[doc. web n. 10109352]

Provvedimento del 13 novembre 2024

Registro dei provvedimenti
n. 759 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”), come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La violazione di dati personali.

In data 15 novembre 2023, l’associazione Federprivacy (di seguito anche “l’Associazione”) ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali, rappresentando di aver subito, in data 13 novembre 2023, “un attacco informatico nei confronti del sito dell’associazione, di tutte le caselle di posta elettronica del dominio federprivacy.org, nonché di tutti gli account social dell'associazione e quelli personali dello stesso presidente”. Tale attacco veniva dapprima ricondotto ad “una operazione di «defacement» da parte del gruppo attivista denominato «Alpha Team» il quale esfiltrava il database degli utenti e la corrispondenza di posta elettronica degli ultimi 10 giorni, eliminando poi tutti gli account di posta elettronica utilizzati dagli addetti dell'associazione”.

In seguito, con la notifica integrativa del 5 dicembre 2023, l’Associazione ha dichiarato che:

a seguito di ulteriori verifiche, è emerso che sono stati “esfiltrati anche i files della posta elettronica del personale di Federprivacy, compresa la corrispondenza del presidente […], e i files del sito su cui si trovavano copia di 529 documenti di identità che i professionisti associati richiedenti l'attestato di qualità dei servizi rilasciato da Federprivacy ai sensi della Legge 4/2013 avevano inviato attraverso apposito form del sito dell'associazione. A causa di un errore tecnico di configurazione, dopo aver inviato i files allegati all'indirizzo di posta elettronica urp@federprivacy.org (tramite protocollo SMTP con connessione sicura https) ne rimaneva però una copia sul sito”;

“la corrispondenza di posta elettronica [oggetto di violazione] riguardava gli ultimi 30 giorni […]”;

“sono stati copiati ed esfiltrati un totale di 26.530 record di interessati con rispettivi nominativi e indirizzi email in qualità di semplici iscritti alla newsletter settimanale dell'associazione, dei quali 18.469 interessati (di cui circa 2.500 soci membri), comprendenti anche domicilio professionale, recapiti di contatto di lavoro, partita iva o codice fiscale, ed estremi del numero di iscrizione all'associazione professionale”, nonché le credenziali di autenticazione (username, costituito da un indirizzo di posta elettronica, e password) utilizzate per l’accesso all’area riservata del sito web dell’Associazione;

"in qualità di associazione professionale ai sensi della Legge 4/2013, i dati trattati da Federprivacy sono esclusivamente riferiti allo svolgimento dell'attività professionale degli utenti, i quali sono nella maggioranza dei casi iscritti ad ordini professionali (avvocati, commercialisti, consulenti del lavoro, ingegneri, giornalisti, etc.) i cui dati sono pubblicati nei rispettivi albi, collegi, e registri, per cui si ritiene che, seppure si sia verificata una importante perdita di confidenzialità dei dati, le possibili conseguenze e gli eventuali effetti negativi avversi siano comunque da considerarvi moderati, e sono da escludersi significativi danni di natura direttamente economica. Non si escludono tuttavia per gli interessati possibili disagi, fastidi, etc. derivanti da eventuale utilizzo illecito dei dati da parte di terzi, come ad esempio in attività di marketing, phishing, etc. Successivamente alla notifica preliminare, dalle attività investigative svolte in data 2 dicembre 2023 è stata rilevata anche l'esfiltrazione dei documenti di identità di 529 interessati, e pertanto abbiamo aumentato il rischio per gli interessati coinvolti e conseguentemente e proceduto immediatamente in data 3 dicembre 2023 ad inviare a tutti i 529 interessati la comunicazione tramite PEC ai sensi dell'art. 34 Regolamento […], fornendo loro supporto e rispondendo tempestivamente a tutta la corrispondenza intercorsa durante lo stesso giorno festivo, nonché nei giorni seguenti, sotto la diretta supervisione del Responsabile della Protezione dei Dati”;

“si tratta principalmente di dati personali comuni riconducibili a professionisti e di natura non sensibile ai sensi dell'art. 9 del RGPD. Anche per quanto riguarda l'esfiltrazione delle 529 copie dei documenti di identità possa potenzialmente riguardare il furto d'identità degli interessati, ma non presentare un rischio elevato per i diritti e le libertà delle persone fisiche”;

“dopo aver ripristinato le funzionalità del sito, ed aver svolto un approfondito assessment avvalendosi della società OneFirewall Alliance LTD […] specializzata nel settore della cybersecurity, si è proceduto a implementare ulteriormente le misure di sicurezza tecniche attivando il servizio Cloudflare per la protezione da attacchi DDOS e altre minacce, abilitando inoltre l'accesso al pannello di controllo di Aruba Business esclusivamente tramite server proxy [OMISSIS] […] Prima di rimettere il sito online, si è provveduto a bloccare cautelativamente tutti gli account degli utenti per impedire a soggetti non autorizzati di accedere all'area riservata del sito, e inviando agli stessi utenti una comunicazione con le informazioni necessarie a riottenere di nuovo l'accesso”;

“configurando correttamente il sito, si è provveduto ad impedire che d'ora in poi vengano memorizzati sul sito documenti di identità ed altri allegati inviati tramite i form alla casella di posta elettronica urp@federprivacy.org”.

Emergeva, quindi, come l’attacco avesse comportato l’esfiltrazione (e la successiva diffusione in rete) dei dati personali di diverse migliaia di interessati, alcuni dei quali hanno inviato segnalazioni o reclami all’Autorità.

2. L’attività istruttoria.

Tenuto conto dell’elevato numero di interessati coinvolti e della natura dei dati personali oggetto di violazione, l’Autorità ha ritenuto necessario effettuare approfondimenti, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento al rispetto degli obblighi in materia di violazione dei dati personali (artt. 33 e 34 del Regolamento) e di sicurezza del trattamento (art. 32 del Regolamento), in relazione alle misure tecniche e organizzative in essere al momento in cui si è verificata la violazione in questione, a quelle adottate per porvi rimedio e per attenuare i possibili effetti negativi nei confronti degli interessati, nonché a quelle in corso di adozione per prevenire simili violazioni future.

Nello specifico, considerata l’assenza, all’interno delle notifiche inviate dall’Associazione, di elementi sufficienti a una compiuta valutazione del caso da parte dell’Autorità, sono stati acquisiti ulteriori elementi istruttori mediante due richieste di informazioni rivolte a Federprivacy (note del 29 gennaio e 16 febbraio 2024) a cui l’Associazione ha fornito riscontro (note dell’11 e 19 febbraio 2024).

Successivamente, nel mese di marzo 2024, l’Associazione ha fornito informazioni in merito alle ulteriori iniziative assunte a seguito della violazione dei dati personali.

Con nota pervenuta l’11 febbraio 2024, Federprivacy, in riscontro all’invito formulato dall’Ufficio in data 29 gennaio 2024 a fornire osservazioni utili alla valutazione dei profili di protezione dei dati personali, nel precisare che “sul totale di 26.530 interessati coinvolti nella violazione dei dati, 18.469 di essi dispongono di un account di accesso all’area riservata con relative credenziali (username e password), mentre gli altri 8.061 sono iscritti meramente lettori della newsletter settimanale, e quindi non dispongono di alcun account sul sito dell’associazione” – ha rappresentato che:

“considerando che, alcuni giorni dopo la violazione, gli hacker hanno pubblicato in un forum di hacking il database dei nostri utenti con le password in chiaro, riteniamo che ciò sia stato verosimilmente possibile perché avendo essi avuto accesso diretto al server del nostro sito web presso il provider Aruba Business, hanno potuto scaricare il database con le password criptate mediante hash, riuscendo però a ricostruire le stringhe ad esse relative utilizzando la tecnica delle “tabelle arcobaleno” (rainbow tables) e ottenendole quindi in chiaro”;

“con riferimento alle “caratteristiche particolari degli interessati”, si osserva che la generalità dei 18.469 utenti sono professionisti iscritti ad albi e/o registri professionali, e non rientrano in categorie di soggetti vulnerabili (es. vittime di violenze o abusi, rifugiati, richiedenti asilo, etc.) né minori. In merito alla facilità di identificazione degli interessati, si precisa che si tratta di utenti che al momento dell’iscrizione sul sito web forniscono i propri dati anagrafici e di contatto relativi all’attività professionale, (e quindi di natura comune e non particolari e/o giudiziari di cui agli artt. 9-10 del Regolamento UE 2016/679), i quali vengono pubblicati nel registro online solo nel caso in cui diventino soci membri, come previsto dall’art. 7 del Codice Etico di Federprivacy, in qualità di associazione professionale iscritta presso il MISE (oggi Ministero delle Imprese e del Made in Italy) ai sensi della Legge 4/2013. Per le suddette ragioni, la comunicazione agli interessati coinvolti ai sensi dell’art. 34 del Regolamento UE non ha riguardato tutta la generalità degli utenti/soci membri in quanto tali, bensì un numero ristretto di 529 interessati a cui è stata esfiltrata copia del proprio documento di identità. Invece, tutti i 18.469 utenti hanno subìto potenziali disagi e fastidi di lieve entità, come anche desumibile dall’esiguo numero di richieste di esercizio dei diritti ai sensi degli artt. 15 e seguenti del Regolamento UE che la nostra associazione ha ricevuto da parte di utenti/soci”;

“a seguito del «defacement» del 15.11.2023, prima di rimettere online il sito di Federprivacy, tutti gli account degli utenti/soci membri sono stati bloccati cautelativamente per impedire l’accesso da parte di soggetti non autorizzati. A partire dal 17.11.2023, è stata inviata una comunicazione ai 18.469 utenti/soci membri per informarli del data breach e del ripristino del proprio account con nuove credenziali per accedere all’area riservata del sito dell’associazione. Tale comunicazione conteneva una nuova password di 12 caratteri alfanumerici generata casualmente dal sistema, la quale poteva essere cambiata a cura dell’utente con la possibilità di impostarne una di propria preferenza dal proprio account”;  

“poiché la conservazione delle copie dei 529 documenti di identità non è stata intenzionale, ma è avvenuta a causa di una errata configurazione dell’applicazione del form di richiesta dell’attestato di qualità, a seguito del data breach l’anomalia è stata corretta […] Inoltre, fin dal momento della rimessa online del sito la funzione di richiesta del suddetto attestato di qualità è stata momentaneamente sospesa, e la nuova procedura non prevede più alcuna richiesta di documento di identità”.

In data 16 febbraio 2024, l’Ufficio ha formulato un’ulteriore richiesta di chiarimenti, evidenziando come – all’esito di un accertamento tecnico effettuato dall’Ufficio sui dati oggetto di diffusione in rete e, in particolare, sui dati degli utenti che, al momento della violazione, erano iscritti al sito web dell’Associazione – fosse emerso che le password degli utenti risultavano protette con due differenti funzioni crittografiche, in particolare:

per 4.223 utenti (con ultimo accesso antecedente al 3 marzo 2018), la password era conservata come una stringa di testo composta da 32 caratteri esadecimali, seguiti dal carattere “:” e da 32 caratteri alfanumerici;

per 15.309 utenti (con ultimo accesso successivo al 3 marzo 2018), la password era conservata come una stringa di testo composta dai caratteri [OMISSIS].

Con nota del 19 febbraio 2024, l’Associazione ha fornito riscontro alla predetta richiesta di informazioni, rappresentando che:

“la differenza tra il maggior numero di record […] rilevati nel corso dell’accertamento tecnico effettuato […] sui dati oggetto di diffusione in rete e, in particolare, sul file denominato “flatnews_users.csv”, in cui sono stati rilevati […] i dati di 19.532 utenti, è in realtà dovuta al fatto che in tale files sono presenti diverse centinaia di tentativi di registrazione da parte di agenti “bot” i cui account non sono mai stati da noi attivati, i quali non sono qualificabili come “interessati”, così come altri numerosi casi in cui gli account sono intestati a persone giuridiche, e quindi tali informazioni non costituiscono “dati personali”. […] il numero di 18.469 interessati […] comunicato è scaturito da un […] accurato conteggio di tutti gli utenti “persona fisica” reali regolarmente registrati sul nostro sito web effettuato all’epoca dell’attacco hacker (S.E. & O.), e non derivante da una volontà di diminuire la gravità della violazione”;

“nella versione 1.5 di Joomla usata dal sito web di Federprivacy fino a febbraio 2018, veniva utilizzato il meccanismo predefinito di crittografia delle password, che consisteva nell'uso dell'algoritmo MD5 per l'hash delle password. Quando le password venivano create, queste erano composte da un salt di 32 caratteri (la seconda metà della stringa dopo ":") e la prima parte era l'MD5 della combinazione di password e salt”;

“a partire dalla versione XX di Joomla, utilizzata dal sito di Federprivacy a partire da marzo 2018 e successivamente, è avvenuto un cambio di algoritmo per una maggiore sicurezza, adottando la libreria “XX”;

poiché è impossibile cambiare le password degli utenti dopo la migrazione, l'unica soluzione adottata è che le utenze vengono automaticamente migrate alla nuova versione dopo il primo accesso successivo alla migrazione, utilizzando il nuovo algoritmo”.

Con nota del 10 marzo 2024, l’Associazione ha poi fornito informazioni sulle ulteriori iniziative assunte a seguito della violazione dei dati personali, rappresentando, tra le altre cose, di aver effettuato i seguenti interventi:

a) “implementazione delle tecniche di crittografia delle password” per tutti gli utenti del sito per cui non erano state ancora applicate tali misure di sicurezza;

b) “invio comunicazione in data 08.03.2024 a tutti i suddetti 4.223 utenti, […] con cui [… gli stessi sono stati] avvisati della criticità rilevata nei loro account relativamente alle tecniche crittografiche delle credenziali non più adeguate all’attuale progresso tecnologico con conseguente potenziale rischio per i diritti e le libertà delle persone ai sensi dell’art. 34 del Regolamento UE 2016/679, e contestuale comunicazione dell’adozione da parte nostra di ulteriori misure di sicurezza ai sensi dell’art. 34 par. 3 lettera b) del Regolamento UE, atte a scongiurare il sopraggiungere di tale rischio, che abbiamo attuato intervenendo manualmente per implementare il livello di sicurezza delle credenziali adeguandolo agli standard più elevati già applicati al resto di tutti gli altri utenti attivi del sito”.

In particolare, l’Associazione, con la citata comunicazione dell’8 marzo 2024, ha rappresentato ai 4.223 utenti le cui password erano conservate con tecniche crittografiche non adeguate allo stato dell’arte che:

coloro che “non avevano più effettuato l’accesso all’area riservata da diversi anni, e che per questo non hanno neanche cambiato la propria password ormai da molto tempo, hanno continuato ad avere per impostazione predefinita delle tecniche crittografiche delle proprie credenziali non più adeguate all’attuale progresso tecnologico”;

“poiché in tal caso le tecniche crittografiche più sicure applicate a partire da marzo 2018 (XX) con la pubblicazione del nuovo sito si sarebbero attivate automaticamente solamente al momento [… del primo] login, ma nel frattempo sussisteva un potenziale rischio elevato per i […] diritti e le libertà ai sensi dell’art. 34 del GDPR, oltre a [… darne] notizia, [… l’Associazione ha] provveduto ad adottare ulteriori misure di sicurezza atte a scongiurare il sopraggiungere di tale rischio, intervenendo manualmente per implementare il livello di sicurezza delle […] credenziali e adeguarlo agli standard più elevati già applicati al resto di tutti gli altri utenti attivi”.

Con successiva nota del 27 marzo 2024, l’Associazione ha rappresentando all’Autorità di aver posto in essere le seguenti iniziative:

implementazione di ulteriori misure di sicurezza a protezione da attacchi informatici;

invio di ulteriore comunicazione “in data 26.03.2024 a tutti i 4.223 utenti del nostro sito che, a seguito della migrazione da Joomla 1.5 avvenuta a marzo del 2018, avevano mantenuto il precedente meccanismo basato su MD5 per l'hash delle password con salt di 32 caratteri, per fornire loro consigli pratici per attenuarne i possibili effetti negativi derivanti dall’esposizione delle loro password”;

“messa a disposizione di tutti i suddetti 4.223 utenti di un codice coupon omaggio del valore di € 102 cadauno validi per 1 anno di quota associativa gratuito come socio membro di Federprivacy, a fronte dei potenziali disagi della violazione che li ha coinvolti”.

