DELIBERA 8 aprile 2021 - Avvertimento generale, ai sensi dell'articolo 58, paragrafo 2, lettera a), del regolamento UE 2016/679. (Provvedimento n. 131). (21A02356)

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati («Regolamento generale sulla protezione dei dati» - di seguito, «Regolamento»)

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»)

Visti gli articoli di stampa che hanno recentemente diffuso la notizia relativa alla libera disponibilita' in rete dei dati personali di circa 500 milioni di utenti Linkedin, oggetto di una sottrazione effettuata attraverso un'attivita' di web scraping

Rilevato che, tra i dati personali oggetto di diffusione on-line, parrebbero esservi i Linkedin ID, i nominativi completi, gli indirizzi email, i numeri di telefono, il genere, i collegamenti a profili di altri social network, i titoli professionali e le altre informazioni lavorative inserite nei propri profili dagli utenti

Considerato che non puo' escludersi che fra i dati in questione ve ne possano essere anche alcuni riconducibili alle categorie particolari di dati personali

Considerato che, nel caso di specie, l'autorita' di controllo capofila, competente a esercitare i poteri di cui all'art. 58 del regolamento, e' l'autorita' di controllo irlandese (Data Protection Commission - DPC) in quanto il titolare del trattamento (LinkedIn Ireland Unlimited Company, controllata da LinkedIn Corporation, societa' di diritto statunitense) ha il suo stabilimento principale a Dublino

Considerato che, allo stato, non e' ancora chiaro se la diffusione dei predetti dati sia stata determinata da una violazione dei dati personali

Considerato che sembrerebbero essere coinvolti un numero di utenti molto elevato (500 milioni sugli oltre 740 milioni attualmente dichiarati dal provider), che l'Italia e' uno dei Paesi europei con il numero maggiore di iscritti alla piattaforma e che la libera disponibilita' di tali informazioni...