Il titolare del trattamento ha l’obbligo di comunicare detta violazione agli interessati (cfr. art. 34 Regolamento UE 2016/679) quando il cosiddetto “data breach” presenti un rischio elevato per i diritti e le libertà delle persone fisiche. La notifica deve descrivere la natura e le possibili conseguenze con un linguaggio semplice e chiaro, nonché fornire indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quali, ad esempio, la raccomandazione di non utilizzare più le credenziali compromesse e/o modificare la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione.
È quanto ribadito dal Garante per la protezione dei dati personali con il “Provvedimento su data breach – 30 aprile 2019” (cfr. Registro dei provvedimenti n. 106 del 30 aprile 2019), poi richiamato dalla stessa Autorità nella NEWSLETTER N. 453 dello scorso 30 maggio.
Nella specie, una società operante nel mercato digitale, dopo aver subìto un attacco informatico, notificava, ai sensi dell’art. 33 del Regolamento UE 2016/679 (“Notifica di una violazione dei dati personali all’autorità di controllo”), una violazione di dati personali, rappresentando al Garante che:
- le analisi tecniche condotte consentivano di determinare che vi era stato un accesso fraudolento mediante un hot spot della rete Wifi;
- l’intrusione aveva condotto alla violazione di circa 1,5 milioni di credenziali di account di posta riconducibili ad utenti che avevano eseguito l’accesso mediante webmail;
- erano stati eseguiti degli interventi di contenimento, come la predisposizione della “forzatura” del cambio password e la relativa informazione agli utenti mediante “landing page”;
- in riferimento alle possibili conseguenze della violazione dei dati personali, non c’erano state evidenze di accessi anomali alle caselle email degli interessati.
La suindicata società, poi, provvedeva ad inviare, ai sensi dell’art. 34 del Regolamento UE 2016/679 (“Comunicazione di una violazione dei dati personali all’interessato”), una comunicazione agli interessati coinvolti, diversificandone i contenuti sulla base del fatto che gli interessati avessero modificato o meno la password tra il momento dell’attivazione del meccanismo di cambio della stessa e il momento in cui sono state emesse le comunicazioni.
Sulla base di ciò, il Garante rilevava che:
- nella comunicazione inviata agli interessati che, a seguito della violazione, avevano effettuato il cambio della password nelle 48 ore precedenti l’invio della comunicazione, non veniva suggerita alcuna azione correttiva, descrivendo l’avvenuto “breach” con un laconico “attività anomala sui sistemi”;
- nella comunicazione inviata agli interessati che, invece, a seguito della violazione, non avevano effettuato il cambio della password nelle 48 ore precedenti l’invio della comunicazione, si esortava a modificare detta password e, come nel caso dei primi interessati, si indicava la violazione con la formula “attività anomala sui sistemi”.
Tali rilievi conducevano l’Autorità a ritenere che dette comunicazioni non risultavano essere conformi all’art. 34, par. 2, del Regolamento UE 2016/679 – secondo cui la comunicazione della violazione dei dati personali all’interessato deve descrivere, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali e contenere almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d) -, dovendosi, dunque, caldeggiare la necessità di effettuare una nuova (e maggiormente specifica) comunicazione della violazione dei dati personali agli interessati.
In forza dei suindicati aspetti, il Garante ingiungeva, quindi, alla citata società:
- di comunicare, attraverso mezzi utili a raggiungere il maggior numero di interessati, la violazione a tutte le persone fisiche coinvolte, fornendo almeno le informazioni riportate dall’art. 34 par. 2 del Regolamento UE 2016/679;
- di riportare all’Autorità, entro sette giorni dal completamento della predetta comunicazione, i riscontri raccolti.
Fonte: Newsletter del Garante per la protezione dei dati personali N. 453 dello scorso 30 maggio