Un noto provider di servizi telefonici è stato recentemente vittima di una violazione di dati personali, che ha comportato la conseguente notifica all’Autorità Garante e agli interessati, come prescritto dall’ art. 32 bis del Codice Privacy e dal provvedimento dell’Autorità Garante del 4 aprile 2013 .
L’attacco è stato effettuato – citando il provvedimento dell’ 11 maggio 2017 – sfruttando una vulnerabilità (omissis) che ha consentito l’accesso, con successiva copia, alle credenziali di autenticazione (user-id e password) di 5118 clienti .
Di questi 5.118, per 402 clienti risultava un avvenuto accesso all’area personale loro dedicata contestualmente al periodo dell’incidente. Tale evento è stato valutato come “pregiudizio idoneo per i dati personali o per la riservatezza dell’interessato” ai sensi dell’art. 32 bis del Codice e pertanto solo 402 interessati sono stati informati dell’avvenuta violazione mediante apposita comunicazione.
Ebbene, nel provvedimento di cui si discute, il Garante ha contestato al provider che la comunicazione agli interessati fosse in realtà stata diretta solo a una parte di questi, quando invece la comunicazione individuale del breach avrebbe dovuto riguardare tutti gli interessati i cui dati personali erano violati, in quanto la sola acquisizione di credenziali di accesso è da ritenere già di per sé fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che ne consegua un effettivo utilizzo per accedere a specifiche aree riservate. Questo in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere a diversi portali web, atteso che la user-id è costituita dal numero telefonico dell’utente.
Tanto l’art. 32-bis del Codice Privacy, quanto il Regolamento UE 611/13 (sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche) e infine il Provvedimento del Garante n. 161 del 4 aprile 2013 prescrivono per i provider di servizi telefonici ed Internet provider l’obbligo di comunicazione delle violazioni di dati personali subiti entro termini molto brevi – 24 ore al Garante e 3 giorni per informare ciascun singolo utente coinvolto. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati. Per consentire l’attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.
Il Regolamento europeo, applicabile a decorrere dal 25 maggio 2018, estende a ogni titolare del trattamento europeo, ma anche extra UE, gli obblighi di comunicazione dei data breach.
Con data breach si identifica una violazione dei dati personali per tale intendendosi la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi conservati o comunque trattati.
La prima considerazione riguarda la portata di tale evento che potrebbe essere sia esterno (pensiamo ai temuti cryptolocker ) che interno (furto di dati da parte di un ex dipendente scontento).
In caso di violazione, il titolare è obbligato a notificare la violazione all’autorità di controllo, ove possibile entro 72 ore e ad ogni interessato coinvolto – qualora ne ricorrano i presupposti.
È evidente che qualora il servizio relativo alla gestione (e manutenzione) della banca dati sia in outsourcing dovranno essere conseguentemente implementati i relativi obblighi di comunicazione con le tempistiche derivanti da parte del Provider verso il Titolare/committente.
Internamente ogni azienda dovrà implementare un processo interno di gestione dei dati breach (“che cosa faccio in caso di breach subito il 25 di dicembre?) tale da permettere il rispetto di quanto sopra, tenuto conto che il mancato adeguamento di quelle che sono le regole previste potrebbe comportare in capo alle aziende sanzioni fino a 10 MIL o fino al 2 per cento del fatturato mondiale annuo.
Dott.ssa Gloria Ricci
Consultant Colin & Partners
Ti potrebbe interessare
14 giu 2017