Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 1° febbraio 2018 [8145699]

[doc. web n. 8145699]

Provvedimento del 1° febbraio 2018

Registro dei provvedimenti
n. 43 del 1° febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

RILEVATO, che, in un accertamento preliminare effettuato dall´Ufficio in data 31 gennaio 2018, è stato verificato che, nell´ambito della procedura di registrazione al portale http://..., gestito dalla società XX s.r.l., con sede in XX (XX), via XX, rivolto ai cittadini residenti nei comuni che si avvalgono dei servizi della citata società, sono resi accessibili a chiunque, file contenenti scansioni di documenti di riconoscimento (carte d´identità, patente e passaporto) e di moduli di «richiesta di rilascio di credenziali di autenticazione (login e password) per l´accesso all´area riservata della sezione "XX"», riconducibili a diversi soggetti interessati e caricati in fase di richiesta di registrazione al predetto portale;

RILEVATO che, nel predetto modulo di richiesta sono riportati, in particolare, i dati anagrafici, il codice fiscale, la residenza e altri dati di contatto degli interessati (indirizzo email, numeri di telefono, compreso il cellulare e la pec);

RILEVATO che le attività di verifica, non ancora concluse, si sono focalizzate, allo stato, sulla sezione dedicata al Comune di XX, la cui URL di riferimento per il servizio in questione è http://... e che alcuni dei file in questione sono disponibili ai seguenti indirizzi:

-    http://...,

-    http://...,

-    http://...,

-    http://...,

-    http://...,

-    http://...;

CONSIDERATO che, sebbene non ancora oggetto di accertamento, analoghi file potrebbero essere resi disponibili a chiunque, con le predette modalità, anche nell´ambito delle sezioni del portale http://... dedicate ad altri enti locali che si avvalgono dei servizi della società XX s.r.l.;

CONSIDERATO che il Garante ha il compito di vietare anche d´ufficio il trattamento, in tutto o in parte, o di disporre il blocco dei dati personali se il trattamento risulta illecito o non corretto o quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati (artt. 154, comma 1, lett. d) e 143, comma 1, lett. c));

RILEVATO che i file resi disponibili a chiunque sul portale http://... contengono la scansione dei documenti di riconoscimento e altre informazioni personali contenute nel modulo di richiesta, tra cui il numero di cellulare, idonee a recare gravi pregiudizi agli interessati, con particolare riferimento ai rischi di furto di identità;

RITENUTA, pertanto, ai sensi delle predette disposizioni, la necessità di disporre in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali effettuato attraverso la pubblicazione, sul portale http://..., dei predetti file trasmessi in fase di richiesta di registrazione allo stesso;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 154, comma 1, lett. d) e 143, comma 1, lett. c), del Codice, dispone in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali effettuato dalla società XX s.r.l. attraverso la pubblicazione, sul portale http://..., dei file contenenti scansioni di documenti di riconoscimento (carte d´identità, patente e passaporto) e di moduli di «richiesta di rilascio di credenziali di autenticazione (login e password) per l´accesso all´area riservata della sezione "XX"», trasmessi in fase di richiesta di registrazione allo stesso.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 1° febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia