Niente sanzioni privacy in caso di violazione occasionale lieve dovuta a un errore umano. È questo il principio applicato dal Garante della privacy nel provvedimento n. 441/2024, con il quale a una società di autonoleggio non è stata applicata nessuna misura correttiva.
Il caso, al centro della pronuncia, ha coinvolto due norvegesi in vacanza, che si sono visti recapitare una multa per infrazione del codice della strada e un sollecito di pagamenti di pedaggi stradali da una società di recupero crediti. Il problema è stato che i due non c’entravano nulla e, anzi, all’epoca dei fatti non si trovavano nemmeno in Italia. Gli stessi, in viaggio tra la Croazia e l’Italia, avevano sì noleggiato un’auto, ma non quella coinvolta nelle commesse infrazioni.
Solo che la società di autonoleggio ha associato erroneamente i dati dei turisti norvegesi ad una seconda autovettura con un numero di targa non corrispondente all’autovettura noleggiata dagli stessi. Così, quando all’autonoleggio è arrivata la richiesta dei dati dei clienti che avevano noleggiato la seconda auto, l’autonoleggio ha erroneamente comunicato alla polizia stradale e alla società delle autostrade i nomi dei norvegesi, del tutto estranei alla violazione del codice della strada e all’omesso pagamento del pedaggio.
Per la cronaca, appurato l’errore, per interessamento dell’autonoleggio, le richieste di pagamento sono state annullate. È rimasto, però, la questione della privacy, avendo i turisti presentato un reclamo al Garante della privacy.
Al riguardo il Garante ha accertato che il disguido si è verificato per un errore materiale commesso dagli operatori durante l’inserimento manuale dei dati a fini di registrazione del noleggio.
Questo errore è stato qualificato dal Garante come una violazione dei dati personali e, in particolare, una violazione della sicurezza (data breach).
Tuttavia, ha constatato il Garante, si è tratta di un errore umano, occasionale, e non di un problema di natura informatica o di operatività del sistema. Inoltre, l’autonoleggio ha subito rettificato i dati e ha fatto archiviare le multe.
Per queste ragioni, il Garante ha chiuso il reclamo senza l’adozione di misure correttive o sanzionatorie, ma ha invitato l’autonoleggio ad una costante verifica delle misure di sicurezza dei dati per prevenire errori umani.
Pertanto, in caso di violazione, non causata da un’azione volontaria di un dipendente, ma da un errore umano accidentale dovuto a disattenzione, e con rischio basso per gli interessati, anche in base alle indicazioni del gruppo dei Garanti UE (Edpb), innanzi tutto, non sono necessarie né la notifica del data breach all’autorità di controllo, né la comunicazione dello stesso agli interessati. Inoltre, in casi di questo tipo, il Garante può decidere di non applicare le sanzioni. I principi formulati nel provvedimento costituiscono linee difensive applicabili anche in casi simili caratterizzati da occasionalità, disattenzione, conseguenze limitate e, soprattutto, buona fede dell’operatore nel gestire la situazione.
Riproduzione riservata