Studio Dorighelli
Contattaci

STUDIO DORIGHELLI

Privacy: quanto costa perdere un hard disk esterno


Sul sito del Garante per la Protezione dei Dati Personali è stato pubblicato il Provvedimento del 14 gennaio 2021 (doc. web 9538748) che riguarda il caso dell'Agenzia Regionale Protezione Ambientale della Campania (ARPAC) che ha subito il furto di un hard disk esterno. L'ARPAC notificava ai sensi dell'art. 33 del Regolamento UE 679/20161 il furto di un hard disk esterno nel quale erano contenuti dati personali (copie di documenti di riconoscimento, CUD, modelli F24 - 730, buste paga, pratiche di rimborso etc.). Il Garante osserva che tale situazione ha comportato una illecita sottrazione e possibile divulgazione non autorizzata dei dati contenuti nell'hard disk esterno", e quindi che essa, "in virtù del numero degli interessati, della natura, numero e grado di sensibilità dei dati personali violati possa determinare un conseguente rischio per le libertà e i diritti degli interessati"; inoltre, avrebbe compromesso sia la riservatezza dei summenzionati dati che la loro disponibilità, in quanto "il salvataggio di backup non [era] andato a buon fine, di conseguenza i dati [erano] andati quasi tutti irreparabilmente persi". Come specificato nella denuncia al Comando dei Carabinieri effettuata in data XX, "I dati in questione erano stati oggetto di backup il XX, pertanto quelli salvati successivamente alla citata data sono andati persi"; l'hard disk oggetto di sottrazione sarebbe stato "collegato al server installato in una stanza alla quale può accedere qualsiasi dipendente", nonché i dipendenti dell'ARPAC Multiservizi, società in house dell'Agenzia. L'ARPAC presentava scritti difensivi (art. 166 c. 6 del Codice2) evidenziando che il server era protetto da password di accesso, che aveva contattato gli interessati per informarli del furto, che non appare vi siano conseguenze negative, che i dipendenti erano stati informati circa l'utilizzo improprio dei dati e dei danni che ne potevano conseguire. Il Garante osserva che il titolare del trattamento e il responsabile del trattamento debbono mettere  in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento"  e che "Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati" . Pertanto, si rileva l'illiceità del trattamento di dati personali effettuato dall' ARPAC, per non aver adottato misure tecniche e organizzative adeguate per assicurare la protezione da trattamenti non autorizzati o illeciti o dalla perdita, e per garantire un livello di sicurezza adeguato al rischio, in violazione degli artt. 5, par. 1, lett. f)3, e 32 del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall'art. 83, par. 5, del Regolamento4, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo, ed ordina all'ARPAC di pagare la somma di euro 8.000,00 (ottomila/00). Note: 1. art. 33 - RE 679/2016 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo. 2. D.lgs. 196/2003 - art. 166 c 6. Entro trenta giorni dal ricevimento della comunicazione di cui al comma 5, il contravventore può inviare al Garante scritti difensivi o documenti e può chiedere di essere sentito dalla medesima autorità. 3. f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). 4.   art. 83 c. 5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.


Professionisti

Conosci il team

Richiesta informazioni


Hai raggiunto il limite di caratteri consentiti.

Dichiarazione in merito al GDPR (Regolamento Generale Protezione dei Dati)

Il titolare del trattamento dati è Studio Dorighelli e dichiara che i dati acquisiti tramite il presente form verrà trattato nel seguente modo:

  • è utilizzato per l’evasione dell’attuale richiesta di informazioni/acquisto/iscrizione fino al suo espletamento e per nessuna ulteriore attività.
  • è conservato presso gli archivi aziendali senza data limite, fino a cancellazione autonomamente da parte dell’utente, volontaria da parte del Titolare o su esplicita richiesta di cancellazione da parte dell’utente.
  • è conservato per conto del Titolare da KUMBE, mantainer del Titolare per i servizi digitali, negli archivi cloud e relativi backup a loro volta gestiti in ottemperanza al GDPR per tutta la durata contrattuale con il Titolare -che ne può disporre in ogni momento- e fino a successiva cancellazione.
  • non verrà ceduto ad altri terzi, non verrà utilizzato per campagne di marketing salvo non sia contestualmente autorizzata tale opportunità.
  • verrai profilato in base alle informazioni contenute e il dato potrà essere utilizzato per elaborazione statistica.
  • la policy privacy completa puoi trovarla al link www.studiodorighelli.it/privacy. Per ogni informazione o richiesta puoi scriverci all'indirizzo info@studiodorighelli.it.

Dichiarazione in merito al GDPR (Regolamento Generale Protezione dei Dati)

In caso di sottoscrizione Newsletter dovrai confermare l’iscrizione per mezzo di mail di conferma inviata all’indirizzo inserito. In tal caso il trattamento prevede:

  • la profilazione dell’utente in gruppi, status, preferenze secondo quanto indicato e dedotto dalle informazioni inviate tramite il form o successiva autonoma profilazione.
  • l’utilizzo del dato per l’invio di comunicazione a mezzo digitale (email, whatsapp) e non (cartaceo) avente scopo informativo/commerciale.
  • l'utilizzo della mail per la generazione di campagne marketing e informative personalizzate, digitali e non.
  • la policy privacy completa puoi trovarla al link www.studiodorighelli.it/privacy. Per ogni informazione o richiesta puoi scriverci all'indirizzo info@studiodorighelli.it

Dove siamo

Studio Dorighelli
Corso Bettini, 58
38068 Rovereto (TN)
Tel: (+39) 0464 434955
Tel: (+39) 0464 433789
Fax: (+39) 0464 316095
info@studiodorighelli.it

ODC TRENTO

Grazie!

Ti abbiamo inviato un'email. Per attivare la newsletter clicca sul link che troverai nel messaggio, grazie!

Iscriviti alla nostra newsletter


Dichiarazione in merito al GDPR (Regolamento Generale Protezione dei Dati)

In caso di sottoscrizione Newsletter dovrai confermare l’iscrizione per mezzo di mail di conferma inviata all’indirizzo inserito. In tal caso il trattamento prevede:

  • la profilazione dell’utente in gruppi, status, preferenze secondo quanto indicato e dedotto dalle informazioni inviate tramite il form o successiva autonoma profilazione.
  • l’utilizzo del dato per l’invio di comunicazione a mezzo digitale (email, whatsapp) e non (cartaceo) avente scopo informativo/commerciale.
  • l'utilizzo della mail per la generazione di campagne marketing e informative personalizzate, digitali e non.
  • la policy privacy completa puoi trovarla al link www.studiodorighelli.it/privacy. Per ogni informazione o richiesta puoi scriverci all'indirizzo info@studiodorighelli.it

Annulla