Violazione dei dati, multata Università polacca

Non garantita la protezione dei dati di un numero elevato di candidati per gli studi

Il presidente dell’Ufficio per la protezione dei dati personali della Polonia (UODO) ha inflitto una sanzione amministrativa di 50.000 PLN all’Università della vita di Varsavia (SGGW) per violazione dei dati personali.

Il tutto nasce da una segnalazione, avvenuta nel novembre del 2019, in merito a una violazione dei dati personali dei candidati per gli studi presso la stessa Università. La violazione riguardava il furto di un computer privato portatile di un dipendente universitario, che utilizzava il dispositivo anche per finalità lavorative, compreso il trattamento dei dati personali dei candidati agli studi ai fini delle attività di reclutamento.

La scelta sull’importo della sanzione amministrativa

Le prove raccolte dall’UODO hanno confermato la violazione effettuata. La decisione dell’importo della sanzione comminata è stata condizionata dal fatto che la violazione dei dati personali riguardava candidati per gli studi presso l’Università negli ultimi cinque anni (pratica non conforme al periodo prescritto di conservazione dei dati personali), e, di conseguenza, copriva un’ampia gamma di dati. Il numero di persone interessate poteva quindi arrivare al limite superiore di 100 unità.

Non è tutto. Per stabilire l’importo della sanzione si è tenuto conto anche del fatto che il responsabile del trattamento non fosse a conoscenza del trattamento dei dati personali sul computer privato del dipendente, né controllasse il trattamento dei dati omettendo di verificare su quali supporti i dati personali dei candidati per gli studi raccolti dal sistema informatico sono stati elaborati. Queste circostanze hanno indicato una violazione del principio di riservatezza e responsabilità specificato nel Gdpr (il regolamento europeo sulla protezione dei dati).

Ateneo senza misure di sicurezza adeguate al trattamento dei dati personali

Durante l’ispezione, è stato accertato che l’Ateneo non aveva posto in essere misure organizzative e tecniche adeguate a garantire la sicurezza del trattamento dei dati personali dei candidati agli studi.

Secondo il parere dell’Autorità di controllo, le misure adottate dall’Università, compreso il trattamento dei dati dei candidati agli studi, erano insufficienti. Il Presidente dell’UODO ha dichiarato che il Responsabile della protezione dei dati (DPO) ha svolto i propri compiti senza tenere in debita considerazione il rischio connesso alle operazioni di trattamento. Il Responsabile della protezione dei dati designato non è stato coinvolto dall’Ateneo nel processo di reclutamento per studi relativi al funzionamento del sistema informativo destinato a tale attività.

FONTE: edpb.europa.eu