Con la citata comunicazione del 26 marzo – inviata, da ultimo, ai 4.223 utenti le cui password erano conservate con tecniche crittografiche non allo stato dell’arte –, in particolare, l’Associazione ha evidenziato che “considerando che a seguito del suddetto data breach è stata compromessa la riservatezza delle password precedentemente utilizzate dagli utenti, e anche se successivamente siamo intervenuti per generare nuove credenziali e implementare le tecniche crittografiche per rafforzare il livello di sicurezza, per attenuare i possibili effetti negativi della violazione […] raccomandiamo comunque di non usare la […] precedente password su altri siti web/social network/app/etc., perché soggetti malintenzionati potrebbero esserne venuti a conoscenza ed utilizzarla per cercare di accedere fraudolentemente ad altri […] account. Inoltre, in tutti i siti web/social network/app/etc. che ne prevedono la possibilità, è sempre consigliabile attivare l’autenticazione a due fattori (es. OTP) per garantire maggiore sicurezza dei propri dati personali, in particolar modo se si tratta di informazioni sensibili che ti riguardano”.

3. La notifica delle violazioni e le memorie difensive.

Con nota del 30 maggio 2024, all’esito dell’esame degli elementi acquisiti nel corso dell’istruttoria e delle successive valutazioni dell’Autorità, sulla base delle risultanze della relazione tecnica dell’Ufficio del 12 maggio 2024, veniva contestato all’Associazione di aver posto in essere delle condotte non conformi alla disciplina in materia di protezione dei dati personali e, in particolare, che, dovendo considerare le misure tecniche applicate ai dati personali oggetto della violazione, nonché i rischi per i diritti e le libertà delle persone fisiche derivanti dal data breach occorso, Federprivacy non aveva inviato tempestivamente agli interessati una comunicazione esaustiva. È stato altresì rilevato che l’Associazione non aveva tenuto una condotta conforme alla disciplina di protezione dei dati, relativamente agli obblighi di sicurezza e ai principi di integrità e riservatezza e di limitazione della conservazione.

L’art. 34 del Regolamento stabilisce, infatti, che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (par. 1), che “la comunicazione all'interessato […] descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d)” (par. 2) e che detta comunicazione non è richiesta, in particolare, se “il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura” (par. 3, lett. a)).

Il Regolamento indica poi che, nella valutazione del rischio, si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76).

Al proposito, le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023 (di seguito “Linee guida sulla notifica”) individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

Nello stesso documento si specifica, inoltre, che “il Regolamento afferma che la comunicazione di una violazione agli interessati dovrebbe avvenire «senza ingiustificato ritardo» il che significa il prima possibile”, in considerazione del fatto che l’obiettivo principale della comunicazione agli interessati è quello di fornire loro informazioni specifiche sulle misure che gli stessi possono prendere per proteggersi, nonché che il titolare del trattamento, tra le misure da adottare per porre rimedio alla violazione e attenuarne i possibili effetti negativi per gli interessati, “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”.

Va inoltre tenuto conto dei principi posti in materia di protezione dei dati personali, secondo cui gli stessi devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f), del Regolamento), da leggere in combinato disposto con l’art. 32 del Regolamento, secondo cui, in tema di sicurezza del trattamento, “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

L’art. 5, par. 1, lett. e), del Regolamento stabilisce poi che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […] («limitazione della conservazione»)”.

In data 27 giugno 2024, l’Associazione ha presentato i propri scritti difensivi e in tale occasione ha evidenziato che:

con riferimento all’art. 83, par. 2, lett. a), del Regolamento, “l’attacco hacker non aveva come obiettivo principale l’ottenimento di un profitto da parte dei criminali, che peraltro non hanno mai avanzato pretese economiche né messo i dati in vendita, bensì la volontà di questi di screditare il buon nome di Federprivacy, lederne la reputazione, e cagionarle un danno economico, [… evidenziandosi] una condotta di stampo mafioso da parte del soggetto che ha commissionato al gruppo «Alpha Team» di compiere operativamente l’attacco hacker […] pubblicando peraltro online i dati esfiltrati il 28 novembre 2023 in concomitanza dell’evento «Cyber & Privacy Forum» promosso da Federprivacy e svoltosi il 29 novembre 2023” (v. nota del 27 giugno 2024 cit., p. 1);

con riferimento all’art. 83, par. 2, lett. b), del Regolamento, “Considerate le dimensioni della struttura dell’associazione e dell’attività senza scopo di lucro che essa svolge con ricorse economiche appena sufficienti per soddisfare le proprie finalità statutarie formative/divulgative/informative/etc. […] ravvisiamo che le violazioni contestate siano ascrivibili ad una mera condotta colposa” (v. nota cit., p. 2);

