>>>Leggi la decisione del garante<<<
1. I fatti
Il Garante per la protezione dei dati personali aveva ricevuto numerosi reclami in cui veniva lamentata la pubblicazione non autorizzata di numerosi dati personali all’interno di un sito web. In particolare, i reclamanti segnalavano che il nominativo, l’indirizzo di residenza e il loro numero di telefono erano consultabili all’interno di detto sito web, senza che gli stessi avessero mai autorizzato il loro inserimento nel sito ed anzi avendo appreso ciò soltanto attraverso delle ricerche del proprio nome in internet attraverso il motore di ricerca Google.
Nei reclami veniva, inoltre, esposto che i reclamanti avevano più volte richiesto la cancellazione dei propri dati attraverso il form presente nel sito, senza tuttavia riuscire ad ottenere la cancellazione neanche dopo molti mesi.
Infine, in tutti i reclami si dava conto del fatto che dal sito web in questione non fosse possibile ricavare alcun dato per poter identificare il proprietario del sito stesso e il titolare del trattamento dei dati.
Preso atto delle numerose segnalazioni, il Garante – verificato che dal sito web in questione non era possibile effettivamente risalire al titolare del trattamento o al proprietario del sito – era costretto a svolgere un accertamento preliminare per identificare il titolare del trattamento attraverso l’hosting provider che forniva il server dove era ospitato il sito web e poi, attraverso delle visure presso la camera di commercio, era riuscito ad individuare la ditta individuale proprietaria del sito.
Il Garante invitava, quindi, la ditta a fornire chiarimenti in merito ai reclami ricevuti e quest’ultima replicava sostenendo che tutti i dati erano stati acquisiti a seguito dell’inserimento manuale dei medesimi da parte degli interessati e che in ogni pagina del sito web era comunque presente un link che permetteva di richiedere la cancellazione dei dati (la quale avveniva entro le successive 72 ore).
Potrebbero interessarti anche:
- È illecita la pubblicazione di dati personali nell’albo pretorio comunale oltre il termine di 15 giorni previsto dalla normativa sulla pubblicazione degli atti pubblici
- La pubblicazione sul sito web aziendale della ASL dei dati relativi ai soggetti che hanno ottenuto un risarcimento danni dall’azienda sostanzia una illecita diffusione di dati anche relativi alla salute
- È illecita la pubblicazione on-line da parte della Regione di un documento contenente i dati personali di due soggetti creditori della stessa in virtù di una Sentenza esecutiva
2. La decisione del Garante
Dall’istruttoria svolta, il Garante ha ritenuto che le condotte poste in essere dalla ditta individuale configurino una violazione della normativa in materia di protezione dei dati personali.
In primo luogo, secondo il Garante il suddetto titolare del trattamento ha effettuato una diffusione di dati personali in assenza di idonea base giuridica.
Infatti, la ditta, per il tramite dei dati trattati nel sito web, ha creato un elenco telefonico che non origina dalla “base di dati unica” (c.d. DBU) degli operatori di comunicazione elettronica. A tale ultimo proposito, il Garante ricorda che gli elenchi telefonici alfabetici possono essere formati, distribuiti e diffusi soltanto se:
- sono basati sulla consultazione e l’accesso alla suddetta base di dati unica (cioè l’insieme dei dati che sono contenuti in tutti i data base degli operatori titolari di licenze per servizi di telecomunicazioni);
- è stato rilasciato il consenso espresso, libero, specifico, informato e documentato per iscritto degli interessati.
Ebbene, in ragione di quanto lamentato dai numerosi reclamanti e delle laconiche difese della ditta individuale, il Garante ritiene poco verosimile che i diversi segnalanti abbiano inserito in maniera autonoma i propri dati nell’elenco di cui si discute e ritenuto altresì che – anche qualora vi fosse stato un consenso iniziale di tali interessati (manifestato appunto mediante l’inserimento autonomo dei propri dati all’interno dell’elenco) – le successive richieste di cancellazione inviate alla ditta avrebbero comunque fatto venire meno la base giuridica del consenso degli interessati.
Pertanto, la diffusione dei dati personali dei reclamanti e degli altri interessati di cui all’elenco creato dalla ditta è avvenuto senza una idonea base giuridica che legittimasse detto trattamento.
In secondo luogo, il Garante ha riscontrato un’ulteriore violazione della normativa privacy, sostanziatasi nel mancato rispetto del diritto alla cancellazione dei dati personali.
A tal proposito, il Garante ha ritenuto che dall’istruttoria è emerso, da un lato, che i reclamanti non hanno potuto esercitare il proprio diritto alla cancellazione dei dati personali in quanto l’unico canale disponibile nel sito web per richiedere tale cancellazione non aveva portato alla cancellazione dei dati medesimi. Dall’altro lato, che le affermazioni della ditta individuale – secondo cui invece la cancellazione dei dati era avvenuta entro le 72 ore successive alle richieste inviate dagli interessati tramite il sito web – non è stata provata con alcuna evidenza informatica e comunque non appare credibile, posto che numerosi interessati si sono dovuti rivolgere al Garante per ottenere la rimozione dei propri dati dal sito.
Tale mancata cancellazione dei dati a seguito delle richieste degli interessati e il fatto che all’interno del sito web non era presente alcun riferimento che permettesse di identificare il titolare del trattamento, ha reso impossibile agli interessati esercitare il diritto di cancellazione e quindi ha determinato una violazione della normativa privacy.
In terzo luogo, il Garante ha ritenuto che la vicenda come emersa dall’istruttoria dimostra altresì che il titolare del trattamento non ha adottato delle misure tecniche e organizzative adeguate a garantire che il trattamento dei dati fosse effettuato in maniera conforme alla normativa privacy.
Infine, il Garante ha ritenuto che un’ulteriore violazione della suddetta normativa sia riscontrabile nel fatto che l’informativa ai sensi dell’art. 13 del GDPR resa agli interessati è risultata non idonea.
In particolare, nel form contenuto nel sito web dove viene richiesto l’inserimento dei dati personali, sono presenti le opzioni “accetto le condizioni di privacy” e “Autorizzo la pubblicazione dei miei dati online” nonché un link all’informativa, ma all’interno di quest’ultima non è presenta alcuna indicazione che permetta all’interessato di identificare il titolare del trattamento.
In considerazione di tutte le violazioni della normativa in materia di protezione dei dati personali come sopra descritte e della mancata cooperazione della ditta individuale con il Garante (data anche dal fatto che la ditta non ha documentato le proprie dichiarazioni), l’Autorità di controllo ha ritenuto di imporre alla ditta individuale il divieto di raccogliere, di continuare a conservare e di pubblicare i dati personali di tutti i soggetti contenuti nell’elenco, rispetto ai dati che non sono tratti dal DBU. Infine, come ulteriore sanzione a carico della ditta individuale, l’ha condannata al pagamento di una sanzione pecuniaria amministrativa di €. 50.000.
E-book consigliato
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento