CNIL: 400 mila euro per violazione delle misure di sicurezza e della conservazione dei dati personali

La società francese SERGIC, specializzata nella promozione immobiliare, l’acquisto, la vendita, l’affitto e la gestione di proprietà – con 486 dipendenti e un fatturato di 43 milioni di euro – ha subito una sanzione GDPR da 400mila euro.

La violazione delle misure di sicurezza

La CNIL, l’autorità garante francese, ha ricevuto un reclamo da un interessato, in merito ad una violazione di dati personali inerente la piattaforma web SERGIC.

Dal reclamo emerge che una modifica nell’URL consentiva un accesso abusivo ai dati personali, nello specifico a 300 mila file, riferiti a 30 mila possibili locatari, contenenti copie di carte d’identità, tessere sanitarie, accertamenti fiscali, certificati di morte, certificati di matrimonio, previdenza sociale, certificati di pensione di invalidità, sentenze di divorzio, estratti conto, estratti conto bancari e ricevute di affitto.

La società era al corrente della violazione da tempo, ed ha impiegato circa 6 mesi per la risoluzione della vulnerabilità informatica. La CNIL ha sottolineato che non sono state adottate delle contromisure momentanee per ridurne la portata, nonostante l’accesso abusivo potesse essere messo in atto anche senza una particolare esperienza informatica.

Il Garante francese ha inoltre evidenziato l’alto numero delle persone coinvolte nella violazione e la “sensibilità” dei dati personali trattati, che necessitano di misure di sicurezza elevate.

L’ulteriore violazione inerente la conservazione di dati personali

L’ulteriore violazione riguarda i periodi di conservazione dei dati personali degli aspiranti locatari.

In particolare, il Garante ha ritenuto che il periodo di conservazione superasse il termine legato alla finalità perseguita – ossia la candidatura all’affitto di un immobile e la successiva selezione – in quanto venivano conservati anche i dati dei soggetti scartati.

È stata contestata anche la conservazione per l’ulteriore finalità di adempimento di obblighi legali o fini precontenziosi o contenziosi. L’accortezza richiesta dalla CNIL è quella di creare una repository ad hoc per questa finalità: i dati personali devono essere selezionati e trasferiti in apposito archivio, diverso dal data base “attivo” dei candidati alla selezione. Questa separazione logica assicura che, tramite apposite misure di sicurezza tecniche ed organizzative, i dati personali conservati siano resi accessibili solo a soggetti preposti (autorità, in adempimento di obblighi di legge). Al termine delle scadenze di legge, anche l’archivio separato va eliminato.

La sanzione da 400mila euro

Considerato quanto sopra, il Garante ha deciso di comminare una sanzione pecuniaria di 400 mila euro, per violazione delle regole inerenti le misure di sicurezza (art. 32 GDPR) e del principio di conservazione (art. 5 GDPR).

La sanzione comminata è esemplare, in quanto dimostra che le autorità privacy possono entrare nel merito delle scelte aziendali basate su norme come gli artt. 32 e 5 del GDPR, che sembravano lasciare margine di scelta al Titolare – imponendogli di tenere conto dello stato dell’arte e dei costi di attuazione nella scelta delle misure di sicurezza e di valutare il periodo di conseguimento della finalità nella definizione delle tempistiche di conservazione – anche nell’ambito della sua “responsabilizzazione”.

Il provvedimento comminato dovrebbe quindi rappresentare uno spunto di riflessione per tutti i Titolari del trattamento, rispetto alle scelte aziendali fatte nell’ambito della loro accountability con riferimento a misure di sicurezza e conservazione dei dati personali.