GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 8 aprile 2021  

Avvertimento  generale,  ai  sensi  dell'articolo  58,  paragrafo  2,
lettera a), del regolamento  UE  2016/679.  (Provvedimento  n.  131).
(21A02356)
(GU n.96 del 22-4-2021) 

 
                    IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna, alla  quale  hanno  preso  parte  il  prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra  Cerrina  Feroni,
vicepresidente, il dott. Agostino  Ghiglia  e  l'avv.  Guido  Scorza,
componenti, e il cons. Fabio Mattei, segretario generale; 
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio del 27 aprile 2016, relativo alla protezione delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera  circolazione  di  tali  dati  («Regolamento  generale   sulla
protezione dei dati» - di seguito, «Regolamento»); 
  Visto il Codice  in  materia  di  protezione  dei  dati  personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale  al
regolamento (UE) 2016/679 (decreto legislativo  30  giugno  2003,  n.
196, come modificato dal decreto legislativo 10 agosto 2018, n.  101,
di seguito «Codice»); 
  Visti gli articoli di stampa  che  hanno  recentemente  diffuso  la
notizia  relativa  alla  libera  disponibilita'  in  rete  dei   dati
personali di circa 500 milioni di utenti  Linkedin,  oggetto  di  una
sottrazione effettuata attraverso un'attivita' di web scraping; 
  Rilevato che, tra i dati personali oggetto di  diffusione  on-line,
parrebbero  esservi  i  Linkedin  ID,  i  nominativi  completi,   gli
indirizzi email, i numeri di telefono, il genere,  i  collegamenti  a
profili di altri social network, i titoli professionali  e  le  altre
informazioni lavorative inserite nei propri profili dagli utenti; 
  Considerato che non puo' escludersi che fra i dati in questione  ve
ne  possano  essere  anche  alcuni   riconducibili   alle   categorie
particolari di dati personali; 
  Considerato che, nel  caso  di  specie,  l'autorita'  di  controllo
capofila, competente a esercitare i poteri di  cui  all'art.  58  del
regolamento, e' l'autorita' di controllo irlandese  (Data  Protection
Commission - DPC) in quanto il  titolare  del  trattamento  (LinkedIn
Ireland  Unlimited  Company,  controllata  da  LinkedIn  Corporation,
societa' di diritto statunitense) ha il suo stabilimento principale a
Dublino; 
  Considerato che, allo stato, non e' ancora chiaro se la  diffusione
dei predetti dati sia stata determinata da una  violazione  dei  dati
personali; 
  Considerato che sembrerebbero essere coinvolti un numero di  utenti
molto elevato  (500  milioni  sugli  oltre  740  milioni  attualmente
dichiarati dal provider), che l'Italia e' uno dei Paesi  europei  con
il numero maggiore di iscritti  alla  piattaforma  e  che  la  libera
disponibilita' di tali informazioni comporta un elevato rischio per i
diritti e le liberta' delle persone  fisiche,  anche  in  ragione  di
possibili riutilizzi da parte di soggetti non autorizzati; 
  Preso atto che, al riguardo, l'Ufficio ha  provveduto  a  formulare
una specifica richiesta di informazioni a LinkedIn; 
  Rilevato che, ai  sensi  dell'art.  2-decies  del  Codice,  i  dati
personali  trattati  in  violazione  della  disciplina  rilevante  in
materia  di  trattamento  dei  dati  personali  non  possono   essere
utilizzati; 
  Ritenuto  che   qualsivoglia   trattamento   basato   sull'utilizzo
ulteriore  di  tali  dati  sia  da  considerare  illecito  in  quanto
effettuato in violazione del principio di  liceita'  e  senza  alcuna
valida base giuridica; 
  Ritenuto  opportuno,  nelle  more  dell'acquisizione  di   maggiori
elementi  informativi  e  data  l'indeterminatezza   dei   potenziali
destinatari, rivolgere, ai sensi dell'art. 58, par.  2,  lettera  a),
del regolamento un avvertimento ai potenziali utilizzatori  di  detti
dati, evidenziandone l'illiceita' e le connesse responsabilita'; 
  Ritenuto opportuno, per  le  medesime  ragioni  sopra  esplicitate,
disporre, ai  sensi  dall'art.  154-bis,  comma  3,  del  Codice,  la
pubblicazione del presente  provvedimento  nella  Gazzetta  Ufficiale
della Repubblica italiana; 
  Vista la documentazione in atti; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art. 15 del regolamento n. 1/2000; 
  Relatore il prof. Pasquale Stanzione; 
 
                   Tutto cio' premesso il Garante: 
 
    a) ai sensi dell'art. 58, par. 2, lettera  a),  del  regolamento,
avverte  tutte  le  persone  fisiche  o  giuridiche,   le   autorita'
pubbliche, i servizi  e  qualsiasi  organismo  che,  singolarmente  o
insieme ad  altri,  svolgano  nell'ambito  dei  trattamenti  di  dati
personali il ruolo di titolari o di responsabili del trattamento, che
eventuali trattamenti dei dati  personali  oggetto  della  violazione
descritta in premessa si porrebbero in violazione degli  articoli  5,
par. 1, lettera a), 6 e 9 del regolamento, con tutte le  conseguenze,
anche  di  carattere  sanzionatorio,  previste  dalla  disciplina  in
materia di protezione dei dati personali; 
    b) ai sensi dell'art. 154-bis, comma 3, del  Codice,  dispone  la
pubblicazione del presente  provvedimento  nella  Gazzetta  Ufficiale
della Repubblica italiana. 
 
    Roma, 8 aprile 2021 
 
                                  Il presidente e relatore: Stanzione 
 
Il segretario generale: Mattei