Il presidente dell’Ufficio per la protezione dei dati personali ha inflitto una sanzione amministrativa a ENEA SA per un importo di oltre 136.000 PLN. PLN per mancata segnalazione di una violazione dei dati personali.

L’Ufficio per la protezione dei dati personali (UODO) ha ricevuto informazioni su una violazione della protezione dei dati personali da una persona che è diventata un destinatario non autorizzato di dati personali. Questa violazione consisteva nell’invio di un’e-mail con un allegato non crittografato protetto da password contenente i dati personali di diverse centinaia di persone. Il mittente dell’e-mail era un collaboratore dell’azienda punita.

L’Ufficio per la protezione dei dati personali ha chiesto alla società di chiarire le circostanze dell’incidente, fornire un’analisi dell’incidente e valutare se sia necessario informare l’organismo di controllo della violazione e le persone interessate in relazione alla situazione.

L’ente sanzionato ha indicato che è stata effettuata una valutazione in termini di rischio di violazione dei diritti e delle libertà delle persone fisiche, in base alla quale la società ha concluso che non vi era alcuna violazione con conseguente necessità di notificare all’Ufficio per la protezione dei dati personali. Inoltre, la società ha ritenuto che a causa di un’azione tempestiva, come una dichiarazione da parte di un destinatario non autorizzato di aver distrutto definitivamente un allegato che non era autorizzato a ricevere, fosse eliminata la possibilità di future conseguenze negative di tale evento per gli interessati.

A causa della mancata comunicazione della violazione della protezione dei dati personali, l’Organismo di Vigilanza ha avviato un procedimento amministrativo nei confronti della società, che nel corso del procedimento ha mantenuto le attuali posizioni presentate nella corrispondenza con l’Ufficio dal giugno 2020 e non ha ancora denunciato la violazione a l’autorità di controllo.

Nel caso in esame, un’e-mail con un allegato sotto forma di file non crittografato contenente i dati personali del destinatario del messaggio e di altre persone è stata inviata a un destinatario non autorizzato. Ciò significa che si è verificata una violazione della sicurezza che ha portato alla divulgazione accidentale di dati personali a una persona non autorizzata a ricevere tali dati, e quindi a una violazione della riservatezza dei dati di queste persone, il che rende la protezione dei dati personali una violazione.

Fino alla data della presente decisione la società non ha adempiuto all’obbligo di cui all’art. 33 GDPR. Nel determinare l’importo della sanzione amministrativa, l’Ufficio ha anche tenuto conto delle circostanze attenuanti che hanno avuto un impatto sulla sanzione finale, vale a dire le azioni intraprese dal responsabile del trattamento per ridurre al minimo il danno subito dagli interessati.

UODO ricorda che ai sensi dell’art. 33 comma. 1 e 3 GDPR in caso di violazione della protezione dei dati personali, il titolare del trattamento deve, senza indebito ritardo – se possibile, entro e non oltre 72 ore dall’identificazione della violazione – informare l’autorità di controllo, a meno che la violazione non sia improbabile comportare un rischio di violazione dei diritti o della libertà delle persone. La notifica presentata all’autorità di controllo dopo 72 ore è accompagnata da una spiegazione dei motivi del ritardo.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO