Gazzetta n. 96 del 22 aprile 2021 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 8 aprile 2021 Avvertimento generale, ai sensi dell'articolo 58, paragrafo 2, lettera a), del regolamento UE 2016/679. (Provvedimento n. 131). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati («Regolamento generale sulla protezione dei dati» - di seguito, «Regolamento»); Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»); Visti gli articoli di stampa che hanno recentemente diffuso la notizia relativa alla libera disponibilita' in rete dei dati personali di circa 500 milioni di utenti Linkedin, oggetto di una sottrazione effettuata attraverso un'attivita' di web scraping; Rilevato che, tra i dati personali oggetto di diffusione on-line, parrebbero esservi i Linkedin ID, i nominativi completi, gli indirizzi email, i numeri di telefono, il genere, i collegamenti a profili di altri social network, i titoli professionali e le altre informazioni lavorative inserite nei propri profili dagli utenti; Considerato che non puo' escludersi che fra i dati in questione ve ne possano essere anche alcuni riconducibili alle categorie particolari di dati personali; Considerato che, nel caso di specie, l'autorita' di controllo capofila, competente a esercitare i poteri di cui all'art. 58 del regolamento, e' l'autorita' di controllo irlandese (Data Protection Commission - DPC) in quanto il titolare del trattamento (LinkedIn Ireland Unlimited Company, controllata da LinkedIn Corporation, societa' di diritto statunitense) ha il suo stabilimento principale a Dublino; Considerato che, allo stato, non e' ancora chiaro se la diffusione dei predetti dati sia stata determinata da una violazione dei dati personali; Considerato che sembrerebbero essere coinvolti un numero di utenti molto elevato (500 milioni sugli oltre 740 milioni attualmente dichiarati dal provider), che l'Italia e' uno dei Paesi europei con il numero maggiore di iscritti alla piattaforma e che la libera disponibilita' di tali informazioni comporta un elevato rischio per i diritti e le liberta' delle persone fisiche, anche in ragione di possibili riutilizzi da parte di soggetti non autorizzati; Preso atto che, al riguardo, l'Ufficio ha provveduto a formulare una specifica richiesta di informazioni a LinkedIn; Rilevato che, ai sensi dell'art. 2-decies del Codice, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati; Ritenuto che qualsivoglia trattamento basato sull'utilizzo ulteriore di tali dati sia da considerare illecito in quanto effettuato in violazione del principio di liceita' e senza alcuna valida base giuridica; Ritenuto opportuno, nelle more dell'acquisizione di maggiori elementi informativi e data l'indeterminatezza dei potenziali destinatari, rivolgere, ai sensi dell'art. 58, par. 2, lettera a), del regolamento un avvertimento ai potenziali utilizzatori di detti dati, evidenziandone l'illiceita' e le connesse responsabilita'; Ritenuto opportuno, per le medesime ragioni sopra esplicitate, disporre, ai sensi dall'art. 154-bis, comma 3, del Codice, la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore il prof. Pasquale Stanzione; Tutto cio' premesso il Garante: a) ai sensi dell'art. 58, par. 2, lettera a), del regolamento, avverte tutte le persone fisiche o giuridiche, le autorita' pubbliche, i servizi e qualsiasi organismo che, singolarmente o insieme ad altri, svolgano nell'ambito dei trattamenti di dati personali il ruolo di titolari o di responsabili del trattamento, che eventuali trattamenti dei dati personali oggetto della violazione descritta in premessa si porrebbero in violazione degli articoli 5, par. 1, lettera a), 6 e 9 del regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali; b) ai sensi dell'art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana. Roma, 8 aprile 2021 Il presidente e relatore: Stanzione Il segretario generale: Mattei