con riferimento all’art. 83, par. 2, lett. c), del Regolamento: “in seguito all’attacco hacker del 13 novembre 2023, si è immediatamente provveduto a bloccare tutti gli account, e al momento della rimessa online del sito, avvenuto il 17 novembre 2023, è stata inviata una prima comunicazione a tutti gli interessati coinvolti, fornendo nuove credenziali per accedere all’area riservata. Successivamente alla pubblicazione dei documenti di identità esfiltrati da parte degli hacker, avvenuta in data 3 dicembre 2023, si è provveduto ad inviare una comunicazione agli interessati coinvolti ai sensi dell’art.34 del R[egolamento], specificando che la violazione poteva “rappresentare un rischio elevato per i diritti e le libertà per l’interessato, (come il furto d’identità)”. A seguito della PEC ricevuta dall’Autorità nella tarda serata di venerdì 16 febbraio 2024 (ore 21:27), ci siamo prontamente attivati per analizzare il documento “Linee Guida Funzioni Crittografiche Conservazione delle Password” del 7 dicembre 2023 fornitoci [… dall’Ufficio del Garante], per poter rispondere nelle more dei 5 giorni da esso fissati. Dopo le prime attività di studio del succitato documento, l’8 marzo 2024 abbiamo inviato una ulteriore comunicazione ai sensi dell’art.34 del Regolamento ai 4.223 utenti su cui l’Autorità aveva rilevato l’inadeguatezza allo stato dell’arte della crittografia delle password, segnalando tale criticità agli interessati, e informandoli dei rischi per i loro diritti e libertà, comunicando loro le ulteriori misure di sicurezza da noi adottate tramite l’implementazione manuale della crittografia delle credenziali per adeguarle agli standard più elevati. Nel frattempo, proseguendo nelle attività di analisi, e avvalendoci del supporto specialistico di professionisti esterni in grado di fornire la consulenza richiesta dall’elevata complessità tecnica della questione posta dall’Autorità, abbiamo adottato ulteriori misure di sicurezza per garantire la robustezza delle password e renderne obbligatoria la modifica periodica, e in data 26 marzo 2024 abbiamo inviato agli interessati ulteriori informazioni e consigli per mitigare i rischi e attenuare gli effetti della violazione. Considerando la complessità delle relazioni fornite [… dall’Ufficio del Garante], riteniamo di avere fatto tutto il nostro possibile per attuare progressivamente tutte le implementazioni necessarie, e tenendo aggiornati “step by step” gli interessati.” (v. nota cit., p. 2);

con riferimento all’art. 83 par. 2 lett. d) del Regolamento: “Per il proprio sito web, Federprivacy utilizza il CMS Joomla [OMISSIS] fornito dagli sviluppatori come piattaforma che integra i princìpi di protezione dei dati “by design” e protezione dei dati “by default” prescritti dal RGPD. Come web provider, abbiamo individuato Aruba Business con il servizio di hosting professionale "Cloud Managed" in infrastruttura cloud dedicata in Data Center certificato Rating 4, ISO 9001:2008 e ISO 27001:2013. Il sistema è dotato di backup giornaliero incrementale con 14 punti di ripristino e restore autonomo da pannello di controllo, nonché antispam integrato via Cloudmark Gateway ed AntiVirus ClamAV integrato. Inoltre, il sito è dotato di Firewall specifico per Joomla denominato "RSFirewall!",[OMISSIS]. Per garantire la riservatezza dei dati personali degli utenti ed associati, la gestione dei servizi di Aruba è effettuata direttamente ed esclusivamente da Nicola Bernardi Malatesta, presidente e legale rappresentante dell'associazione. A seguito del suddetto attacco hacker, avvalendosi della società OneFirewall Alliance LTD specializzata nel campo della cybersecurity, la nostra associazione ha poi provveduto a rafforzare ulteriormente le misure di sicurezza [OMISSIS] (v. nota cit., pp. 3 e 4);

con riferimento all’art. 83, par. 2, lett. f), del Regolamento, “Fermo restando quanto espresso in precedenza sulle dimensioni della struttura dell’associazione, riteniamo di aver offerto la massima collaborazione all’Autorità fin dall’inizio e in ogni momento successivo, provvedendo agli adempimenti richiesti e rispondendo prontamente e nei termini indicati alle varie richieste di informazioni, attuando sia i suggerimenti e le indicazioni fornite dal Vs. […Ufficio], sia mantenendo aggiornata l’Autorità anche sulle attività da noi successivamente poste in essere proattivamente” (v. nota cit., p. 4);

con riferimento all’art. 83, par. 2, lett. g), del Regolamento, “Le categorie di interessati coinvolti riguardano professionisti maggiorenni (avvocati/ commercialisti/ consulenti/ RPD/ etc.) di cui vengono trattati solo dati comuni esclusivamente relativi alle loro attività professionali che non riguardano la loro sfera privata. Pertanto, l’associazione non tratta dati di minori e/o altri soggetti vulnerabili, e di norma non tratta intenzionalmente categorie particolari di data ai sensi dell’art. 9 del Regolamento” (v. nota cit., p. 4);

con riferimento all’art. 83, par. 2, lett. h), del Regolamento, “La violazione è stata regolarmente notificata preliminarmente all’Autorità entro le 72 ore dal momento in cui siamo venuti a conoscenza dell’attacco hacker come previsto dal Regolamento, e poi successivamente integrata con dettagli” (v. nota cit., p. 4);

con riferimento all’art. 83, par. 2, lett. i), del Regolamento, “La nostra associazione non è stata destinataria di precedenti provvedimenti correttivi con riferimento alla specifica violazione contestata” (v. nota cit., p. 4);

con riferimento all’art. 83, par. 2, lett. j), del Regolamento, “Al momento, la nostra associazione non aderisce a specifici codici di condotta ai sensi dell’art.40 del Regolamento, e non possiede certificazioni ai sensi dell’art.42 del R[egolamento]” (v. nota cit., p. 4);

con riferimento all’art. 83, par. 2, lett. k), del Regolamento, “Nelle analisi dei rischi condotte nel corso degli anni precedenti erano sempre stati contemplati potenziali attacchi informatici tradizionali (virus/malware/ransomware/phishing/etc.), ma tenendo conto della natura dell’attività non profit svolta dall’associazione, nonché dei dati da essa trattati, (generalmente non di rilevante interesse nel mondo del cyber crime e che neppure rivestono carattere sensibile ai sensi dell’art. 9 del Regolamento), non era mai stato ritenuto prevedibile e neanche ipotizzabile il verificarsi di un attacco con finalità prettamente criminali mirato esclusivamente a danneggiare la nostra associazione, tanto più se attuato con un tale livello di efferatezza e in grado di scardinare le misure di sicurezza tecniche ed organizzative che ritenevamo adeguate alla nostra realtà, nelle quali avevamo ricompreso anche la designazione di un Responsabile della Protezione dei Dati (RPD), benché non rientrassimo nell’obbligo posto dall’art. 37 del Regolamento. Solo a posteriori, abbiamo potuto prendere atto di tali eventualità, modificando il nostro approccio basato sul rischio e includendo anche i potenziali attacchi criminali meramente finalizzati a danneggiare la nostra associazione” (v. nota cit., p. 5).

