[doc. web n. 9993122]

Provvedimento dell'8 febbraio 2024

Registro dei provvedimenti
n. 67 dell'8 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il reclamo presentato da un cittadino tedesco all’Autorità di controllo tedesca Baden-Wurttemberg con cui è stata lamentata una presunta violazione dei propri dati personali da parte di Gilmar Divisione Industria s.p.a. che gli aveva trasmesso, in formato non criptato, la password di accesso al sito www.gilmarbox.it nella e-mail di conferma della registrazione al medesimo sito;

CONSIDERATA la procedura IMI art. 56 aperta dall’Autorità di controllo tedesca di Baden-Wurttemberg in quanto avente ad oggetto un trattamento transfrontaliero di dati personali e comunicata alle altre Autorità di controllo europee in data 8 maggio 2019;

CONSIDERATO che il Garante ha dichiarato di essere Autorità capofila nella procedura in esame in quanto il titolare del trattamento ha lo stabilimento principale in Italia;

VISTO il progetto di decisione (“Draft Decision”), condiviso con le altre Autorità di controllo interessate, attraverso la piattaforma IMI in data 20 maggio 2020, che non è stato oggetto di alcuna obiezione pertinente e motivata da parte delle stesse, ma solo di alcune osservazioni da parte dell’Autorità tedesca di Baden-Wurttemberg e dell’autorità francese; l’Autorità tedesca chiedendo di invitare il titolare del trattamento a preferire l’utilizzazione di altre tecniche di conservazione della password (come Argon 2, soprattutto, o bcrypt, o PBKDF2), considerate ancora più sicure e l’Autorità francese che, malgrado abbia manifestato pieno accordo con la decisione di chiudere il procedimento, ha chiesto di dare comunque conto, nell’atto, dell’avvenuta violazione delle norme in materia di protezione dei dati personali a cui il titolare ha posto fine, a seguito dell’intervento del Garante;

VISTO il progetto di decisione riveduto (“Revised Draft Decision”), condiviso con le altre Autorità interessate in data 11 dicembre 2020 sulla base delle osservazioni presentate dall’autorità tedesca di Baden-Wurttemberg, che non è stato oggetto di alcuna obiezione pertinente e motivata da parte delle altre autorità interessate; in particolare, l’autorità tedesca ha condiviso la decisione modificata e l’autorità francese ha ribadito le posizioni già espresse in ordine al progetto di decisione, rimarcando ancora una volta l’esigenza di specificare quanto sopra;

VISTO il nuovo progetto di decisione riveduto (“Revised Draft Decision”) condiviso con le altre Autorità interessate in data 8 novembre 2023, modificato sulla base delle osservazioni presentate dall’Autorità francese, che non è stato oggetto di alcuna obiezione pertinente e motivata da parte delle altre Autorità ed è divenuto vincolante ai sensi dell’art. 60, par. 6, del Regolamento; 

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e l’attività istruttoria

La vicenda nasce da un reclamo presentato all’Autorità di controllo di Baden-Wurttemberg dal sig. David E. Burke con cui lo stesso lamentava un trattamento illecito dei suoi dati personali da parte di Gilmar Divisione Industria s.p.a., con sede legale in San Giovanni Marignano (RN), via Malpasso 723/725, che gli aveva trasmesso, in formato non criptato, la password di accesso al sito www.gilmarbox.it nella e-mail di conferma della registrazione al medesimo sito, facendo con ciò dubitare dell’adeguatezza delle misure di sicurezza adottate a tutela dei dati personali.  

Il Garante, Autorità capofila nella procedura in esame in quanto il titolare del trattamento ha lo stabilimento principale in Italia, ha inviato, con nota del 16 luglio 2019, una richiesta di informazioni a Gilmar Divisione Industria s.p.a., chiedendo alla società di fornire chiarimenti in relazione alle misure tecniche e organizzative adottate per garantire la sicurezza del trattamento in questione, con particolare riferimento alla descrizione:

della procedura di registrazione adottata al sito www.gilmarbox.it, comprensiva delle motivazioni per cui la password scelta dall'utente viene inviata a quest'ultimo all'interno dell'e-mail di conferma della registrazione

delle misure adottate per la memorizzazione delle password degli utenti registrati comprese le tecniche di crittografia (quali hashing e salting) applicate per proteggerle;

Con nota del 16 settembre 2019, il titolare ha fornito riscontro al Garante chiarendo che la procedura prevedeva l'inserimento della password scelta dagli utenti nelle e-mail inviate per confermare il completamento della loro registrazione. Ogni password veniva successivamente archiviata in modo sicuro nel database dell’azienda in formato hash utilizzando l’algoritmo SHA256 e un salt diverso per ciascun utente.

Inoltre, il titolare del trattamento ha spiegato di aver deciso di rafforzare la sicurezza del trattamento a seguito di questo reclamo astenendosi dall’includere le password degli utenti nelle e-mail di conferma della loro registrazione.

Al riguardo l’Autorità ha preso atto di quanto la Società ha rappresentato nelle sue osservazioni, anche alla luce dell’art. 168 del Codice, e ha condiviso, con le altre Autorità interessate, una bozza di decisione (“Draft Decision”) di chiusura del procedimento senza prevedere alcuna sanzione a carico di Gilmar Divisione Industria s.p.a..  

2. Valutazioni dell’Autorità

Alla luce delle risultanze dell’istruttoria, tenuto conto del fatto che si è trattato di un caso isolato e che il titolare ha provveduto spontaneamente a modificare la procedura, astenendosi dall’inserire la password impostata dall’utente nella e-mail di conferma della registrazione,  adottando altresì sistemi di memorizzazione delle password degli utenti mediante tecniche crittografiche, nonostante si sia configurata una violazione da parte del titolare della disciplina in materia di protezione dei dati personali nell’unico caso oggetto di reclamo, il Garante chiude il procedimento senza l’adozione di misure correttive o sanzionatorie ai sensi dell’art. 58, par. 2 del Regolamento, tenuto conto che l’intervento dell’Autorità “durante la trattazione del reclamo ha indotto il titolare del trattamento a porre fine alla violazione e a soddisfare pienamente la richiesta del reclamante”.

L’Autorità ha effettuato “un’attenta valutazione delle circostanze del reclamo nel suo complesso al fine di mantenere inalterato il livello delle garanzie offerte agli interessati” in linea con quanto previsto dalle Linee Guida 2/2022 sull’applicazione dell’art. 60 del Regolamento generale sulla protezione dati, adottate dall’EDPB il 14.5.2022 (par. 232, 233, 234).

La presente decisione è adottata dal Garante ai sensi dell’art. 60, par. 7, del Regolamento in quanto Autorità capofila ed è notificata al titolare ai sensi del predetto articolo, invitando lo stesso ad una costante verifica e aggiornamento degli standard per garantire la sicurezza del trattamento.

Ai sensi dell’art. 60, par.7, del Regolamento, l'autorità di controllo di Baden-Wurttemberg, a cui è stato proposto il reclamo, è tenuta ad informare il reclamante riguardo a questa decisione.

TUTTO CIÒ PREMESSO, IL GARANTE

preso atto del riscontro fornito da Gilmar Divisione Industria s.p.a. in ordine alle misure di sicurezza adottate (che risultano essere state rafforzate nel corso del procedimento), nonché dell’attiva collaborazione della stessa:

a) conclude il procedimento in esame, ai sensi dell’art. 143, comma 3, del Codice, nonché dell’art. 11, comma 1, lett. d), 14 e 18 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali;

b) invita Gilmar Divisione Industria s.p.a., P.I. 03225310402, ai sensi degli artt. 57, par. 1, lett. d), a una costante verifica e aggiornamento degli standard per garantire la sicurezza del trattamento evidenziando inoltre che, nonostante il sistema adottato offra adeguate garanzie di sicurezza, esistono altre tecniche di conservazione della password (come Argon 2, soprattutto, o bcrypt, o PBKDF2), che sono considerate ancora più sicure.

Ai sensi dell’art. 60, par. 7, del Regolamento, il presente provvedimento è notificato al titolare del trattamento il quale, ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, può proporre opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni, se il ricorrente risiede all’estero.

Ai sensi dell’art. 60, par. 7, del Regolamento, l’autorità di controllo cui è stato proposto il reclamo informa il reclamante in merito al presente provvedimento.

Roma, 8 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi