Gazzetta n. 96 del 22 aprile 2021 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 6 aprile 2021
Avvertimento generale ai sensi dell'articolo 58, paragrafo 2, lettera a), del regolamento UE 2016/679. (Provvedimento n. 130).


IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati («Regolamento generale sulla protezione dei dati» - di seguito, «Regolamento»);
Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»);
Visti i numerosi articoli di stampa che hanno diffuso la notizia relativa alla libera disponibilita' in rete di dati personali di circa 533 milioni di utenti Facebook, probabile oggetto di una sottrazione dati avvenuta nel 2019 grazie ad una vulnerabilita' della piattaforma, asseritamente risolta nel corso dello stesso anno;
Rilevato che, tra i dati personali oggetto di diffusione on-line risultano esservi numeri di telefonia cellulare, identificativi dell'account Facebook, nome, cognome, sesso dei titolari di account e data della loro creazione, nonche', in alcuni casi, data di nascita, elementi biografici, citta' di origine e attuale, status, denominazione del datore di lavoro e indirizzo di posta elettronica degli utenti;
Considerato, pertanto, che non puo' escludersi che fra i dati in questione ve ne possano essere anche alcuni riconducibili alle categorie particolari di dati personali;
Considerato che, nel caso di specie, l'autorita' di controllo capofila, competente a esercitare i poteri di cui all'art. 58 del regolamento, e' l'autorita' di controllo irlandese (Data Protection Commission - DPC) in quanto il titolare del trattamento (Facebook Ireland Limited, controllata da Facebook Inc., societa' di diritto statunitense) ha il suo stabilimento principale in Irlanda e che la stessa ha gia' avviato una procedura di cooperazione, ai sensi degli articoli 60 e seguenti del regolamento, nei confronti di Facebook in relazione alla specifica violazione di dati;
Considerato che, allo stato, non pare ancora chiara la natura e la portata effettiva della violazione e che, al contempo, trattandosi di fatti risalenti nel tempo, il titolare del trattamento pare aver gia' adottato misure atte a scongiurare il ripetersi di tale violazione avendo risolto la vulnerabilita' del sistema a far data dall'agosto 2019;
Considerato che sembrerebbero essere coinvolti oltre 35 milioni di utenti italiani e che la libera disponibilita' di tali informazioni comporta un elevato rischio per i diritti e le liberta' delle persone fisiche, anche in ragione di possibili riutilizzi da parte di soggetti non autorizzati;
Preso atto che al riguardo e' stata rivolta una specifica richiesta di informazione a Facebook;
Rilevato che, ai sensi dell'art. 2-decies del Codice, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati;
Ritenuto che qualsivoglia trattamento basato sull'utilizzo ulteriore di tali dati sia da considerare illecito in quanto effettuato in violazione del principio di liceita' e senza alcuna valida base giuridica;
Ritenuto opportuno, nelle more dell'acquisizione di maggiori elementi informativi e data l'indeterminatezza dei potenziali destinatari, rivolgere, ai sensi dell'art. 58, par. 2, lettera a), del regolamento un avvertimento ai potenziali utilizzatori di detti dati, evidenziandone l'illiceita' e le connesse responsabilita';
Ritenuto opportuno, per le medesime ragioni sopra esplicitate, disporre, ai sensi dall'art. 154-bis, comma 3, del Codice, la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;
Relatore il prof. Pasquale Stanzione;

Tutto cio' premesso il Garante:

a) ai sensi dell'art. 58, par. 2, lettera a), del regolamento, avverte tutte le persone fisiche o giuridiche, le autorita' pubbliche, i servizi e qualsiasi organismo che, singolarmente o insieme ad altri svolgano nell'ambito dei trattamenti di dati personali il ruolo di titolari o di responsabili del trattamento che eventuali trattamenti dei dati personali oggetto della violazione descritta in premessa, si porrebbero in violazione degli articoli 5, par. 1, lettera a), 6 e 9 del regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali;
b) ai sensi dell'art. 154-bis, comma 3, del Codice dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 6 aprile 2021

Il presidente e relatore: Stanzione
Il segretario generale: Mattei