Il nostro Garante per la Protezione dei Dati Personali è tornato ad occuparsi di data breach.
Nella sua newsletter del 30 maggio 2019, il Garante ha, infatti, richiamato il principio espresso in relazione ad un recente provvedimento pronunciato a seguito di un evento di data breach, notificato ai sensi dell’art. 33 GDPR, da un importante fornitore nazionale di servizi di posta elettronica, il quale ha informato l’Autorità di aver subìto la violazione di circa un milione e mezzo di caselle di posta elettronica di propri utenti.
Con il suddetto provvedimento, il Garante ha ribadito che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
Il Garante ha, in particolare, imposto alla società di effettuare una nuova comunicazione sul data breach, nella quale vi sia:
- una chiara descrizione della natura della violazione e delle sue possibili conseguenze, come previsto dall’art. 34, comma 2 del GDPR, che stabilisce che “la comunicazione all’interessato (…) descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni di cui all’articolo 33, paragrafo 3, lettere b), c) e d)” ;
- una precisa indicazione agli utenti sugli accorgimenti da adottare per evitare ulteriori rischi, spiegando, ad esempio, che non devono essere più utilizzate le credenziali compromesse e che è necessario modificare la password violata anche per quegli altri servizi on-line in cui l’utente utilizza password uguali o simili.
Le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″del WP29 per la Protezione dei Dati del 3 ottobre 2017 – modificate e adottate il 6 febbraio 2018 e fatte proprie dal EDPB il 25 maggio 2018 – prevedono, infatti, che il Titolare del trattamento, tra le misure da adottare per far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”, per consentire agli utenti di attuare efficaci azioni di protezione.
Nella fattispecie, la società aveva dichiarato al Garante che, da alcune analisi tecniche, era emerso un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.
Per contenere le possibili conseguenze del data breach la società immediatamente imposto agli utenti di reimpostare la password e aveva predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una email a tutti agli interessati colpiti dal data breach.
L’email era stata, poi, effettivamente inviata ai sensi dell’art. 34 GDPR ma, da quanto appurato dal Garante nel corso di un’ispezione, il suo contenuto è risultato carente perché l’evento di data breach veniva descritto come “attività anomala sui sistemi”.
Inoltre, le comunicazioni erano state inviate alle stesse caselle di posta elettronica le cui credenziali di autenticazione erano state oggetto di violazione e tale circostanza è stata considerata rilevante perché potenzialmente in grado di inficiare l’efficacia della comunicazione stessa, dato che poteva non aver raggiunto i reali utilizzatori delle caselle di posta elettronica.
Ancora, a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, dato che la comunicazione della società assumeva che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”.
Queste informazioni sono state ritenute insufficienti dal Garante, a fronte dei possibili gravi rischi ai quali sono stati esposti gli utenti, tenuto conto, appunto, dei criteri espressi dalle sopra citate “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″ che individuano i fattori da considerare nella valutazione del rischio conseguente ad una violazione dei dati personali, in: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate.
Non sembra, invece, che alla società siano state contestate violazioni in ordine al rispetto dei criteri di sicurezza previsti dall’art. 32 GDPR.