g-docweb-display Portlet

Diffusione di dati personali su un sito web - 31 gennaio 2017 [6026547]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 28 febbraio 2017

 

[doc. web n. 6026547]

Diffusione di dati personali su un sito web - 31 gennaio 2017

Registro dei provvedimenti
n. 35 del 31 gennaio 2017

 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la comunicazione pervenuta il 18 gennaio 2017 con la quale si è segnalato che, accedendo all´area riservata ai clienti di GORI s.p.a., all´indirizzo web http://prontoweb.goriacqua.it/..., risultano liberamente consultabili una serie di link a file e cartelle contenenti dati personali riferiti al segnalante e ad altri soggetti concernenti operazioni di pagamento effettuate tramite detto sito web;

RILEVATO dall´Ufficio che, accedendo all´indirizzo web menzionato (cfr. all. C al verbale 26 gennaio 2017), è possibile consultare ulteriori cartelle recanti link ad operazioni effettuate a partire dal 2015, denominate LOG_XY (cfr. all. D al verbale 26 gennaio 2017) e LOG_XX (cfr. all. H); ciascun link, ordinato cronologicamente, rinvia ad una pluralità di transazioni (concernenti fatture emesse dalla società per la fornitura del servizio idrico) dalle quali sono desumibili una pluralità di dati personali riguardanti i soggetti che hanno effettuato versamenti alla società, quali nome, cognome, indirizzo, numero della carta di credito, parzialmente oscurato, e data di scadenza della stessa (v., a titolo esemplificativo, i dati contenuti nell´all. E, che riproduce il file prontoweb.goriacqua.com/..., e nell´all. F, che riproduce il file prontoweb.goriacqua.com/..., nonché quelli contenuti nell´all. G, che riproduce il file prontoweb.goriacqua.com/...);

CONSIDERATO che l´indirizzo http://prontoweb.goriacqua.it/... (e le ulteriori cartelle e file cui tramite lo stesso è possibile accedere), ancorché non immediatamente accessibile navigando sul sito, può essere agevolmente visualizzato digitando la specifica URL nella barra di ricerca del browser o, come accaduto al segnalante, selezionando solo una parte della URL visualizzata al momento del pagamento (http://prontoweb.goriacqua.com/...);

RITENUTO che, al di là dell´indebita diffusione di dati personali che viene a realizzarsi mediante la descritta modalità di visualizzazione delle informazioni sul sito web della Società (con conseguente violazione degli artt. 3 e 11 nonché 23 e 24 del Codice), deve altresì ritenersi sussistente il rischio di un pregiudizio rilevante per gli interessati (tra gli altri, quello di furto d´identità), in ragione della tipologia e della numerosità dei dati oggetto diffusione;

CONSIDERATO che il Garante ha il compito di vietare anche d´ufficio il trattamento, in tutto o in parte, o di disporre il blocco dei dati personali quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati (artt. 143, comma 1, lett. c, 144 e 154, comma 1, lett. d, del Codice);

RITENUTO quindi di adottare nei confronti di GORI s.p.a., in via di urgenza, anche al fine di impedire l´ulteriore diffusione dei dati sopra descritti, un provvedimento volto a disporre cautelativamente – con effetto immediato a decorrere dalla data di ricezione dello stesso - l´adozione, senza ritardo, di ogni necessaria misura idonea a determinare il blocco della diffusione dei dati personali resi pubblicamente accessibili all´indirizzo web http://prontoweb.goriacqua.it/...;

RISERVATA la possibilità di adottare successivamente nei confronti di GORI s.p.a., con particolare riferimento alla menzionata diffusione, un provvedimento ai sensi dell´art. 154, comma 1, lett. c), del Codice, volto a prescrivere alla società le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;

FATTA SALVA, con autonomo procedimento, la verifica dei presupposti per l´eventuale contestazione della violazione delle disposizioni rilevanti in materia di protezione dei dati personali, con particolare riferimento agli artt. 23 e 162, del Codice;

CONSIDERATO che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di blocco è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTO l´art. 5, comma 8 del Regolamento n. 1/2000 e considerata la ricorrenza dei presupposti per la sua applicazione;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

TUTTO CIÒ PREMESSO

a) dispone, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, il blocco del trattamento di dati personali effettuato da GORI s.p.a., con sede legale in Ercolano Via Trentola, 211, relativo alla diffusione di dati personali come descritto in narrativa;

b) prescrive di comunicare, ai sensi dell´art. 157 del Codice, le cause che hanno determinato la descritta diffusione di dati personali, anche con riferimento agli obblighi previsti dagli artt. 31 ss. del Codice, nonché quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro 7 giorni dalla ricezione dello stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma,  31 gennaio 2017

IL PRESIDENTE
Soro