I dati illecitamente ottenuti non possono essere utilizzati di Avv. Gianni Dell’Aiuto


Il Garante per la Protezione dei dati personali si è immediatamente attivato di fronte delle notizie di stampa che hanno riferito del data breach di Linkedin, a seguito del quale sono oggi disponibili in rete i dati di circa mezzo miliardo di utenti che sono stati sottratti mediante web Scraping. Si tratta, questa, di una tecnica usata per sottrarre dati mediante programmi software che simulano una normale navigazione mediante i browser più utilizzati quali Mozilla e Firefox.

Il nostro Garante ha preso atto di come, tra i dati così ottenuti dagli hacker, vi possano essere nomi completi e indirizzi email di utenti che possono essere collegati ad altri social nonché le qualifiche professionali degli iscritti ad una piattaforma usata esclusivamente per motivi di lavoro. Non è possibile escludere che siano stati oggetto di sottrazione anche altri dati sensibili.

Se da un lato qualcuno potrebbe pensare che, in teoria, i dati che gli utenti rilasciano su internet siano volutamente esposti in quanto ciò che viene ricercato è una forma di visibilità personale, i rischi di utilizzo illecito sono elevatissimi, in particolare da parte di aziende che, nonostante le ultime, recenti, salate sanzioni dello stesso Garante, continuano attività di telemarketing.

Il Garante ha quindi chiesto informazioni sul Data breach a Linkedin, ma non si è sottratto dal ricordare come ai sensi dell’art. 2-decies del Codice Privacy, così come modificato, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati ed ogni trattamento sarebbe privo di una valida base giuridica.

Sulla base di queste premesse il Garante ha emesso un avvertimento a chiunque, per qualsiasi ragione, tratti dati personali: l’avvertimento specifica che ogni forma di trattamento dei dati personali oggetto della violazione descritta in premessa si porrebbe in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali.

Un ammonimento che si spera non resti lettera morta nei confronti di chi pensasse di accedere a questa miniera di informazioni per farne uso.