[doc. web n. 9995290]

Provvedimento del 24 gennaio 2024

Registro dei provvedimenti
n. 43 del 24 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”), in particolare gli artt. 32, 33, 34, 56 e 60;

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida”);

VISTA la notifica di violazione dei dati personali di Stadion s.r.l. del 27 febbraio 2021, relativa a una violazione di dati personali subita il giorno precedente e la successiva notifica integrativa del 23 aprile 2021, nonché le ulteriori integrazioni e risposte alle richieste di informazioni formulate da questo Dipartimento, l’ultima delle quali pervenuta nel mese di marzo 2023;

RILEVATO che il titolare del trattamento ha notificato la violazione dei dati personali al Garante senza ingiustificato ritardo dal momento in cui ne è venuto a conoscenza;

CONSIDERATO che la violazione è consistita nell’estrazione illecita ad opera di ignoti di dati personali relativi a 2905 interessati, utenti del sito web operato dalla Società, www.stadionaste.it, contenuti nel database del medesimo sito;

CONSIDERATO che i dati personali oggetto di violazione sono stati: nome, cognome, indirizzo, numero di telefono, indirizzo email, codice fiscale, tipo e numero di documento;

CONSIDERATO che la Società ha comunicato la violazione agli interessati in data 2 marzo 2021, in base al disposto dell’art. 34 del Regolamento;

CONSIDERATO che, sulla base di quanto emerso nell’istruttoria, la violazione dei dati personali è avvenuta sfruttando una vulnerabilità del sito web della Società ad attacchi di tipo SQL-Injection: l’aggressore è riuscito ad aver accesso al database delle utenze e ha estratto i dati personali lì custoditi dal titolare del trattamento;

RILEVATO che, sebbene il sito web fosse disponibile solo in lingua italiana, l’utenza è risultata essere internazionale ed ha interessato cittadini di vari stati membri dell’Unione europea;

RILEVATA dunque la necessità di aprire, ai sensi dell’art. 56 del Regolamento, una procedura nell’ambito del “Sistema di informazione del mercato interno” (cd. Sistema IMI), in quanto autorità di controllo capofila, avendo il titolare la propria sede legale in Italia;

VISTO che, nell’ambito del sistema IMI si sono dichiarate “Autorità interessate” (CSA), n. 13 autorità di altrettanti Paesi e, in particolare (in ordine di dichiarazione di interesse): Slovacchia, Germania (SA Berlino), Francia, Polonia, Slovenia, Lussemburgo, Spagna, Ungheria, Lituania, Paesi Bassi, Germania (SA Rhineland-Palatinate), Austria, Portogallo;

CONSIDERATO che, alla luce di tutte le dichiarazioni rese a seguito della violazione, il titolare del trattamento ha confermato di aver adottato ulteriori misure per adeguare la sicurezza del trattamento e prevenire ulteriori violazioni di dati personali: in particolare, il titolare del trattamento ha confermato di aver “potenziato il codice delle pagine del sito […] per evitare ulteriori [vulnerabilità di tipo] SQL Injection”, di aver adottato tecniche crittografiche per la conservazione delle password degli utenti, di aver “elevat[o] la complessità delle password aumentando la quantità minima di caratteri richiesti e la relativa tipologia” e di averne previsto l’ “aggiornamento periodico”, nonché di aver predisposto un “regolare controllo delle attività anomale sugli accessi al sito e sulle richieste dei dati”;

RITENUTO che dall’esame degli atti non si ravvisi, allo stato, inosservanza degli obblighi di cui agli artt. 33 e 34 del Regolamento;

VISTO l’art. 60, par. 3 del Regolamento secondo cui l’autorità “trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni”;

VISTO il progetto di decisione finale di archiviazione approvato dal Collegio con il provvedimento n. 252 dell’8 giugno 2023;

VISTA la condivisione del progetto di decisione finale di archiviazione tramite il Sistema d’informazione del mercato interno (IMI) avvenuta l’11 ottobre 2023;

CONSIDERATO che nessuna delle “Autorità interessate” ha sollevato obiezioni motivate al progetto di decisione finale di archiviazione entro il termine previsto del 9 novembre 2023;

VISTO l’art. 60, par. 7 del Regolamento secondo cui “l'autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale […] del titolare del trattamento […], e informa le altre autorità di controllo interessate e il comitato la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti”;

TENUTO CONTO che, in ogni caso, ai sensi dell’art. 19, comma 6, del Regolamento interno del Garante n. 1/2019, è fatta salva l’attività di controllo, anche con riferimento ad affari già oggetto di archiviazione, in caso di sopravvenuti elementi di fatto o di diritto ovvero di diversa e ulteriore valutazione del Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 60, par. 7 adotta la presente decisione finale di archiviazione del procedimento nei confronti di Stadion s.r.l., P. IVA 00821350329, con sede legale in Trieste, Riva Tommaso Gulli 10/A, pec certificata@pec.stadionaste.it, non ravvisando, allo stato, elementi di violazione del Regolamento,

Roma, 24 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei