DELIBERA 6 aprile 2021 - Avvertimento generale ai sensi dell'articolo 58, paragrafo 2, lettera a), del regolamento UE 2016/679. (Provvedimento n. 130). (21A02355)

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati («Regolamento generale sulla protezione dei dati» - di seguito, «Regolamento»)

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»)

Visti i numerosi articoli di stampa che hanno diffuso la notizia relativa alla libera disponibilita' in rete di dati personali di circa 533 milioni di utenti Facebook, probabile oggetto di una sottrazione dati avvenuta nel 2019 grazie ad una vulnerabilita' della piattaforma, asseritamente risolta nel corso dello stesso anno

Rilevato che, tra i dati personali oggetto di diffusione on-line risultano esservi numeri di telefonia cellulare, identificativi dell'account Facebook, nome, cognome, sesso dei titolari di account e data della loro creazione, nonche', in alcuni casi, data di nascita, elementi biografici, citta' di origine e attuale, status, denominazione del datore di lavoro e indirizzo di posta elettronica degli utenti

Considerato, pertanto, che non puo' escludersi che fra i dati in questione ve ne possano essere anche alcuni riconducibili alle categorie particolari di dati personali

Considerato che, nel caso di specie, l'autorita' di controllo capofila, competente a esercitare i poteri di cui all'art. 58 del regolamento, e' l'autorita' di controllo irlandese (Data Protection Commission - DPC) in quanto il titolare del trattamento (Facebook Ireland Limited, controllata da Facebook Inc., societa' di diritto statunitense) ha il suo stabilimento principale in Irlanda e che la stessa ha gia' avviato una procedura di cooperazione, ai sensi degli articoli 60 e seguenti del regolamento, nei confronti di Facebook in relazione alla specifica violazione di dati

Considerato che, allo stato, non pare ancora chiara la natura e la portata effettiva della violazione e...