Decreto "Sostegni") prevede il riconoscimento di un contributo...
 
Oggi
Il visto di conformità, introdotto nel nostro sistema tributario dal DL n. 241 del 9 luglio 1997,...
 
Ieri
Stanno circolando false email inviate a nome dell'Agenzia delle Entrate relative a comunicazioni...
 
Ieri
L'articolo 26 del Decreto Rilancio ha previsto due crediti d'imposta finalizzati al rafforzamento patrimoniale...
 
Ieri
Con il P.O. 47/2020 l'ufficio Pronto Ordini del CNDCEC risponde ad un quesito posto dal Consiglio dell'Ordine...
 
Ieri
Con il Messaggio n. 1421 del 6 aprile 2021 l'Inps, a seguito delle indicazioni fornite con la circolare...
 
Ieri
Sul sito internet del Ministero del Lavoro e delle Politiche Sociali è stato pubblicato il Decreto...
 
Lunedì 12/04
Ricordiamo che il 15 aprile scade il termine per l’invio delle comunicazioni delle opzioni...
 
Lunedì 12/04
Lo segnala l'Agenzia Entrate nel comunicato stampa dell'8 aprile: sono partiti gli ordinativi di pagamento...
 
Lunedì 12/04
Ogniqualvolta l'evento generatore del debito IVA si verifichi prima dell'apertura della procedura...
 
Lunedì 12/04
L'Inps ricorda che, dall'8 aprile è attiva la procedura online per richiedere il nuovo...
 
Lunedì 12/04
Il 6 aprile scorso è stato sottoscritto il "Protocollo condiviso di aggiornamento delle misure...
 
Venerdì 09/04
La Fondazione Studi Consulenti del Lavoro ha pubblicato un approfondimento che, sulla base delle indicazioni...
 
Venerdì 09/04
L'Organismo Italiano di Contabilità (OIC) ha pubblicato sul proprio sito internet il documento...
 
Venerdì 09/04
In calo di circa il 15% le nuove società di capitale nel 2020 a causa della pandemia: questo quanto...
 
Venerdì 09/04
Con il Messaggio 6 aprile 2021, n. 1421 l'Inps va ad integrare le precedenti istruzioni fornite con...
 
Venerdì 09/04
Il 6 aprile 2021 è stata pubblicata sulla Gazzetta Ufficiale la Legge 1 aprile 2021, n. 46, che...
 
Venerdì 09/04
Scade a breve il termine entro cui i commercianti al minuto e le Agenzie di viaggio e turismo devono...
 
Giovedì 08/04
Con il decreto "Sostegni" (DL 22 marzo 2021, n. 41), approvato dal CdM nella seduta del 19 marzo 2021,...
 
Giovedì 08/04
Dal 13 aprile è possibile inviare le domande per gli incentivi legati al Nuovo bando Macchinari innovativi,...
 
altre notizie »
 

Studio Bertola di Bertola Giovanni e Bertola Federico

Piazza C.Alberto, 27 - 12042 Bra (CN)

Tel: 0172425634 - Fax: 0172439098

Email: info@studiobertola.it

P.IVA: 03522130040

Pagina Facebook Pagina Linkedin
Fotografia Gabriele Capra