Il tema della violazione dei dati personali ha sempre suscitato grande attenzione presso i privacy professionals e le aziende che quotidianamente si trovano a dover affrontare attacchi informatici, nonché i conseguenti
danni economico-reputazionali scaturenti da una non corretta gestione degli stessi.
Dal 2018 ad oggi si sono susseguiti
diversi provvedimenti del Garante Italiano sul tema (si pensi, ad esempio, alle recenti pronunce relative alle intrusioni informatiche nella piattaforma Rousseau e nell'applicazione “Speedy Arena” di Unicredit S.p.A.): il focus era proiettato sull'analizzare “a monte” l’adeguatezza delle
misure tecnico organizzative adottate sui sistemi oggetto di data breach e l’
idoneità del processo impostato dall'azienda per prevenire violazioni di dati.
INDICE
- Il caso pratico Italiaonline
- Spunti pratici del Garante
Il caso pratico Italiaonline
Con il provvedimento del 30 Aprile 2019 (doc. web n. 9116509), il Garante si concentra invece sull'
analisi “a valle” della procedura di data breach adottata dall’azienda e, nello specifico, sul
“come” notificare la violazione di dati personali agli interessati ai sensi dell’art. 34 GDPR (General Data Protection Regulation).
Il caso in esame trae origine dal data breach subito da
Italiaonline S.p.A., principale provider di servizi di posta elettronica a livello nazionale (Virgilio e Libero): nel febbraio 2019, a seguito di accesso fraudolento mediante un hot spot wi-fi della rete dell’azienda, erano stati
violati circa 1,5 milioni di credenziali di account di posta elettronica riconducibili ad utenti che avevano eseguito l’accesso mediante webmail.
Spunti pratici del Garante
Il provvedimento in questione, pubblicato in una recente newsletter dello stesso Garante lo scorso 30 Maggio, pone il focus sulla
modalità con cui era stata comunicata agli interessati la violazione di dati personali, fissando due importanti regole pratiche:
-
necessità di fornire all'interessato una descrizione della natura della violazione e delle possibili conseguenze della stessa: nel caso di specie, infatti, le mail di comunicazione del data breach inviata agli utenti contenevano un riferimento ad un’“attività anomala sui sistemi” senza fornire ulteriori dettagli. Veto del Garante, dunque, a comunicazioni generiche
-
necessità di specificare le azioni correttive suggerite dall'azienda agli interessati per proteggersi da eventuali, ulteriori violazioni di dati personali. Il suggerire (come avvenuto nel caso di specie)
il semplice cambio password secondo il Garante è insufficiente: la comunicazione deve infatti garantire una tutela a 360 gradi dell’utente. Si impone dunque all'azienda di fornire raccomandazioni di dettaglio all'interessato come ad esempio il “non utilizzare più le credenziali compromesse, modificando la password per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione”.
La vicenda analizzata dal Garante a più riprese fornisce interessanti spunti operativi per le aziende Titolari del Trattamento. La stessa fissa peraltro un ulteriore, importante tassello nel disciplinare un ambito – quello della violazione dei dati personali – che ha
numerose ripercussioni non solo in tema GDPR, ma anche in tema di sicurezza informatica e, soprattutto, di revisione dei processi delle nostre aziende italiane.