Il Garante per la protezione dei dati personali, con provvedimento n. 226 del 11 maggio 2017, ha prescritto ad una società operante nel settore telefonico di informare tutti gli interessati di un’avvenuta violazione dei loro dati personali, a tutela di tutte le vittime dell’attacco informatico, potenzialmente esposte al rischio di furti di identità e di accessi non autorizzati ai dati personali.
La Società in questione, a marzo 2017, ai sensi dell’art. 32- bis del Codice Privacy, aveva comunicato all’Autorità di aver subito il data breach, su “sistema informatico di selfcare con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati personali riferiti a 5118 clienti (di cui 683 non più attivi) rilevato da un proprio fornitore di servizi, a tal fine designato responsabile del trattamento”. Nella stessa occasione si era fatto presente che solo “per 402 dei 5118 clienti poteva anche essersi verificato un accesso non autorizzato all’area personale del sistema “Selfcare” … nel quale è presente, tra l’altro, l’anagrafica della clientela”.
Dalla verifica ispettiva del Garante è emerso che il file con i dati dei 5000 clienti, diventato poi oggetto del successivo attacco hacker, era stato generato nel corso di un intervento tecnico e per errore non era stato cancellato, come da prassi, al termine dell’operazione. Rilevato il data breach, la Società ha informato soltanto i 402 clienti per i quali era risultato un accesso alla propria area personale nelle ore in cui era in corso l’incidente, ritenendo che solo per essi potesse configurarsi un potenziale rischio di furto dati, escludendo invece gli altri 5000 clienti vittime del furto delle credenziali di accesso, per i quali l’azienda ha peraltro avviato in automatico (senza però informarli del motivo dell’operazione) il procedimento di cambio di password e Id.
Il Garante ha ribadito che il fatto che l’illecito avesse riguardato, infatti, l’accesso non autorizzato e la copia di user-id (predefinita dalla Società per ciascun cliente…) e password, di per sé “è da ritenere … fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che ne consegua un effettivo utilizzo per accedere a specifiche aree riservate, in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere a diversi portali web atteso che la user-id è costituita dal numero telefonico dell’utente.”
In altre parole, in caso di data breach l’azienda doveva avvertire tutti i clienti vittima del furto delle credenziali e non soltanto i 402 clienti per i quali risultava un accesso all’area personale al momento del suo rilevamento il 20 marzo.
Il Garante, infine, ha prescritto alla società di informare, entro e non oltre 15 giorni dal ricevimento del provvedimento, tutti gli interessati che non erano stati avvertiti in precedenza dell’avvenuta violazione dei dati dandone riscontro documentato all’Autorità.
Ricordiamo che il Garante, con il provvedimento del 4 aprile 2013, ha individuato gli elementi da considerare per valutare il rischio che rende necessaria la comunicazione agli interessati, e, tra questi, l’attualità dei dati oggetto di violazione, la tipologia di violazione verificatasi e gli effetti della stessa per i dati e la vita privata dell’interessato (cfr. punto 7.3 del provvedimento), evidenziando che la comunicazione non è dovuta se viene dimostrata l’adozione di specifiche misure di protezione per rendere i dati inintelligibili.
(Fonte: Garante Privacy)