Piattaforma Rousseau: dal Garante privacy sanzione di 50mila euro

Il Garante per la protezione dei dati personali con provvedimento n. 83 del 4 aprile 2019 ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli art. 32 del Regolamento UE 2016/679 oltre ad ingiungere alla stessa associazione i necessari adeguamenti indicati nel Provvedimento.

In effetti il Garante in osservanza a quanto sancito dall’art. 32 del GDPR ha accertato:

1. il mancato completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute che configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti gravante sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano;
2. la condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, che nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza a carico dei titolari del trattamento. In tal caso, quindi si configura una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate.