Dati dei minori non protetti, mega multa a un Comune norvegese
A un anno dall’entrata in vigore del Gdpr, molti comuni italiani non sono in regola e rischiano grosso
1,6 milioni di corone norvegesi di multa (pari a 170 mila euro) per non aver adottato le giuste misure di sicurezza in merito ai dati di oltre 35 mila persone, tra cui minori delle scuole primarie e dipendenti delle stesse strutture. E’ la decisione adottata dal Garante privacy norvegese nei confronti del Comune di Bergen, una città di circa 270 mila abitanti situata sulla costa sud-ovest della Norvegia.
Secondo l’Autorità, i file del sistema informatico contenenti username e password degli account di alunni e lavoratori delle scuole della città, erano facilmente raggiungibili anche e soprattutto a persone esterne alla struttura che potevano così visualizzare senza controllo, oltre ai dati personali di alunni e dipendenti, anche i compiti degli studenti e le loro valutazioni ricevute dagli insegnanti.
Il Garante privacy ha contestato all’amministrazione comunale di Bergen, già avvisato precedentemente, la violazione dell’art. 5 comma 1) lettera f) del Gdpr relativo alla mancanza di adeguate misure di sicurezza, e dell’art. 32 relativo alla sicurezza stessa del trattamento dei dati.
Va ricordato che la Norvegia pur non facendo parte dell’Unione Europea, è comunque membro dello Spazio Economico Europeo (SEE), per questa ragione sono previste anche in quel territorio le sanzioni amministrative nell’art. 83 del Gdpr.
Allarme Italia
Dunque, una sanzione molto pesante che mette in preallarme la maggior parte delle pubbliche amministrazione italiane che ancora non si sono adeguate al nuovo regolamento europeo sulla protezione dei dati personali. Secondo uno studio di Federprivacy, a un anno dall’entrata in vigore del Gdpr, il 47 per cento dei siti ufficiali dei Comuni utilizza protocolli non sicuri ed è a rischio hacker. Inoltre il 36 per cento dei Comuni non rende noti i recapiti per contattare il Dpo (Data Protection Officer), figura obbligatoria la cui responsabilità è quella di valutare e organizzare la gestione del trattamento dei dati personali all’interno degli enti pubblici e delle aziende private.