Violazione della privacy dovuta ad errore umano involontario? Il Garante può decidere di non applicare sanzioni

Al momento stai visualizzando Violazione della privacy dovuta ad errore umano involontario? Il Garante può decidere di non applicare sanzioni

Il Garante Privacy afferma che in caso di violazione occasionale lieve, dovuta a errore umano involontario, potrà non scattare la sanzione. E’ ciò che emerge dal provvedimento n. 441/2024, grazie al quale una società di autonoleggio presso l’aeroporto di Venezia ha “scampato” la sanzione.

I fatti

Due cittadini norvegesi, in seguito ad un viaggio tra Italia e Croazia, hanno presentato un reclamo all’autorità di protezione dei dati personali norvegese. Lamentavano il fatto di aver ricevuto una multa per guida in aree non consentite da parte della polizia italiana e una contestazione per mancato pagamento di pedaggio autostradale da una società di recupero crediti. Gli stessi però, non c’entravano nulla. Avevano noleggiato una macchina durante il loro viaggio, ma non quella coinvolta nelle infrazioni. Inoltre, non si trovavano in Italia nel periodo in cui erano state commesse le violazioni.

Questo malinteso è dovuto ad un errore della società di autonoleggio presso l’aeroporto di Venezia, la quale ha associato ai due turisti norvegesi un numero di targa che non gli apparteneva. Di conseguenza, la società di autonoleggio ha comunicato, in maniera errata, alla polizia stradale e alle società delle autostrade i nomi dei due norvegesi, estranei alle violazioni. 

Ovviamente, una volta appurato l’errore, le multe sono state ritirate. I due turisti hanno però deciso di presentare reclamo al Garante per la Protezione dei Dati Personali per la questione legata alla privacy dei loro dati.

Cooperazione transfrontaliera

La gestione del reclamo è stata trasferita dall’autorità norvegese al Garante italiano in conformità al meccanismo di cooperazione transfrontaliera previsto dal GDPR, in particolare dall’articolo 60.
Questo meccanismo garantisce all’interessato la possibilità di rivolgersi a un unico punto di contatto per i reclami relativi a trattamenti transfrontalieri di dati personali.

Si tratta di un meccanismo di co-decisione in cui l’Autorità capofila emette la decisione finale, previa consultazione delle altre Autorità coinvolte, per garantire consenso e coerenza.
Nel caso in questione, la procedura è stata presa in carico dal Garante italiano poiché, in base al GDPR, l’autorità capofila è quella del paese in cui si trova lo stabilimento principale del titolare del trattamento (ovvero, in questo caso, la società di autonoleggio).

La decisione del Garante

Il Garante ha accertato che il disguido era dovuto ad un errore commesso dagli operatori durante l’inserimento dei dati. Questo errore è stato definito dal Garante Privacy come un data breach. Questo perché si è verificata una comunicazione di dati non dovuta e i reclamanti non sono stati gli effettivi contravventori. 

Ricordiamo infatti che, il GDPR, definisce un data breach in questo modo: 

“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il Garante ha però fatto alcune valutazioni: si è trattato di un errore umano e di un fatto isolato. Non, quindi, di un problema informatico o operativo del sistema. Inoltre, l’autonoleggio ha subito rettificato i dati, fatto archiviare le multe e aggiornato, nel corso del provvedimento, le misure tecniche e organizzative impiegate, in modo tale da ridurre ulteriormente l’eventualità di errori simili in futuro.

A seguito di queste considerazioni, il Garante ha deciso di chiudere il caso senza adottare alcuna misura correttiva o sanzionatoria. Ha però invitato l’azienda di noleggio auto a prestare attenzione all’adeguatezza delle misure tecniche e amministrative implementate per il trattamento dei dati e, soprattutto, di garantire una formazione continua e adeguata per i dipendenti, al fine di ridurre al minimo il rischio di errori umani involontari.

Per saperne di più > Data breach: il 74% causati da errore umano

Errore umano involontario: il Provvedimento del Garante

Il provvedimento n. 441/2024 del Garante per la protezione dei dati personali introduce una novità rilevante, in linea con le indicazioni del Gruppo dei Garanti UE (EDPB). In particolare, stabilisce che, in caso di una violazione della privacy dovuta a un errore umano involontario o accidentale, come ad esempio una disattenzione da parte di un dipendente, e qualora il rischio per i diritti e le libertà degli interessati sia basso, il Garante non applicherà automaticamente una sanzione. In tali circostanze, l’autorità avrà la facoltà di decidere di non irrogare la sanzione, valutando caso per caso la situazione.

Inoltre, in casi di questo tipo, non saranno necessarie nemmeno:

  • la comunicazione di data breach all’autorità di controllo;
  • la comunicazione di data breach agli interessati.

Ciò che viene dichiarato nel provvedimento potrà essere applicato anche in casi simili caratterizzati da disattenzione, occasionalità, conseguenze limitate o buona fede del dipendente nel gestire la situazione. 

Il provvedimento completo è consultabile qui

Per approfondire > Notifica data breach: l’EDPB aggiorna le linee guida


Hai subito una violazione dei dati personali e non sai come comunicarla al Garante? Oppure non sei sicuro se la comunicazione al Garante sia obbligatoria per la tua violazione? O ancora, vuoi evitare violazioni in futuro? Siamo esperti di sicurezza informatica, di privacy e GDPR. I nostri consulenti sono a tua disposizione.