L’UODO, l’autorità polacca per la protezione dei dati personali, ha annunciato di aver sanzionato per 645.000 euro un importante negozio online. L’informazione è stata ripresa anche dal sito dell’European Data Protection Board (il garante europeo per la protezione dei dati).
Il provvedimento sanzionatorio è dovuto alle rilevazioni effettuate dall’autorità polacca a seguito dalla notifica di violazione dei dati effettuata dal gestore del negozio online. Tale notifica riguardava la compromissione di dati personali quali nomi, indirizzi e-mail e di consegna e numeri di telefono di circa 2,2 milioni di clienti. Alla compromissione era seguito un attacco phishing nei confronti dei predetti clienti. Inoltre – per circa 35,000 clienti – erano stati violati anche ulteriori dati personali raccolti nell’ambito della concessione di finanziamenti (quali numero del documento di identità e dati economici).
L’European Data Protection Board riferisce che, dopo un’indagine, l’autorità polacca per la protezione dei dati personali ha stabilito che le misure organizzative e tecniche adottate non erano adeguate al rischio esistente correlato al trattamento dei dati della clientela e che queste inadeguatezze hanno comportato l’accesso non autorizzato.
L’indagine ha inoltre generato ulteriori contestazioni relative alla gestione del dato sotto il profilo della corretta formulazione dell’informativa e della raccolta dei consensi.
Quello che però è di particolare interesse sono le considerazioni formulate dall’autorità polacca con riferimento alle misure di sicurezza “adeguate” e alla individuazione delle stesse che sia stata effettuata, come prescritto dall’art. 32 del Regolamento UE 2016/679, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Alcuni punti salienti sono rinvenibili ad una lettura del provvedimento. Tale lettura evidenzia come:
- l’autorità polacca, richiamando le misure di sicurezza individuate dall’ ENISA – l’Agenzia europea per la sicurezza delle reti e dell’informazione nelle sue linee guida sulla sicurezza del trattamento dei dati personali emesse nel 2016, individui come opportuno l’uso di un meccanismo di autenticazione a due fattori per i sistemi che comportano l’accesso ai dati personali;
- sempre in tema di autenticazione a due fattori l’autorità polacca richiami anche il documento OWASP Top 10 – 2017 dell’OWASP Foundation, un’organizzazione internazionale senza scopo di lucro il cui obiettivo è lo sviluppo e la diffusione di buone pratiche rivolte agli sviluppatori di software;
- l’autorità polacca stigmatizzi, riferendosi sempre le misure di sicurezza individuate dall’ ENISA, la mancata implementazione di un sistema idoneo a rilevare anomalie nel traffico di dati (tale sistema, ove presente, avrebbe consentito di individuare come per un periodo di diversi mesi era presente un traffico di dati anomalo).
L’European Data Protection Board da conto infine del fatto che nella quantificazione della sanzione hanno pesato il numero dei soggetti coinvolti e la mancata implementazione di misure ritenute adeguate, ma anche – a favore del titolare del trattamento sanzionato – l’implementazione di misure idonee a interrompere la compromissione e mitigarne gli effetti, la collaborazione fattiva e il fatto che il titolare non avesse mai violato la normativa in precedenza.