Un’ingiunzione del Garante a un ente che ha subito un attacco informatico che ha causato una violazione dei dati

Il Garante per la protezione dei dati personali ha pubblicato un provvedimento (link) adottato recentemente  che riguarda una violazione del trattamento dei dati conseguente alla “perdita” di dati a seguito di un virus informatico.

Un ente, nella qualità di titolare del trattamento ha dichiarato di essere venuto a conoscenza di un incidente, su segnalazione da parte di un interessato, riguardante una violazione dei dati personali, consistente nella temporanea perdita di disponibilità dei dati presenti in un certo numero di server e PC e nella probabile perdita di riservatezza degli stessi dati, a seguito di un attacco informatico ransomware che ha determinato la criptazione dei dati e la probabile esfiltrazione degli stessi.

Risulta inoltre che  “al momento della violazione, il titolare effettuava regolarmente il back up dei dati. Esiste perciò una copia di backup di tutti i dati (non compromessa dall’attacco) con la quale il titolare ha già provveduto a ripristinare i dati resi indisponibili”.

Il Garante, esaminato il caso considera che il titolare del trattamento ha ritenuto che il livello di gravità del potenziale impatto per gli interessati fosse di livello “basso”, in quanto “nell’impossibilità di escludere che i dati siano stati esfiltrati. Conseguentemente, la gravità del potenziale impatto dell’incidente per gli interessati dovrebbe considerarsi trascurabile avuto riguardo alla temporanea perdita di disponibilità e alla possibile perdita di riservatezza.

Pur essendo l’esfiltrazione possibile, infatti, in considerazione della natura dei dati coinvolti dall’incidente (tutti dati comuni, ad eccezione dei dati relativi al giudizio di idoneità alle mansioni dei dipendenti, in ogni caso non suscettibili di rivelare informazioni di dettaglio sullo stato di salute degli interessati), delle categorie di interessati cui i dati si riferiscono (essenzialmente dipendenti e clienti/fornitori ditte individuali, i cui rapporti con il titolare sono, in molti casi, cessati) e, quindi, dell’uso che l’attaccante possa fare dei dati compromessi, nessun danno economico o sociale per gli interessati potrebbe derivare dalla loro divulgazione o comunque dal loro trattamento non autorizzato.

Solo in relazione al possibile utilizzo delle credenziali di autenticazione memorizzate nel dispositivo in uso a un dipendente, la gravità del potenziale impatto per gli interessati dovrebbe considerarsi media. Il titolare ha in ogni caso già provveduto a comunicare all’interessato l’incidente, ai sensi dell’art. 34 GDPR, invitandolo a sostituire tempestivamente le password utilizzate”.

Il Garante rileva, tuttavia, che il titolare ha ritenuto di non effettuare la comunicazione a tutti gli interessati coinvolti, ai sensi dell’art. 34 del Regolamento, ma solo all’interessato le cui credenziali sono state oggetto di violazione. Tale comportamento avrebbe violato l’art. 34, par. 1, del Regolamento che stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Conseguentemente ingiunge al titolare del trattamento di comunicare la violazione dei dati personali agli interessati coinvolti senza ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento; 2) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice e richiede di fornire all’Autorità, entro sette giorni dal completamento delle comunicazioni un riscontro adeguatamente documentato in merito alle iniziative intraprese e alle eventuali ulteriori misure adottate per attenuare i possibili effetti pregiudizievoli della violazione nei confronti degli interessati.

Nel provvedimento è inoltre richiamata la possibile applicazione di sanzioni pecuniarie in caso di inottemperanza.