L’ adozione di una password per l’accesso e la chiusura a chiave della porta di accesso alla stanza non rappresentano idonee misure di sicurezza per la privacy

L’ adozione di una password, di soli 4 caratteri, per l’accesso ai computer e la chiusura a chiave della porta di accesso alla stanza, contenente i sistemi di videosorveglianza, non rappresentano idonee misure di sicurezza per la privacy

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.371 del 31/05/2018

Riferimenti normativi: artt. 33, 26 del Codice in materia di protezione della privacy;

Fatto

Una società operante nel campo di vendita di autovetture era stata raggiunta da una contestazione da parte della Guardia di finanza del nucleo speciale privacy per aver violato le disposizioni contenute nel codice per la protezione dei dati personali in materia di: (i) adozione delle misure minime di sicurezza, volte ad assicurare la protezione dei dati personali e sensibili degli interessati; (ii) acquisizione del consenso scritto per il trattamento dei dati sensibili; (iii) omessa presentazione della notificazione al Garante.
In particolare la Guardia di Finanza, nel corso degli accertamenti ispettivi da questa condotti, in riferimento alle postazioni informatiche in uso presso i locali della Società, aveva appurato che l’accesso al PC, nel quale erano presenti dati personali dei clienti, era consentito tramite l’inserimento di una password di soli quattro caratteri alfanumerici.
In riferimento alle modalità di funzionamento del sistema di videosorveglianza, invece, la Guardia di Finanza aveva rilevato che l’accesso alle immagini riprese dal sistema in uso presso i locali della Società avveniva senza la necessità di eseguire una procedura di autenticazione informatica.
Infine in occasione dell’ispezione l’Autorità competente in riferimento alla natura dei dati trattati per lo svolgimento delle attività commerciali ha appurato che la Società, nel caso in cui il cliente faceva richiesta dell’applicazione dell’IVA agevolata prevista per persone portatrici di handicap, raccoglieva informazioni e documenti idonei a rilevare lo stato di salute del cliente senza acquisire il previsto consenso in forma scritta da parte degli interessati.
La Società, a seguito dell’avvenuta ispezione e successiva contestazione degli addebiti, aveva presentato le proprie giustificazioni in riferimento alle diverse violazioni a lei imputate. Con riguardo all’accesso ai PC la Società aveva affermato l’uniformità di questo ai dettami del Codice sulla privacy, sostenendo che quanto l’inserimento della password di quattro caratteri dava l’accesso al mero desktop del PC, sul quale non era presente nessun dato sensibile o personale del cliente, viceversa l’accesso ai dati personali e sensibili, raccolti su un sistema protetto, era consentito solo attraverso l’autenticazione con username e password composta da dieci caratteri.
In riferimento al sistema di videosorveglianza la Società aveva chiarito che l’accesso alle immagini era consentito solo alla figura eletta responsabile del trattamento dei dati personali, in quanto l’unico ad avere la disponibilità della chiave del locale ove era custodito l’impianto di videosorveglianza. In tal modo, e cioè con la presenza di una chiave fisica, la Società – secondo il suo discernimento – aveva dimostrato che l’accesso alle immagini era protetto da possibili intrusioni dei non autorizzati.
Infine, con riguardo alla raccolta e trattamento dei dati sensibili dei clienti, che facevano richiesta dell’IVA agevolata per i portatori di handicap, la Società aveva specificato che contestualmente all’elaborazione del preventivo con l’IVA agevolata, al cliente veniva fatto sottoscrivere, oltre al consenso ex art. 23 codice privacy in calce all’informativa, uno specifico consenso al trattamento dei dati sensibili su un separato foglio.

La decisione del Garante

Il Garante, valutate le argomentazioni addotte dalla Società in difesa delle accuse mosse, ha ritenute accertate le violazioni imputate riconoscendo, dunque, una responsabilità della Società, e ritenendo le condotte poste in essere contrarie alle norme disposte dal Garante a tutele dei dati personali e sensibili degli interessati. Ha, quindi, condannato la Società al pagamento di una sanzione amministrativa.
In specie l’Autorità giudicante, tenuto conto di quanto emerso dall’ispezione e quanto dalle giustificazioni offerte dalla Società, ha ritenuto che il sistema di autenticazione previsto per l’accesso ai PC non era idoneo a dare una idonea protezione ai dati personali contenuti nel PC, in quanto non conforme ai parametri di protezione pensati dal Garante. Infatti, la parte riservata delle credenziali di autenticazione assegnate al dipendente risultava composta di solo quattro caratteri e non otto come prescritti.
Con riguardo al sistema di videosorveglianza il Garante ha rilevato che l’accesso all’impianto avveniva in assenza di una procedura di autenticazione informatica, in violazione delle regole prescritte dal Garante. Infatti l’esistenza di protezioni meramente fisiche, come un locale chiuso a chiave, non possono essere ritenute sufficienti a escludere ogni possibile accesso al sistema. Il Garante ha ricordato che le norme in materia di adozione delle misure minime di sicurezza non prevedono deroghe all’implementazione di un idoneo sistema di autenticazione, laddove siano previste misure fisiche atte a circoscrivere l’accesso agli strumenti informatici.
In fine il Garante ha analizzato il trattamento dei dati sensibili operato dalla Società di soggetti con disabilità. L’Autorità giudicante ha ribadito che il trattamento dei dati idonei a rilevare lo stato di salute e la vita sessuale, c.d dati sensibili, necessita dell’acquisizione del consenso in forma scritta degli interessati, e ha rilevato che nel caso di specie non è stata dimostrata l’acquisizione di detto consenso – i documenti depositati dalla Società si riferivano a modelli di acquisizione del consenso per i trattamenti aventi finalità promozionali – ritenendo, dunque, che la Società abbia posto in essere un trattamento dei dati sensibili in carenza del consenso.

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!