GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 6 aprile 2021  

Avvertimento generale ai sensi dell'articolo 58, paragrafo 2, lettera
a), del regolamento UE 2016/679. (Provvedimento n. 130). (21A02355)
(GU n.96 del 22-4-2021) 

 
                    IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna, alla  quale  hanno  preso  parte  il  prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra  Cerrina  Feroni,
vicepresidente, il dott. Agostino  Ghiglia  e  l'avv.  Guido  Scorza,
componenti, e il cons. Fabio Mattei, segretario generale; 
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio del 27 aprile 2016, relativo alla protezione delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera  circolazione  di  tali  dati  («Regolamento  generale   sulla
protezione dei dati» - di seguito, «Regolamento»); 
  Visto il Codice  in  materia  di  protezione  dei  dati  personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale  al
regolamento (UE) 2016/679 (decreto legislativo  30  giugno  2003,  n.
196, come modificato dal decreto legislativo 10 agosto 2018, n.  101,
di seguito «Codice»); 
  Visti i numerosi articoli di stampa che hanno  diffuso  la  notizia
relativa alla libera disponibilita' in  rete  di  dati  personali  di
circa 533 milioni  di  utenti  Facebook,  probabile  oggetto  di  una
sottrazione dati avvenuta nel 2019 grazie ad una vulnerabilita' della
piattaforma, asseritamente risolta nel corso dello stesso anno; 
  Rilevato che, tra i dati personali oggetto  di  diffusione  on-line
risultano  esservi  numeri  di  telefonia  cellulare,  identificativi
dell'account Facebook, nome, cognome, sesso dei titolari di account e
data della loro creazione, nonche', in alcuni casi, data di  nascita,
elementi  biografici,  citta'   di   origine   e   attuale,   status,
denominazione del datore di lavoro e indirizzo di  posta  elettronica
degli utenti; 
  Considerato, pertanto, che non puo' escludersi che fra  i  dati  in
questione ve  ne  possano  essere  anche  alcuni  riconducibili  alle
categorie particolari di dati personali; 
  Considerato che, nel  caso  di  specie,  l'autorita'  di  controllo
capofila, competente a esercitare i poteri di  cui  all'art.  58  del
regolamento, e' l'autorita' di controllo irlandese  (Data  Protection
Commission - DPC) in quanto il  titolare  del  trattamento  (Facebook
Ireland Limited, controllata da Facebook Inc.,  societa'  di  diritto
statunitense) ha il suo stabilimento principale in Irlanda e  che  la
stessa ha gia' avviato una procedura di cooperazione, ai sensi  degli
articoli 60 e seguenti del regolamento, nei confronti di Facebook  in
relazione alla specifica violazione di dati; 
  Considerato che, allo stato, non pare ancora chiara la natura e  la
portata effettiva della violazione e che, al contempo, trattandosi di
fatti risalenti nel tempo, il titolare del trattamento pare aver gia'
adottato misure atte a scongiurare il ripetersi  di  tale  violazione
avendo risolto la vulnerabilita' del sistema a far  data  dall'agosto
2019; 
  Considerato che sembrerebbero essere coinvolti oltre 35 milioni  di
utenti italiani e che la libera disponibilita' di  tali  informazioni
comporta un elevato rischio per i diritti e le liberta' delle persone
fisiche, anche  in  ragione  di  possibili  riutilizzi  da  parte  di
soggetti non autorizzati; 
  Preso atto che al riguardo e' stata rivolta una specifica richiesta
di informazione a Facebook; 
  Rilevato che, ai  sensi  dell'art.  2-decies  del  Codice,  i  dati
personali  trattati  in  violazione  della  disciplina  rilevante  in
materia  di  trattamento  dei  dati  personali  non  possono   essere
utilizzati; 
  Ritenuto  che   qualsivoglia   trattamento   basato   sull'utilizzo
ulteriore  di  tali  dati  sia  da  considerare  illecito  in  quanto
effettuato in violazione del principio di  liceita'  e  senza  alcuna
valida base giuridica; 
  Ritenuto  opportuno,  nelle  more  dell'acquisizione  di   maggiori
elementi  informativi  e  data  l'indeterminatezza   dei   potenziali
destinatari, rivolgere, ai sensi dell'art. 58, par.  2,  lettera  a),
del regolamento un avvertimento ai potenziali utilizzatori  di  detti
dati, evidenziandone l'illiceita' e le connesse responsabilita'; 
  Ritenuto opportuno, per  le  medesime  ragioni  sopra  esplicitate,
disporre, ai  sensi  dall'art.  154-bis,  comma  3,  del  Codice,  la
pubblicazione del presente  provvedimento  nella  Gazzetta  Ufficiale
della Repubblica italiana; 
  Vista la documentazione in atti; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art. 15 del regolamento n. 1/2000; 
  Relatore il prof. Pasquale Stanzione; 
 
                   Tutto cio' premesso il Garante: 
 
    a) ai sensi dell'art. 58, par. 2, lettera  a),  del  regolamento,
avverte  tutte  le  persone  fisiche  o  giuridiche,   le   autorita'
pubbliche, i servizi  e  qualsiasi  organismo  che,  singolarmente  o
insieme  ad  altri  svolgano  nell'ambito  dei  trattamenti  di  dati
personali il ruolo di titolari o di responsabili del trattamento  che
eventuali trattamenti dei dati  personali  oggetto  della  violazione
descritta in premessa, si porrebbero in violazione degli articoli  5,
par. 1, lettera a), 6 e 9 del regolamento, con tutte le  conseguenze,
anche  di  carattere  sanzionatorio,  previste  dalla  disciplina  in
materia di protezione dei dati personali; 
    b) ai sensi dell'art. 154-bis, comma 3,  del  Codice  dispone  la
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. 
 
    Roma, 6 aprile 2021 
 
                                  Il presidente e relatore: Stanzione 
 
Il segretario generale: Mattei