4. Esito del procedimento

All’esito dell’esame degli elementi acquisiti nel corso dell’istruttoria e delle successive valutazioni dell’Autorità, sulla base delle risultanze delle specifiche relazioni tecniche redatte nel corso del procedimento e delle memorie difensive supra riportate, è emerso che la Associazione ha posto in essere delle condotte che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In tale quadro, confermando i rilievi notificati dall’Ufficio con la nota del 13 maggio 2024, emerge che, nella vicenda in esame, Federprivacy ha posto in essere tre distinte condotte in violazione della normativa in materia di protezione dei dati personali:

la prima, relativa alla tardiva comunicazione del data breach agli interessati coinvolti, in violazione dell’art. 34 del Regolamento;

la seconda, relativa alla mancata adozione di misure adeguate per proteggere le password degli utenti, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento;

la terza, relativa alla conservazione dei documenti di identità dei professionisti associati, in violazione dell’art. 5, par. 1, lett. e), del Regolamento.

4.1. Il ritardo nella comunicazione della violazione dei dati personali agli interessati.

Nel corso dell’istruttoria, è emerso che la violazione dei dati in esame ha riguardato, tra le altre, le seguenti diverse tipologie di dati personali:

le copie dei documenti di identità di 529 professionisti associati che avevano richiesto l'attestato di qualità, rilasciato dall’Associazione, ai sensi della legge 14 gennaio 2013, n. 4;

le credenziali di autenticazione (username, costituito da un indirizzo di posta elettronica, e password, sotto forma di stringa di testo, detta anche digest) di 18.469 utenti iscritti al sito web dell’Associazione.

Con riferimento, in particolare, alla violazione della seconda tipologia di dati personali, occorre considerare che la valutazione del rischio per i diritti e le libertà delle persone fisiche determinato dalla stessa violazione va effettuata tenendo conto, in particolare, dei seguenti fattori:

la natura della violazione dei dati personali, che si è verificata nell’ambito di un attacco informatico finalizzato ad acquisire dati personali – tra i quali le credenziali di autenticazione di 18.469 interessati – e, successivamente, a diffonderli in rete;

la gravità e la persistenza delle possibili conseguenze che potrebbero derivare agli interessati dall’utilizzo illecito delle credenziali di autenticazione compromesse dalla violazione (ad es. per accedere illecitamente a sistemi informatici o servizi online e consultare, o acquisire, altri dati personali degli interessati; ciò anche in considerazione dell’abitudine degli utenti di utilizzare, anche a distanza di tempo, le medesime password, o password simili tra loro);

il numero elevato di interessati a cui sono riferite le credenziali di autenticazione in questione e la facilità con cui è possibile identificare specifiche persone fisiche direttamente dai dati personali oggetto di violazione;

il livello di sicurezza garantito dalle funzioni crittografiche utilizzate per proteggere le password degli utenti conservate nei sistemi del titolare, in termini di resistenza ai più comuni attacchi informatici (es. a forza bruta o a dizionario) volti a individuare la password che ha generato un determinato digest.

In relazione a quest’ultimo fattore – da valutarsi anche alla luce delle indicazioni e raccomandazioni fornite dal Garante con le linee guida in materia di conservazione delle password predisposte in collaborazione con l’Agenzia per la cybersicurezza nazionale (provvedimento n. 594 del 7 dicembre 2023, doc. web n. 9962283) – va altresì considerato che:

le “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” (adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021), in relazione a una violazione dei dati personali avente ad oggetto password di utenti (v. caso n. 06), ricordano che, anche in caso di conservazione delle password con tecniche crittografiche allo stato dell’arte, la comunicazione, sebbene non obbligatoria, può essere considerata una buona pratica;

con riguardo agli utenti iscritti al sito web dell’Associazione che avevano effettuato l’ultimo accesso successivamente al 3 marzo 2018, la funzione crittografica utilizzata per conservare le relative password (algoritmo di password hashing “bcrypt”, con applicazione di un salt di 128 bit e costo computazione pari a 10), pur non essendo riportata nelle citate linee guida in materia di conservazione delle password tra gli algoritmi raccomandati, può essere, allo stato, ritenuta idonea ad assicurare un adeguato livello di sicurezza; pertanto, si ritiene che, per tale gruppo di interessati, risulti soddisfatta la condizione di cui all’art. 34, par. 3, lett. a), del Regolamento, per la quale non è richiesta la comunicazione agli interessati;

con riferimento, invece, agli utenti iscritti al sito web dell’Associazione che avevano effettuato l’ultimo accesso antecedentemente al 3 marzo 2018 (data a decorrere dalla quale sono state modificate le modalità di conservazione delle password), la funzione crittografica utilizzata per conservare le relative password (funzione di hashing “MD5”, con applicazione di un salt di 128 bit) non risulta idonea ad assicurare un adeguato livello di sicurezza, in ragione delle molteplici e note vulnerabilità di tale funzione; pertanto, si ritiene che, per tale gruppo di interessati, la violazione dei dati personali sia suscettibile di presentare un rischio elevato, circostanza per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34 del Regolamento.

