Con un recente provvedimento, il Garante per la protezione dei dati personali ha indicato delle utili linee guida in merito alla procedura di data breach, da attivare in caso di violazione dei dati personali che si processano in qualità di Titolare del trattamento.

Come è noto, l’art. 33 del Regolamento UE 679/2016 (“GDPR”) prevede l’obbligo del titolare del trattamento di notificare all’Autorità di controllo competente ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati (data breach), ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza.

La medesima violazione dei dati personali deve essere notificata, ai sensi dell’art. 34 GDPR, anche all’interessato senza ingiustificato ritardo, qualora la violazione comporti un rischio elevato per le libertà e i diritti dell’interessato e salvo che ricorrano le circostanze esimenti di cui all’art. 34 comma 3.

Proprio in ottemperanza a queste norme, la società Italiaonline S.p.a. nel febbraio 2019 ha notificato al Garante la violazione di 1.5 milioni di credenziali di account di posta Libero e Virgilio riconducibili ad utenti che avevano eseguito l’accesso mediante webmail. In particolare, le analisi tecniche condotte dalla società avevano permesso di determinare l’esistenza di un accesso fraudolento mediante un hot-spot della rete Wi-Fi.  Italiaonline S.p.a. ha rappresentato al Garante di aver eseguito interventi di contenimento e mitigazione, quali la predisposizione di un sistema di forzatura del cambio password e l’informazione agli utenti dell’avvenuta violazione tramite landing page. Inoltre, la società ha precisato di non aver rilevato accessi anomali (in termini di volumi e connessioni) alle caselle e-mail e di aver predisposto e inviato una e-mail di notifica del data breach a tutti gli utenti.

A fronte di tale notifica da parte di Italiaonline S.p.a., il Garante ha avviato attività ispettive che hanno evidenziato carenze nella procedura di data breach adottata dalla società. L’Autorità, in forza dei poteri correttivi ad essa spettanti ex art. 58 par. 2 lett. E) GDPR, ha pertanto emanato il provvedimento qui in commento.

Innanzitutto, il Garante ha ricordato che in tema di violazione dei dati personali la valutazione dei rischi per i diritti e le libertà delle persone fisiche, ai sensi dei considerando n. 75 e 76 del GDPR, deve essere oggettiva e prendere in considerazione la probabilità e la gravità dei rischi stessi. In particolare, il Garante ha specificato che i fattori da valutare sono, tra gli altri, il tipo di violazione, la natura e il volume dei dati personali oggetto della violazione, la facilità di identificazione delle persone fisiche, la gravità delle conseguenze per le persone fisiche e il numero di interessati coinvolti.

Nel caso di specie, il Garante ha evidenziato che la violazione si è verificata a causa di un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail e ha permesso l’acquisizione da parte di ignoti di una grande quantità di credenziali di autenticazione, riferite ad un numero elevato di persone fisiche identificabili, determinando un grave rischio. Infatti, ha continuato l’Autorità, “l’acquisizione da parte di terzi di credenziali di autenticazione per l’accesso ad un servizio, indipendentemente dal fatto che ne consegua un effettivo utilizzo per l’accesso a tale servizio, è da ritenere fonte di potenziale pregiudizio per gli interessati in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere anche ad altri servizi online”.

Accertato che la violazione dei dati personali in oggetto è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati, il Garante si è soffermato sui contenuti di tale avviso.

In merito, Italiaonline S.p.a. ha dichiarato di aver predisposto due differenti comunicazioni, a seconda che l’interessato avesse o meno provveduto a cambiare la password nelle 48 ore successive alla comunicazione dell’avvenuto data breach, nelle quali la violazione veniva descritta come “attività anomala sui sistemi” e suggerendo, quale azione correttiva agli interessati che non l’avessero ancora effettuato, il cambio della password. L’avviso era stato inviato alle stesse caselle di posta elettronica le cui credenziali erano state oggetto di violazione.

Sul punto, il Garante ha ritenuto insufficienti le informazioni, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti, e scorretta la modalità di invio della comunicazione; l’avviso inoltrato alle caselle di posta elettronica violate, infatti, poteva non aver raggiunto i reali utilizzatori delle caselle stesse.

Nel pronunciarsi, l’Autorità ha ribadito che la comunicazione agli interessati deve essere predisposta con un linguaggio semplice e chiaro al fine di fornire una consulenza specifica sulle misure da adottare per proteggersi da possibili usi illeciti dei propri dati, quali il furto di identità. Circa il metodo di invio dell’avviso, il Garante ha ricordato che il titolare del trattamento deve scegliere un mezzo di comunicazione che massimizzi la possibilità di comunicare le informazioni a tutte le persone interessate.

A fronte di ciò, il Garante ha ingiunto a Italiaonline S.p.a. di effettuare agli utenti una nuova comunicazione sulla violazione dei dati personali, contenente la descrizione della natura della violazione e delle sue possibili conseguenze e in grado di fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi: nel caso specifico, non utilizzare più le credenziali compromesse e modificare la password utilizzata per l’accesso a qualsiasi altro servizio online, se uguale o simile a quella violata.