Il Garante Privacy, con provvedimento n. 572 del 4 luglio 2024 ha sanzionato una società che per quasi un anno non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi informatici, attraverso la quale ha poi subito una violazione dei dati personali (data breach).
Nell’agosto del 2023, la società era infatti stata oggetto di un attacco informatico di tipo ransomware che aveva causato il blocco dei server e di alcune postazioni di lavoro: tale attacco aveva comportato l’esfiltrazione di file contenenti i dati personali di circa 25mila interessati; le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.
Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software, e poi dall’Agenzia per la cybersicurezza nazionale, la società non aveva aggiornato, come raccomandato, i propri sistemi, venendo meno agli obblighi previsti dalla normativa di protezione dei dati personali, che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.
Il Garante ha quindi ingiunto alla società, oltre al pagamento della sanzione pecuniaria, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.
La mancata adozione di misure tecniche e organizzative idonee a prevenire i data breach
Il Garante ricorda che l’art. 5, par. 1, lett. f) del GDPR stabilisce che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Inoltre, anche l’art. 32 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio: nel valutare l’adeguato livello di sicurezza si devono considerare in special modo i rischi presentati dal trattamento, che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trattati.
In base al principio di protezione dei dati fin dalla progettazione di cui all’art. 25, par. 1, del GDPR, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
In base al principio della protezione dei dati per impostazione predefinita (paragrafo 2 dello stesso articolo), il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento, con riferimento alla quantità dei dati personali raccolti, alla portata del trattamento, al periodo di conservazione e all’accessibilità, garantendo, che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Dall’esame di quanto dichiarato e dalla documentazione prodotta dalla Società, è risultato evidente al Garante che la stessa non avesse fatto tutto quanto poteva per evitare la violazione di dati (data breach), poiché non aveva adottato quelle misure di mitigazione che erano state rese pubbliche e che, a livello nazionale, anche l’Agenzia per la Cybersicurezza nazionale aveva fortemente raccomandato.
Il Garante non ha ritenuto giustificabile la condotta della società sulla base della difesa per cui a causa di un errore umano nella configurazione delle attività di scansione il server oggetto dell’attacco era rimasto escluso dalla scansione medesima: la delicatezza dei sistemi impattati, le attività di patching e di aggiornamento avrebbero dovuto essere sottoposte a controlli ripetuti e necessariamente ridondanti da parte della Società e non eseguite a partire da un’attività manuale non oggetto di alcuna successiva verifica.
Con riferimento ai propri sistemi, la Società, per un periodo molto lungo di tempo non è stata quindi in grado di garantire la necessaria protezione rispetto alla perdita e alla diffusione dei dati personali trattati, se non parzialmente attraverso degli workaround, per loro natura da considerarsi una soluzione temporanea e di emergenza, tra l’altro e comunque non applicati a tutti i server: la mancata attività di aggiornamento di tutti i sistemi, nonostante non sia stata direttamente la causa dell’attacco perpetrato dalla cybergang, ha senz’altro reso vulnerabili i sistemi e i dati da questi trattati, rendendoli non adeguatamente protetti rispetto ai rischi incombenti.
Per tali motivi la Società non è stata dunque in grado di assicurare su base permanente la riservatezza, l’integrità e la resilienza dei sistemi e dei servizi di trattamento e non ha adottato una procedura finalizzata a verificare regolarmente l’efficacia delle misure tecniche applicate ad essi.
In relazione al complesso delle motivazioni sopra riportate, il garante ha ritenuto che la Società abbia violato gli artt. 5, par. 1, lett. f), 25 e 32 del GDPR.
La segnalazione non esaustiva della violazione dei dati
Dal provvedimento emerge inoltre che la società non avesse fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.
L’art. 33 del GDPR, infine, dispone che in caso di violazione dei dati personali (data breach), il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’art. 55, senza ingiustificato ritardo: la segnalazione deve includere tutte quelle informazioni necessarie per individuare le caratteristiche dell’incidente informatico da cui ha avuto origine la violazione dei dati.
Tali elementi sono necessari per consentire al Garante, al verificarsi di una violazione di dati, di esercitare i suoi poteri e appurare che siano state messe in atto le misure tecnologiche e organizzative adeguate alla fattispecie concreta, anche nell’ottica di ripristinare un adeguato livello di protezione dei dati personali violati.
Inoltre, le Guidelines EDPB 9/2022 on personal data breach notification under GDPR chiariscono che, in ogni caso, oltre alle informazioni di cui espressamente il Regolamento chiede la presenza, il titolare del trattamento, valutato il caso di specie, deve proattivamente fornire tutte quelle ulteriori informazioni necessarie per spiegare pienamente le circostanze di ciascun caso di violazione di dati.
Il Garante ha quindi ritenuto che la segnalazione presentata dalla Società fosse priva di tali elementi fondamentali e, quindi, non conforme a quanto previsto dall’art. 33 del GDPR:
- non vi era l’indicazione dei server impattati, della tipologia di vulnerabilità sfruttata dall’attaccante e di alcuni elementi in merito alla kill chain dell’attacco
- la mera compilazione di tutti i campi del modulo standard di notifica presente sul sito Internet istituzionale dell’ Autorità con informazioni generiche, non è stata ritenuta di per sé condizione sufficiente a fornire informazioni adeguate in riferimento all’evento di violazione, vista proprio la vaghezza del contenuto di tali informazioni
- nell’indicare le misure applicate ai sistemi al momento dell’evento, la Società non ha fatto alcun riferimento al dettaglio delle misure di sicurezza che erano applicate, ovvero alle azioni di mitigazione/eliminazione della vulnerabilità eseguite, ma si era limitata ad elencare le misure genericamente adottate.