Inizialmente l’Associazione non ha pertanto effettuato una corretta valutazione in ordine ai rischi derivanti dalla violazione delle credenziali di autenticazione degli utenti iscritti al proprio sito web e ha ritenuto che la violazione, nel suo complesso, non fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

A seguito delle richieste di informazioni formulate dall’Autorità – volte anche a stimolare una corretta valutazione dei rischi derivanti dalla violazione di tali tipologie di dati – l’Associazione ha, in un primo momento, continuato a sostenere che “tutti i 18.469 utenti hanno subìto potenziali disagi e fastidi di lieve entità” (v. nota dell’11 febbraio 2024, pag. 2) e, solo in un secondo momento, provveduto a inviare una “comunicazione in data 08.03.2024 a tutti i suddetti 4.223 utenti, […] con cui [… gli stessi sono stati] avvisati della criticità rilevata nei loro account relativamente tecniche crittografiche delle credenziali non più adeguate all’attuale progresso tecnologico con conseguente potenziale rischio per i diritti e le libertà delle persone ai sensi dell’art. 34 del Regolamento UE 2016/679” (v. nota del 10 marzo 2024, pag. 1) e, poi, “comunicazione ulteriore in data 26.03.2024 a tutti i 4.223 utenti […] per fornire loro consigli pratici per attenuarne i possibili effetti negativi derivanti dall’esposizione delle loro password” (v. nota del 27 marzo 2024, pag. 1).

Nel corso dell’istruttoria è dunque emerso che l’Associazione ha provveduto, solo in data 26 marzo 2024, ad assolvere gli obblighi informativi nei confronti degli utenti iscritti al sito web dell’Associazione le cui password erano conservate con tecniche crittografiche non allo stato dell’arte.

Infatti, le precedenti comunicazioni inviate dall’Associazione – sia quella trasmessa a partire dal 17 novembre 2023 a tutti gli utenti iscritti al proprio sito web al fine di “informarli del data breach e del ripristino del proprio account con nuove credenziali per accedere all’area riservata del sito dell’associazione”, sia quella trasmessa, in data 8 marzo 2024, ai soli 4.223 utenti le cui password erano conservate con tecniche crittografiche non allo stato dell’arte –, non contenevano tutte le informazioni previste dall’art. 34, par. 2 del Regolamento (in particolare con riferimento a quelle di cui alla lett. c) dell’art. 33, par. 3, del Regolamento).

In particolare, per le ragioni sopra esposte, le predette comunicazioni non hanno permesso di rendere gli interessati consapevoli dei rischi derivanti dalla violazione e non hanno di conseguenza consentito loro di adottare tempestivamente le necessarie precauzioni, pregiudicando la funzione stessa della comunicazione dell’avvenuta violazione all’interessato, prevista dall’art. 34, par. 2, del Regolamento.

Né, in presenza dei precisi obblighi normativi citati, può rilevare l’affermazione secondo cui l’Associazione sarebbe incorsa in questo ritardo in quanto avrebbe impiegato il tempo per l’approfondimento delle richieste del Garante, nonché dei documenti citati a supporto delle stesse (tra cui, le “Linee Guida Funzioni Crittografiche Conservazione delle Password”, adottate dall’Autorità con il citato provvedimento del 7 dicembre 2023), ritenendo “di avere fatto tutto il […] possibile per attuare progressivamente tutte le implementazioni necessarie, e tenendo aggiornati «step by step» gli interessati” (v. scritti difensivi del 27 giugno 2024, p. 2).

Alla luce di quanto sopra esposto, si ravvisano quindi gli estremi di una violazione, da parte dell’Associazione, degli obblighi di cui all’art. 34, par. 2, del Regolamento in relazione alla tardiva comunicazione della violazione dei dati personali agli utenti iscritti al sito web dell’Associazione le cui password erano conservate con tecniche crittografiche non allo stato dell’arte.

4.2. La mancata adozione di adeguate misure di sicurezza e la violazione del principio di integrità e sicurezza.

Con riferimento agli aspetti relativi alla sicurezza del trattamento, nel corso dell’istruttoria è emerso che, al momento in cui si è verificata la violazione dei dati personali, le password di 4.223 utenti erano conservate nei sistemi utilizzati dall’Associazione sotto forma di digest calcolato mediante la funzione di hashing “MD5”, previa applicazione di un salt di 128 bit.

La citata funzione di hashing risulta non robusta, in termini crittografici, e il suo utilizzo non rappresenta pertanto una misura efficace per proteggere le password degli utenti, in quanto, già da diversi anni, sono note gravi vulnerabilità di tale funzione che consentono di risalire, a partire da un digest, alla password che lo ha generato.

Al riguardo, si rileva come la conservazione mediante l’utilizzo di tecniche crittografiche allo stato dell’arte, sia una delle misure comunemente adottate per proteggere le password degli utenti di un sistema informatico o di un servizio online; ciò, tenuto conto degli elevati rischi, in caso di accesso non autorizzato alle stesse o di loro divulgazione, in ragione dell’abitudine degli utenti di utilizzare, anche a distanza di tempo, le medesime password, o password simili tra loro, per lo stesso o per altri sistemi informatici o servizi online.

L’utilizzo di tecniche crittografiche non allo stato dell’arte, per la conservazione delle password degli utenti, si pone pertanto in contrasto con l’art. 5, par. 1, lett. f), e con l’art. 32 par. 1, lett. a), del Regolamento che individua espressamente la cifratura come una delle possibili misure idonee a garantire un livello di sicurezza adeguato al rischio (v. anche cons. 83 del Regolamento, nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”).

