g-docweb-display Portlet

Provvedimento dell'8 aprile 2021 - Avvertimento generale ai sensi dell’articolo 58, paragrafo 2, lettera a), del Regolamento UE 2016/679 [9574917]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9574917]

Provvedimento dell'8 aprile 2021 - Avvertimento generale ai sensi dell’articolo 58, paragrafo 2, lettera a), del Regolamento UE 2016/679
(Pubblicato sulla sulla Gazzetta Ufficiale n. 96 del 22 aprile 2021)

Registro dei provvedimenti
n. 131 dell'8 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Regolamento generale sulla protezione dei dati” - di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli articoli di stampa che hanno recentemente diffuso la notizia relativa alla libera disponibilità in rete dei dati personali di circa 500 milioni di utenti Linkedin, oggetto di una sottrazione effettuata attraverso un’attività di web scraping;

RILEVATO che, tra i dati personali oggetto di diffusione on-line, parrebbero esservi i Linkedin ID, i nominativi completi, gli indirizzi email, i numeri di telefono, il genere, i collegamenti a profili di altri social network, i titoli professionali e le altre informazioni lavorative inserite nei propri profili dagli utenti;

CONSIDERATO che non può escludersi che fra i dati in questione ve ne possano essere anche alcuni riconducibili alle categorie particolari di dati personali;

CONSIDERATO che, nel caso di specie, l’autorità di controllo capofila, competente a esercitare i poteri di cui all’art. 58 del Regolamento, è l’autorità di controllo irlandese (Data Protection Commission - DPC) in quanto il titolare del trattamento (LinkedIn Ireland Unlimited Company, controllata da LinkedIn Corporation, società di diritto statunitense) ha il suo stabilimento principale a Dublino;

CONSIDERATO che, allo stato, non è ancora chiaro se la diffusione dei predetti dati sia stata determinata da una violazione dei dati personali;

CONSIDERATO che sembrerebbero essere coinvolti un numero di utenti molto elevato (500 milioni sugli oltre 740 milioni attualmente dichiarati dal provider), che l’Italia è uno dei Paesi europei con il numero maggiore di iscritti alla piattaforma e che la libera disponibilità di tali informazioni comporta un elevato rischio per i diritti e le libertà delle persone fisiche, anche in ragione di possibili riutilizzi da parte di soggetti non autorizzati;

PRESO ATTO che, al riguardo, l’Ufficio ha provveduto a formulare una specifica richiesta di informazioni a LinkedIn;

RILEVATO che, ai sensi dell’art. 2-decies del Codice, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati;

RITENUTO che qualsivoglia trattamento basato sull’utilizzo ulteriore di tali dati sia da considerare illecito in quanto effettuato in violazione del principio di liceità e senza alcuna valida base giuridica;

RITENUTO opportuno, nelle more dell’acquisizione di maggiori elementi informativi e data l’indeterminatezza dei potenziali destinatari, rivolgere, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento un avvertimento ai potenziali utilizzatori di detti dati, evidenziandone l’illiceità e le connesse responsabilità;

RITENUTO opportuno, per le medesime ragioni sopra esplicitate, disporre, ai sensi dall’art. 154-bis, comma 3, del Codice, la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica Italiana;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;

RELATORE il Prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, § 2, lett. a), del Regolamento, avverte tutte le persone fisiche o giuridiche, le autorità pubbliche, i servizi e qualsiasi organismo che, singolarmente o insieme ad altri, svolgano nell’ambito dei trattamenti di dati personali il ruolo di titolari o di responsabili del trattamento, che eventuali trattamenti dei dati personali oggetto della violazione descritta in premessa si porrebbero in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali;

b) ai sensi dell’art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 8 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei