skip to Main Content
POLONIA: Garanzie Organizzative E Tecniche Insufficienti Scatta La Sanzione

POLONIA: Garanzie organizzative e tecniche insufficienti scatta la sanzione

Il presidente dell’Ufficio per la protezione dei dati personali (Presidente dell’UODO) ha inflitto a Morele.net un’ammenda di oltre 2,8 milioni di PLN.

Le misure organizzative e tecniche di protezione dei dati personali utilizzate dalla società non erano adeguate al rischio esistente associato al loro trattamento, che ha prodotto dati per circa 2 milioni e 200 mila PLN.

Non c’erano procedure adeguate per rispondere in caso di traffico insolito che apparisse sulla rete – ha dichiarato il Presidente di UODO.

Quando ha imposto una sanzione, l’autorità di controllo ha dichiarato che la violazione che si era verificata in questo caso era di notevole gravità coinvolgendo una vasta gamma di persone.

Nella sua decisione, l’autorità di controllo ha anche indicato che a causa della violazione vi era un elevato rischio di conseguenze negative per le persone i cui dati sono finiti in mani sbagliate,
come il furto di identità.

Principalmente erano dati come: nome e cognome, numero di telefono, indirizzo e-mail, indirizzo di consegna.

Tuttavia, nel caso di circa 35 mila le persone hanno trapelato dati dalle loro applicazioni rateali. E l’ambito dei dati includeva anche il numero PESEL, la serie e il numero del documento di identità, istruzione, indirizzo registrato, indirizzo di corrispondenza, fonte di reddito, importo del reddito netto, costi di manutenzione della famiglia, stato civile, importo del credito o obbligazioni di manutenzione.

Nella decisione che impone la sanzione, il presidente dell’UODO ha dichiarato che la società, non utilizzando mezzi tecnici sufficienti per la protezione dei dati, ha violato, tra l’altro specificato nell’art. 5 paragrafo 1 lettera f GDPR, il principio di riservatezza. Di conseguenza, si è verificato un accesso non autorizzato e l’accesso ai dati dei clienti. L’autorità ha ritenuto che fosse stato utilizzato un mezzo inefficace per autenticare l’accesso ai dati. La società ha implementato ulteriori misure di sicurezza tecniche dopo l’infrazione.

Nel corso del procedimento, è stato accertato che l’infrazione era avvenuta anche a causa dell’inefficiente monitoraggio delle potenziali minacce.

Il procedimento ha anche rivelato altre carenze, tuttavia la mancanza di adeguate misure tecniche (sicurezza insufficiente) e organizzative (per quanto riguarda il monitoraggio di potenziali minacce legate a comportamenti online insoliti) ha determinato l’imposizione della sanzione. Nel determinare il suo importo, tuttavia, il Presidente dell’UODO ha tenuto conto delle circostanze attenuanti, come: intraprendere azioni della società per rimuovere la violazione, buona cooperazione con l’amministratore e il fatto che la società non avesse precedentemente violato le disposizioni sulla protezione dei dati personali.

 

FONTE: UODO – AUTORITA’ GARANTE DELLA POLONIA

Back To Top