Alla luce di quanto sopra esposto, si ravvisano gli estremi di una violazione, da parte dell’Associazione, del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), del Regolamento, nonché degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.

4.3. La violazione del principio di limitazione della conservazione.

Relativamente, poi, al principio di limitazione della conservazione, nel corso dell’istruttoria è emerso che – “a causa di una errata configurazione dell’applicazione del form di richiesta dell’attestato di qualità” rilasciato dall’Associazione ai sensi della legge 14 gennaio 2013, n. 4 – all’interno dei sistemi oggetto di violazione erano conservate le copie dei documenti di identità di 529 professionisti associati.

Al riguardo, si rileva come la conservazione dei dati personali debba essere effettuata per il tempostrettamente necessario al perseguimento delle finalità per le quali tali dati sono stati raccolti (art. 5, par. 1, lett. e), del Regolamento).

Con riferimento al caso di specie, si osserva che l’accesso o la divulgazione illecita dei dati contenuti nei documenti di identità comporta un rischio elevato, per i diritti degli interessati, considerata la possibilità che la loro conoscenza possa agevolare furti di identità.

La conservazione dei documenti di identità per un arco di tempo superiore a quello strettamente necessario per il conseguimento delle finalità per le quali sono trattati, determinata da un’errata configurazione dei sistemi di trattamento utilizzati dal titolare, si pone pertanto in contrasto con l’art. 5, par. 1, lett. e), del Regolamento.

Alla luce di quanto sopra esposto, si ravvisano gli estremi di una violazione, da parte dell’Associazione, del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Federprivacy, risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. e) e f), 32 e 34 del Regolamento.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che l’Associazione, nel corso del procedimento, ha provveduto ad adottare misure tecniche volte a conformare il trattamento oggetto del presente procedimento al Regolamento, adottando ulteriori misure di sicurezza al fine di evitare il ripetersi di analoghe situazioni.

In tale quadro, pertanto, considerato che sono state adottate specifiche misure idonee a conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18 della L. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali oggetto del data breach, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

con riguardo alla condotta relativa alla tardiva comunicazione del data breach agli interessati coinvolti, è stata presa in considerazione, con riguardo alla gravità della violazione, la circostanza del rilevante numero di interessati i cui dati personali sono stati, in alcuni casi, coinvolti nella violazione (4.223). È stata inoltre considerata rilevante la durata della violazione preso atto che, da quando era noto l’utilizzo di tecniche crittografiche non allo stato dell’arte per la conservazione delle password degli utenti (se non già dal 15 novembre, almeno dal 5 dicembre 2023-data di invio della notifica integrativa di violazione dei dati personali) l’Associazione, oltre tre mesi dopo (26 marzo 2024), ha infine provveduto alla comunicazione agli interessati ai sensi dell’art. 34 del Regolamento;

relativamente alla seconda condotta riguardante la mancata adozione di misure adeguate per proteggere le password degli utenti, si è considerata la natura della violazione, avendo questa riguardato, tra l’altro, fattispecie punite più severamente ai sensi dell’art. 83, par. 5, del Regolamento (principi generali del trattamento, in particolare il principio di integrità e riservatezza);

con riferimento alla terza condotta relativa alla conservazione dei documenti di identità dei professionisti associati, si è preso in esame il rapporto tra la tipologia dei dati coinvolti e la natura della violazione (rischio specifico di illeciti quale il furto di identità conseguente alla diffusione in rete di copia del documento di identità per 529 interessati coinvolti), la natura della violazione questa ha riguardato, tra l’altro, fattispecie punite più severamente ai sensi dell’art. 83, par. 5, del Regolamento (principi generali del trattamento, in particolare il principio di limitazione della conservazione), nonché la circostanza che tale violazione sia avvenuta a causa di “un errore tecnico di configurazione”, oggetto di pronto intervento di ripristino da parte dell’Associazione;

per tutte le condotte si è considerato il grado di responsabilità del titolare o del responsabile del trattamento, tenendo conto delle misure tecniche messe in atto ai sensi degli artt. 25 e 32 del Regolamento oggetto di specifico rilievo nell’ambito del procedimento, della decisione di aggiornare i sistemi e di implementare ulteriormente le misure di sicurezza avvalendosi della consulenza di una società specializzata nel campo della cybersecurity, della circostanza che il titolare del trattamento ha provveduto a notificare all’Autorità la violazione dei dati personali nei termini prescritti, nonché dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento.

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore determinate da una grave perdita di esercizio, nonché la natura di associazione senza scopo di lucro.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti dell’associazione Federprivacy la sanzione amministrativa nella misura di euro 6.000 (seimila), in relazione al complesso delle violazioni precedentemente descritte (violazione dell’art. 34 del Regolamento, violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento, violazione dell’art. 5, par. 1, lett. e), del Regolamento).

In tale quadro, in considerazione della tipologia delle violazioni accertate che hanno comportato l’acquisizione e la successiva diffusione in rete, da parte di terzi, di dati personali riferiti a un elevato numero di interessati, si ritiene altresì che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l’ordinanza ingiunzione, sul sito Internet del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, l’illiceità del trattamento effettuato dall’associazione Federprivacy (C.F. 94156260484 - P.I. 06413480481), con sede in Figline e Incisa Valdarno (FI), via degli Innocenti 2, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. e) e f), 32 e 34 del Regolamento;

ORDINA

all’associazione Federprivacy, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Associazione di pagare la predetta somma di euro 6.000 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di 30 giorni dalla data di comunicazione del provvedimento stesso, ovvero di 60 giorni se il ricorrente risiede all’estero.

Roma, 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei