Anche se comunicato tempestivamente al garante e ai carabinieri il furto di un dispositivo elettronico non criptato contenente dati personali comporta la possibilità di incorrere in una misura punitiva per violazione degli articoli 5 e 32 del regolamento europeo sulla protezione dei dati personali.
Lo ha chiarito l’Autorità per la privacy con il provvedimento numero 5 del 14 gennaio 2021. L’agenzia regionale protezione ambiente della Campania ha subito il furto di un hard disk esterno contenente informazioni importanti in materia di reati ambientali con tanto di riferimenti personali e dati giudiziari. Nonostante la regolare segnalazione ai carabinieri e la notifica del data breach al garante, ai sensi dell’articolo 33 GDPR, l’Autorità centrale ha sanzionato l’Arpac con una somma di 8mila euro e la pubblicazione dell’ordinanza ingiunzione sul sito dell’autorità. Il furto, specifica il provvedimento, è avvenuto all’interno dei locali denominati “siti contaminati e bonifica dell’agenzia”, compromettendo la riservatezza di molte persone. All’interno del dispositivo, prosegue il garante, erano anche presenti delle cartelle personali dei dipendenti . L’episodio rappresenta una evidente violazione dell’integrità e della riservatezza dei dati tutelati in particolare dall’articolo 5 GDPR. In attuazione di questo principio l’articolo 32 del regolamento europeo prevede una serie di misure organizzative obbligatorie che non sono state adottate dal titolare del trattamento. In particolare, prosegue l’ordinanza ingiunzione, risultano carenti gli accorgimenti finalizzati ad assicurare la continuità e il ripristino dei dati sottratti. Inoltre mancando anche tecniche di cifratura dei dati chiunque potrebbe entrare in possesso delle informazioni sottratte. In buona sostanza l’agenzia regionale per l’ambiente non ha adottato le necessarie misure tecniche ed organizzative necessarie per assicurare il corretto trattamento dei dati personali. Anche se si tratta di un evento doloso, conclude il provvedimento, resta sempre in prima linea la responsabilità del titolare del trattamento che deve essere in grado di dimostrare la sua diligenza organizzativa per non incorrere in pesanti sanzioni.
GarantePrivacy_Porvv_14_gennaio_2021