Boom di download nel mese di marzo (si parla di oltre 35 milioni tra Android ed IOS) per l’applicazione del momento, Houseparty, che permette di effettuare videochiamate di gruppo fino ad 8 persone, di passare facilmente da una stanza all’altra e di giocare tutti insieme.

Pochi giorni fa, però, è successa una cosa curiosa. Milioni di utenti hanno eliminato l’app a seguito di un messaggio che ha iniziato a circolare, prima su whatsapp poi su twitter, nel quale veniva annunciata una presunta falla nei sistemi dell’applicazione che procurava l’accesso indesiderato da parte di hacker ai dati degli utenti.

L’azienda ha prontamente emesso un comunicato nel quale affermano di non aver subito alcun data breach e che gli utenti possono star tranquilli. Inoltre hanno comunicato che offriranno un milione di dollari a chi individuerà il soggetto che ha messo in circolo la notizia.

Questa vicenda porta alla nostra attenzione due ordini di questioni.

1. Cosa fare nel caso si subisse un danno causato da un data breach?

Innanzitutto è importante sapere che qualsiasi soggetto che tratti dati personali di individui presenti nel territorio dell’UE è soggetto al GDPR, ovunque nel mondo esso effettui il trattamento. Quindi, nel caso di specie, anche Houseparty è soggetto al GDPR, regolamento generale sulla protezione dei dati direttamente applicabile in ogni paese dell’Unione. Per questo motivo gli utenti potranno sempre far riferimento all’Autorità Garante per la protezione dati italiana, al quale sarà possibile fare reclamo. Qualora si dovesse subire un danno direttamente collegato alla violazione delle norme sulla privacy ci si potrà rivalere direttamente nei confronti del titolare del trattamento per richiedere il risarcimento del danno secondo l’art. 82 del GDPR.

• Come effettuare la cancellazione dei dati

Il diritto alla cancellazione dei dati è disciplinato dall’art. 17 del GDPR e prevede che “L‘interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.

Cancellare l’account di un servizio equivale ad eliminare i dati personali trattati dal titolare? No. Eliminare l’account non equivale alla cancellazione di tutti i dati trattati da un titolare. I dati possono essere stati forniti per diverse ragioni e tanti dati possono essere conservati dal titolare anche dopo la cancellazione dell’account per diversi motivi, ad esempio per motivi di legge. O anche per legittimo interesse. In questo caso sarà necessario leggere l’informativa redatta dal titolare ed eventualmente richiedere l’accesso ai propri dati personali ex art. 15.

Per effettuare la cancellazione dei dati sarà quindi necessario effettuare la procedura indicata da ciascun titolare all’interno dell’informativa ed eventualmente effettuare l’accesso ai dati per constatare eventuali trattamenti residui.

Luca Visconti – Associate