Con la propria newsletter n. 453 del 30/05/2019, il Garante della Privacy ha pubblicato un proprio provvedimento assunto in data 30.04.2019 nei confronti di un noto provider di posta elettronica Italiano, avente ad oggetto un episodio di data breach.
Premessa: cos’è il data breach?
Con il termine “data breach” si identifica una qualsiasi violazione – accidentale o fraudolenta – della sicurezza di un sistema informatico che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso da parte di terzi ai dati personali trasmessi, conservati o comunque trattati.
Il Regolamento UE 2016/679, sul punto, ha imposto nuovi adempimenti a carico del Titolare del Trattamento designato, il quale, non appena venuto a conoscenza di una eventuale violazione, è tenuto a informare il Garante inderogabilmente entro le successive 72 ore, secondo quanto previsto dall’art. 33, par. 3 del GDPR.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il Titolare deve darne notizia anche a tutti i possibili interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
La vicenda: cos’è successo?
Ciò premesso, il caso portato all’attenzione dell’Autorità riguarda un data breach verificatosi lo scorso 20 febbraio, quando l’azienda fornitrice del servizio di posta elettronica comunicava di aver rilevato un’anomalia del proprio sistema di sicurezza, con accesso fraudolento di terzi alla propria rete e potenziale violazione di circa un milione e mezzo di credenziali.
L’azienda, quale titolare del trattamento, da un lato in data 21.02.2019 “forzava” tutti i propri utenti a cambiare la propria password al primo accesso disponibile e, in un secondo momento, inviava in data 23.02.2019 una e-mail a tutti gli interessati del trattamento vittime dell’incidente fornendo loro una relazione tecnica dell’accaduto.
Tale informativa veniva posta al vaglio del Garante nell’ambito dell’ispezione rituale accertandone tuttavia la genericità e la carenza in spregio dei requisiti imposti dalla vigente normativa.
La decisione del Garante della Privacy
Esaminati gli atti acquisiti l’Autorità, tenuto anche conto dell’elevato numero di utilizzatori del fornitore di posta elettronica coinvolto, osservava quanto segue:
“L‘art. 34, par. 2, del Regolamento che stabilisce che “la comunicazione all’interessato […] descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni di cui all’articolo 33, paragrafo 3, lettere b), c) e d)”; (…)
Rilevato che, nella comunicazione inviata agli interessati che dopo la violazione avevano effettuato il cambio della password nelle 48 ore precedenti l’invio della comunicazione, l’avvenuta violazione viene descritta come “attività anomala sui sistemi” e non viene suggerita alcuna azione correttiva, evidenziando al contempo che l’operazione di cambio della password ha reso “inutilizzabili le credenziali precedenti ritenute non più sicure”;
Rilevato che, nella comunicazione inviata agli interessati che dopo la violazione non avevano ancora provveduto ad effettuare il cambio della password nelle 48 ore precedenti l’invio della comunicazione, l’avvenuta violazione viene descritta come “attività anomala sui sistemi” e viene esclusivamente suggerito, quale azione correttiva, il cambio della password al prospettato fine di “eliminare il rischio di accesso indesiderato alla […] casella mail”;
Considerata la necessità di effettuare una nuova comunicazione della violazione dei dati personali agli interessati contenente una descrizione della natura della violazione e delle possibili conseguenze della stessa, nonché indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione;
Rilevato altresì che le predette comunicazioni sono state inviate alle stesse caselle di posta elettronica le cui credenziali di autenticazione sono state oggetto di violazione, e che tale circostanza potrebbe inficiare l’efficacia della comunicazione stessa, posto che tali comunicazioni potrebbero non aver raggiunto i reali utilizzatori delle caselle di posta elettronica”.
Ciò premesso il Garante, ritenute eccessivamente generiche le indicazioni fornite dal Titolare del Trattamento agli Interessati rispetto all’episodio di data breach verificatosi, ed accertato che le indicazioni agli stessi fornite su come proteggersi e prevenire la perdita dei dati personali non fossero precise, ingiungeva al provider del servizio di effettuare entro i successivi trenta giorni una nuova e più completa comunicazione a tutti gli interessati, “fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento e utilizzando mezzi di comunicazione che permettano di raggiungere il maggior numero di interessati”.
Avv. Davide Berardelli