Il concetto di “Data Breach” è diventato negli ultimi mesi sempre più familiare, basti pensare ai recenti attacchi informatici perpetrati da Anonymus, che hanno colpito da vicino circa 140mila avvocati italiani.
Il fenomeno è in aumento, ma non si tratta di un’assoluta novità: violazioni di questo genere erano diffuse già ben prima dell’avvento del GDPR, sebbene solo all’indomani della sua piena esecutività le aziende abbiano iniziato ad acquisire una rinnovata attenzione per le responsabilità connesse alla protezione dei dati. In concreto, nel caso in cui la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, le aziende sono obbligate a comunicare agli utenti che i loro dati sono stati compromessi.
Cosa fare dunque nel caso accorra una violazione di dati personali?
Accanto agli obblighi di notifica all’autorità di controllo, l’art. 34 del GDPR prevede in capo ai titolari l’obbligo di comunicazione agli interessati qualora la violazione possa comportare un rischio per libertà e i diritti degli stessi , al fine di consentire loro di attivarsi a tutela dei propri interessi. Come evidenziato dal Gruppo di lavoro WP29, esistono due fattispecie di obblighi innescati dal superamento di soglie di rischio rispettivamente differenti: è sufficiente un rischio “semplice” per far sorgere il dovere di notifica all’Autorità Garante, mentre è necessario un rischio “elevato” per attivare quello di comunicazione agli interessati.
Come ottemperare in modo corretto alle regole previste dal GDPR?
Non si tratta infatti di un aspetto da trascurare. In un recente provvedimento emesso nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica (Italiaonline S.p.A.), il Garante per la protezione dei dati personali ha affermato che in caso di Data Breach , le comunicazioni agli interessati ex art.34 del Gdpr non devono essere generiche e anzi è necessario che siano fornite attenendosi a precise indicazioni.
Con la notifica di violazione dei dati personali trasmessa ai sensi dell’art. 33 del Regolamento all’Autorità Garante, Italiaonline S.p.A. aveva dichiarato che le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail. Per mitigare le possibili conseguenze del Data Breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente.
La società aveva perciò provveduto ad inviare due comunicazioni diversificate a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.
In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, considerando questa azione come “sufficiente” per rendere inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solo di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Le indicazioni così fornite sono state ritenute insufficienti dall’Autorità, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli interessati.
Il Garante ha perciò “corretto” l’azione posta in essere da Italiaonline S.p.A., indicando di comunicare la violazione dei dati personali a tutti gli interessati coinvolti senza ritardo, e comunque entro trenta giorni dalla data di ricezione del provvedimento, fornendo almeno le informazioni previste dall’art. 34, par. 2, del Regolamento e utilizzando mezzi di comunicazione che permettano di raggiungere il maggior numero di interessati. Nel caso specifico, ad esempio, occorreva spiegare agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.
Il provvedimento del Garante è in tale senso emblematico: non basta procedere ad una “generica” comunicazione del Data Breach agli interessati, ma occorre che si fornisca una precisa descrizione della natura della violazione e delle sue possibili conseguenze e indicazioni dettagliate sugli accorgimenti da adottare per evitare l’incorrere di ulteriori rischi.