Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 30 000 euro mot Rossi Carta S.r.l Unipersonale överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål mot Rossi Carta. Den registrerade hävdade att han fått icke begärda marknadsföringsmeddelanden från Rossi Carta och att denne inte besvarat hans begäran om tillgång.
Rossi Carta hävdade att företaget inte svarat den registrerade eftersom hans e-postmeddelande med begäran om tillgång hade markerats som skräppost. Dessutom noterade Rossi Carta att den registrerade fått e-postmeddelanden med marknadsföring eftersom hans e-postadress fanns i företagets databas över personer som lämnat sitt särskilda samtycke till direktmarknadsföring. Rossi Carta påpekade dock att företaget raderat den registrerades uppgifter.
Kort därefter tog den registrerade emot 39 e-postmeddelanden med identiskt innehåll, där den registrerade uppmanades att bekräfta sitt telefonnummer. Efter denna händelse bad Garante Rossi Carta om ett förtydligande, eftersom Rossi Carta inte borde ha den registrerades telefonnummer. Rossi Carta följde upp Garantes begäran och uppgav att man efter ytterligare kontroller upptäckt att obehörig åtkomst gjorts till företagets it-system. Rossi Carta hävdade att de 39 e-postmeddelandena skickats av obehöriga personer efter det att de lagt in den registrerades personuppgifter i systemet.
Efter en genomgång av ärendet konstaterade Garante att Rossi Carta använder ett föråldrat och sårbart CMS-verktyg (Content Management System) för att hantera företagets webbplats. Garante ansåg att användningen av detta CMS-verktyg innebar en hög risk för dataintrång. Garante ansåg därför att Rossi Carta inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och konstaterade en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och principen om ansvarsskyldighet enligt artikel 5.2 GDPR.
Garante fokuserade också på en eventuell underlåtenhet att anmäla dataintrånget till Garante i enlighet med artikel 33 GDPR. Garante noterade att säkerhetsbristerna i Rossi Cartas it-system kunde ha lett till flera olagliga aktiviteter, såsom att använda Rossi Cartas plattform för att skicka phishing-meddelanden och, mer allmänt, obehörig åtkomst till personuppgifter. Garante ansåg därför att det inte var osannolikt att denna personuppgiftsincident skulle leda till en risk för fysiska personers rättigheter och friheter och att en anmälan till Garante därför krävdes enligt artikel 33.1 GDPR. Dessutom noterade Garante att Rossi Carta inte känt till att ett dataintrång ägt rum förrän Garante krävde att ärendet skulle utredas mer ingående. Enligt Garante bevisade detta ytterligare att den personuppgiftsansvariges säkerhetsåtgärder var otillräckliga.
Slutligen konstaterade Garante att Rossi Carta inte kunde ge den registrerade information om källan till hans personuppgifter och, mer allmänt, inte agerade på hans begäran om tillgång. Garante ansåg dessutom att det saknades rättslig grund eftersom den registrerade aldrig samtyckt till att hans e-postadress och telefonnummer behandlades för marknadsföringsändamål. Garante konstaterade därför en överträdelse av kravet på samtycke enligt artiklarna 6.1 och 7 GDPR, samt registrerads rätt till tillgång enligt artikel 12.3 och 15 GDPR.