La Commission Nationale de l’Informatique et des Libertés (CNIL) ha imposto una sanzione di 400.000 euro ad una nota azienda fornitrice di servizi immobiliari ritenuta colpevole di non aver adeguatamente protetto i dati personali degli utenti del suo sito web e per aver conservato impropriamente informazioni personali obsolete.
La società francese Sergic gestisce il sito web sergic.com in cui gli utenti possono creare un profilo personale per richiedere alloggi in affitto e caricare i documenti necessari alla conclusione del contratto di locazione. A partire dalla scorsa estate, qualcuno si accorge che la piattaforma online ha serie carenze di sicurezza e iniziano i problemi:
- nell’agosto 2018 il CNIL riceve un reclamo da un utente del sito che, dalla propria area riservata, era riuscito ad accedere – modificando leggermente l’URL visualizzato nel browser – ai documenti salvati da altri utenti;
- il 7 settembre 2018 la CNIL avvia da remoto un controllo online rilevando che i dossier personali alimentati dagli utenti erano liberamente accessibili senza previa autenticazione. La documentazione comprende copie di carte d’identità e di Carte Vitale (omologa della nostra tessera sanitaria), avvisi fiscali, certificati emessi dal fondo degli assegni familiari, decreti di divorzio, estremi bancari ed estratti conto. Il giorno stesso il CNIL avvisa Sergic della falla che espone queste informazioni altamente personali;
- pochi giorni dopo, il CNIL effettua un’ispezione in loco presso Sergic e scopre che la società era a conoscenza del breach di sicurezza fin dal marzo 2018 (ponendovi rimedio solo il 17 settembre, per effetto dell’intervento dell’autorità).
Alla luce delle investigazioni condotte, il CNIL ha emesso un provvedimento sanzionatorio pubblicato il 6 giugno scorso in cui si contesta una duplice violazione del GDPR.
In primo luogo, la CNIL ha rilevato che Sergic non ha rispettato l’obbligo di preservare la sicurezza dei dati personali degli utenti del proprio sito in violazione dell’art. 32 del Regolamento europeo. La società non aveva messo in atto una procedura di autenticazione degli utenti tale da garantire che le persone che accedono ai documenti fossero le medesime che li avevano caricati. Carenza da ritenersi ancor più grave se si considera la natura dei dati resi disponibili e la mancata diligenza dell’azienda nel porvi tempestivamente rimedio. Nello specifico, ad avviso del CNIL, la società – pur essendone a conoscenza da 6 mesi – non ha risolto il problema di sicurezza e benché meno ha adottato misure emergenziali per limitare i rischi di accessi non autorizzati.
In secondo luogo, Sergic ha conservato tutti i documenti caricati dai candidati per una durata superiore a quella necessaria in relazione ai fini del trattamento. La CNIL ha osservato che, una volta raggiunto lo scopo del trattamento (ad esempio, la chiusura di una candidatura ad affittare una casa) i dati devono essere cancellati o, almeno, archiviati in una banca dati separata qualora sia necessario conservarli per adempiere agli obblighi di legge o per gestire eventuali controversie. Non avendo proceduto in tal senso, Sergic ha violato il principio di cui all’art. 5, par. 1, lett. e) del GDPR che dispone circa la limitazione temporale del trattamento.
Nel determinare in 400.000 euro la sanzione da comminare a Sergic, il CNIL ha preso in considerazione circostanze specifiche quali:
- la gravità della violazione;
- l’inerzia della società nell’affrontare una vulnerabilità conosciuta;
- il fatto che i documenti accessibili rivelassero aspetti privati della vita dei richiedenti;
- le dimensioni dell’azienda e la sua solidità finanziaria.
