EntiOnLine
Categorie
indietro
04/10/2018 Provvedimento su data breach - Proroga - 4 ottobre 2018

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Provvedimento su data breach - Proroga

Registro dei provvedimenti n. 461 del 4 ottobre 2018

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

NELLA riunione odierna, in presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della dott.ssa XX e della prof.ssa XX, componenti, e del dott. XX,, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il "Codice") come novellato dal d.lg. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”

VISTO il provvedimento n. 548 del 21 dicembre 2017, doc. web n. 7400401, con il quale l’Autorità, a conclusione dell’istruttoria relativa alla violazione dei sistemi informatici riferiti alla Piattaforma Rousseau e ad altri siti connessi al Movimento 5 Stelle, ha prescritto nei confronti dei relativi titolari del trattamento, ai sensi dell’art. 154, comma 1, lett. a), b) e c) del Codice, l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai princìpi della disciplina in materia di protezione dei dati personali;

VISTA, in particolare, la prescrizione di cui al punto 1) del dispositivo relativa all’adozione di misure necessarie riguardanti i profili concernenti la sicurezza informatica di cui al paragrafo 7 del provvedimento e il conseguente invito, ai sensi dell’art. 157 del Codice, a comunicare all’Autorità, entro 60 gg. dalla ricezione del provvedimento medesimo, le iniziative intraprese al fine di dare attuazione a quanto prescritto;

VISTO il provvedimento n. 289 del 16 maggio 2018, doc. web 8999795, con il quale l’Autorità, sulla base delle informazioni e della documentazione pervenuta e del relativo approfondimento tecnico (dal quale sono emersi alcuni profili di criticità nelle misure di sicurezza fino ad allora adottate), ha disposto la proroga dei termini precedentemente stabiliti per l’adempimento delle prescrizioni impartite con il provvedimento del 21 dicembre 2017 fissando, in particolare, rispettivamente al 30 giugno 2018 e al 30 settembre 2018 il termine per l’effettivo adempimento delle prescrizioni di cui ai punti A, B e D, paragrafo 7, del provvedimento anzidetto e al 30 settembre 2018 quelle di cui alla lettera E del provvedimento medesimo;

VISTO che con le note del 28 giugno e 4 luglio 2018 il dott. XX, in qualità di legale rappresentante pro-tempore dell’Associazione XX, nel comunicare l’avvenuta adozione di ulteriori accorgimenti assunti al fine di porre rimedio alle criticità rappresentate dall’Autorità con il provvedimento del 16 maggio 2018, ha trasmesso alla stessa i report tecnici delle due società incaricate di effettuare i penetration test;

CONSIDERATO che con la nota del 7 agosto 2018 l’Autorità, rilevando come la documentazione trasmessa ( in particolare le risultanze dei security assessment) abbia confermato la presenza di debolezze strutturali degli applicativi testati con conseguente necessità dell’adozione di adeguate contromisure, ha chiesto di far pervenire, entro il termine del 30 settembre 2018 (termine ultimo per l’effettivo e completo adempimento anche delle prescrizioni di cui alla lettera E, paragrafo 7, del provvedimento del 21 dicembre 2017) ogni ulteriore elemento di valutazione in ordine alle misure e alle iniziative assunte a tutela dei dati personali degli utenti, anche sulla base delle indicazioni fornite dalle società che hanno effettuato i citati penetration test;

RILEVATO che con la nota del 30 settembre 2018 l’avv. XX, in nome e per conto dell’Associazione Movimento 5 Stelle (soggetto giuridico attuale titolare del trattamento dei dati personali in questione, ha chiesto all’Autorità di concedere un’ulteriore proroga fino al 15 ottobre rispetto al termine del 30 settembre 2018 fissato dall’Autorità medesima per l’effettivo adempimento di tutte le prescrizioni di cui al paragrafo 7 del provvedimento del 21 dicembre 2017; ciò in quanto XX S.p.a. - incaricata di realizzare le attività e le implementazioni necessarie per ottemperare alle prescrizioni anzidette (offerta tecnica “Virtual Private Cloud” sottoscritta il 21 giugno 2018), ha comunicato, con nota del 27 settembre 2018, “un ritardo rispetto al piano di massima di GANTT descritto al paragrafo 6.2 – Piano di migrazione – Figura 5, in particolare nella implementazione della Fase di Assessment descritta al paragrafo 6.2.2. e rispetto alle previsioni di chiusura lavori per fine settembre”; in particolare, il nuovo piano di migrazione riportato nella relazione tecnica - allegata alla nota predetta - fissa la conclusione della citata Fase 1 al 14 ottobre 2018;

RITENUTO che, alla luce degli elementi finora acquisiti, sia ragionevole concedere la proroga richiesta, questa Autorità fissa al 15 ottobre 2018 il termine entro il quale l’Associazione Movimento 5 Stelle, quale titolare del trattamento, è tenuta a dare completo adempimento alle prescrizioni contenute nel paragrafo 7 del provvedimento n. 548 del 21 dicembre 2017, facendo anche pervenire, entro la medesima data copia del contratto “Virtual Private Cloud” sopracitato e sottoscritto con XX S.p.a. il 21 giugno 2018;

L’Autorità verificherà nei giorni immediatamente successivi alla predetta scadenza (15 ottobre 2018), anche attraverso accertamenti in loco, il completo adempimento del complesso di prescrizioni di cui al provvedimento del 21 dicembre 2017;

RICORDATO che a far data dal 25 maggio 2018 sono pienamente applicabili tutte le disposizioni di cui al Regolamento UE 679/2016 alle quali, pertanto, il destinatario del presente provvedimento deve pienamente adeguarsi;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. XX;

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 58, paragrafo 1, del Regolamento (UE) 679/2016, proroga al 15 ottobre 2018 il termine entro il quale il titolare del trattamento è tenuto a dare completo adempimento alle prescrizioni contenute nel paragrafo 7 del provvedimento n. 548 del 21 dicembre 2017, facendo anche pervenire, entro la medesima data, copia del contratto “Virtual Private Cloud” sopracitato e sottoscritto con XX S.p.a. il 21 giugno 2018.

Si ricorda che il mancato riscontro alle richieste formulate ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice (come novellato dal d.lg. 101/2018) e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 4 ottobre 2018

Fonte: Autorità Garante

Banca dati