L’Autorità per la protezione dei dati, a seguito di un’istruttoria, ha sanzionato, con provvedimento del 14 gennaio, Agenzia regionale protezione ambientale Campania (ARPAC), al pagamento di una sanzione di € 8.000, per il furto di hard disk esterno.
Perchè la sanzione
L’ARPAC aveva proceduto a notificare all’Autorità, ai sensi dellart. 33 del Regolamento, la perdita di un dispositivo contenente dati personali. In particolare, aveva dichiarato:
- la violazione ha riguardato il furto di un hard disk esterno, avvenuto in data XX, presso i locali della U.O.C. Siti contaminati e Bonifiche dell’Agenzia;
- in tale dispositivo erano contenuti dati personali quali copie di documenti. Quali di riconoscimento, di tipo fiscale (CUD), buste paga, pratiche di rimborso e un elenco contenente dati analitici riferiti a procedimenti giudiziari;
- non viene escluso “che il data breach sia stato doloso”, e viene ritenuto che tale violazione “abbia comportato una illecita sottrazione e possibile divulgazione non autorizzata dei dati contenuti nell’hard disk esterno”, e quindi che essa, “in virtù del numero degli interessati, della natura, numero e grado di sensibilità dei dati personali violati possa determinare un conseguente rischio per le libertà e i diritti degli interessati”;
- tale violazione, inoltre, avrebbe compromesso sia la riservatezza dei summenzionati dati che la loro disponibilità, in quanto “il salvataggio di backup non [era] andato a buon fine, di conseguenza i dati [erano] andati quasi tutti irreparabilmente persi”… “I dati in questione erano stati oggetto di backup il XX, pertanto quelli salvati successivamente alla citata data sono andati persi”;
- l’hard disk oggetto di sottrazione sarebbe stato “collegato al server installato in una stanza alla quale può accedere qualsiasi dipendente”, nonché i dipendenti dell’ARPAC Multiservizi, società in house dell’Agenzia.
L’analisi del Garante
Il Garante osserva che tale situazione “ha comportato una illecita sottrazione e possibile divulgazione non autorizzata dei dati contenuti nell’hard disk esterno“, e quindi che essa, “in virtù del numero degli interessati, della natura, numero e grado di sensibilità dei dati personali violati possa determinare un conseguente rischio per le libertà e i diritti degli interessati“; inoltre, avrebbe compromesso sia la riservatezza dei summenzionati dati che la loro disponibilità, in quanto “il salvataggio di backup non [era] andato a buon fine, di conseguenza i dati [erano] andati quasi tutti irreparabilmente persi“.
Come specificato nella denuncia al Comando dei Carabinieri effettuata in data XX, “I dati in questione erano stati oggetto di backup il XX, pertanto quelli salvati successivamente alla citata data sono andati persi“; l’hard disk oggetto di sottrazione sarebbe stato “collegato al server installato in una stanza alla quale può accedere qualsiasi dipendente“, nonché i dipendenti dell’ARPAC Multiservizi, società in house dell’Agenzia.
Le misure di sicurezza mancanti
L’Autorità, dall’analisi dell’istruttoria, ha rilevato la mancanza di misure necessarie per garantire un livello di sicurezza adeguato al rischio, richieste dall’art. 32 del Regolamento. Come:
- tecniche in grado di assicurare la non identificabilità degli interessati ai quali i dati personali contenuti nel dispositivo si riferivano, per limitare il rischio della loro consultazione da parte di soggetti non debitamente autorizzati (come la pseudonimizzazione o la cifratura dei dati), tenuto anche conto che, presso il locale in cui era custodito il dispositivo sottratto, poteva accedere qualsiasi dipendente;
- accorgimenti necessari a consentire la continuità, su base permanente, e il ripristino della disponibilità dei dati personali sottratti, essendo stato riconosciuto, da parte dell’ARPAC, come le operazioni di backup non abbiano dato buon esito e quindi, anche solo volendo considerare quelli registrati fino al XX, “i dati [siano] andati quasi tutti irreparabilmente persi”;
- procedure idonee a testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La sanzione
Il Garante ha contestato l’illiceità del trattamento di dati personali, per non aver adottato misure tecniche e organizzative adeguate per assicurare la protezione da trattamenti non autorizzati o illeciti o dalla perdita, e per garantire un livello di sicurezza adeguato al rischio, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.
Sulla base di queste valutazioni ha comminato la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo, per l’ammontare di euro 8.000,00 (ottomila/00).
(Fonte Garante Privacy)