Provvedimento del 1 febbraio 2018
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");
RILEVATO, che, in un accertamento preliminare effettuato dall'Ufficio in data 31 gennaio 2018, e' stato verificato che, nell'ambito della procedura di registrazione al portale http://..., gestito dalla societa' xxx s.r.l., con sede in xxx (xxx), via xxx, rivolto ai cittadini residenti nei comuni che si avvalgono dei servizi della citata societa', sono resi accessibili a chiunque, file contenenti scansioni di documenti di riconoscimento (carte d'identita', patente e passaporto) e di moduli di «richiesta di rilascio di credenziali di autenticazione (login e password) per l'accesso all'area riservata della sezione "xxx"», riconducibili a diversi soggetti interessati e caricati in fase di richiesta di registrazione al predetto portale;
RILEVATO che, nel predetto modulo di richiesta sono riportati, in particolare, i dati anagrafici, il codice fiscale, la residenza e altri dati di contatto degli interessati (indirizzo email, numeri di telefono, compreso il cellulare e la pec);
RILEVATO che le attivita' di verifica, non ancora concluse, si sono focalizzate, allo stato, sulla sezione dedicata al Comune di xxx, la cui URL di riferimento per il servizio in questione e' http://... e che alcuni dei file in questione sono disponibili ai seguenti indirizzi:
- http://...,
- http://...,
- http://...,
- http://...,
- http://...,
- http://...;
CONSIDERATO che, sebbene non ancora oggetto di accertamento, analoghi file potrebbero essere resi disponibili a chiunque, con le predette modalita', anche nell'ambito delle sezioni del portale http://... dedicate ad altri enti locali che si avvalgono dei servizi della societa' xxx s.r.l.;
CONSIDERATO che il Garante ha il compito di vietare anche d'ufficio il trattamento, in tutto o in parte, o di disporre il blocco dei dati personali se il trattamento risulta illecito o non corretto o quando, in considerazione della natura dei dati o, comunque, delle modalita' del trattamento o degli effetti che esso puo' determinare, vi e' il concreto rischio del verificarsi di un pregiudizio rilevante per uno o piu' interessati (artt. 154, comma 1, lett. d) e 143, comma 1, lett. c));
RILEVATO che i file resi disponibili a chiunque sul portale http://... contengono la scansione dei documenti di riconoscimento e altre informazioni personali contenute nel modulo di richiesta, tra cui il numero di cellulare, idonee a recare gravi pregiudizi agli interessati, con particolare riferimento ai rischi di furto di identita';
RITENUTA, pertanto, ai sensi delle predette disposizioni, la necessita' di disporre in via d'urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all'esito della definizione dell'istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali effettuato attraverso la pubblicazione, sul portale http://..., dei predetti file trasmessi in fase di richiesta di registrazione allo stesso;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto e' punito con la reclusione da tre mesi a due anni;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE il dott. Antonello Soro;
TUTTO CIO' PREMESSO IL GARANTE
ai sensi degli artt. 154, comma 1, lett. d) e 143, comma 1, lett. c), del Codice, dispone in via d'urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all'esito della definizione dell'istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali effettuato dalla societa' xxx s.r.l. attraverso la pubblicazione, sul portale http://..., dei file contenenti scansioni di documenti di riconoscimento (carte d'identita', patente e passaporto) e di moduli di «richiesta di rilascio di credenziali di autenticazione (login e password) per l'accesso all'area riservata della sezione "xxx"», trasmessi in fase di richiesta di registrazione allo stesso.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento puo' essere proposta opposizione all'autorita' giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.