Lituania: sistema informatico sostituisce il nominativo del genitore adottante con quello del genitore biologico, multato un comune
La SDPI, l'ispettorato statale per la protezione dei dati (una delle due autorità di controllo presenti in Lituania) responsabile del monitoraggio dell'applicazione del Gdpr e della legge sulla protezione dei dati, ha erogato una sanzione di 15.000 euro all’amministrazione Comunale di Vilnus.La sanzione è stata inflitta a causa della mancanza di misure tecniche ed organizzative adeguate nel trattamento dei dai relativi ad un minore adottato.
Nella presentazione di una domanda nel sistema informatico centralizzato di presentazione delle domande e di informazione sulla popolazione, dell’Amministrazione comunale di Vilnus, il richiedente (adottante del minore) aveva correttamente inserito i propri dati. Tuttavia, a seguito di un aggiornamento mensile, che avviene tra il sistema centralizzato dell’amministrazione comunale e il centro statale per le imprese, i dati dell’adottante (indirizzo ed email) erano stati automaticamente sostituiti da quelli del genitore biologico del bambino tratti dal Registro della popolazione della Repubblica di Lituania.
Nell’erogare la sanzione amministrativa, l’SPDI ha rilevato la violazione degli articoli 5 comma 1 lettere d) e f) del Gdpr. L’SPDI ha contestato il principio di esattezza, art. 5 comma 1 lettera d) che indica che i dati personali devono essere :“esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati “e la violazione del disposto che impone l’integrità e la riservatezza dei dati del medesimo articolo 5 comma 1 lettera f) “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
L’SPDI ha ritenuto che l’aggiornamento dei dati, non operato a cura del richiedente (adottante), ma effettuato automaticamente, abbia leso i principi applicabili al trattamento dei dati personali a causa della mancata adozione, da parte dell’amministrazione Comunale di Vilnus, di adeguate misure di sicurezza tecniche ed organizzative per impedire il verificarsi della violazione.
L’importo della sanzione è stato determinato sulla base di alcune considerazioni fatte dall’Autorità: la sensibilità del dato, riferito ad un minore ed al suo percorso di vita e di istruzione, ed un precedente analogo, verificatesi nel 2019 sempre a causa della mancata applicazione di adeguate misure di sicurezza, che aveva visto protagonista la stessa amministrazione comunale.
Stigmatizzando la negligenza che ha reso possibile il verificarsi della violazione, la SPDI ha specificato che nel valutare la consistenza economica della sanzione, ha tenuto conto dell’entità del budget e delle entrate dell’amministrazione comunale di Vilnus, lasciando intendere che l’importo poteva essere ben maggiore.