GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Provvedimento su data breach
Registro dei provvedimenti n. 226 del 18 dicembre 2019
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
NELLA riunione odierna, in presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della dott.ssa XX e della prof.ssa XX, componenti, e del dott. XX, segretario generale;
VISTO il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);
VISTE le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE la dott.ssa XX;
1. Premessa
In data 8 ottobre 2019 la Antherica S.r.l., p.iva 02058130358 con sede in Reggio Emilia (RE) via Passo Buole n. 82 (di seguito “società”), ha notificato a questa Autorità, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali che “ha portato al furto e alla pubblicazione, in data 06/10/2019, di alcune informazioni riservate contenute nel database. Obiettivo dell’attacco risultano essere i siti [di una formazione politica]”.
A seguito della notifica si è ritenuto opportuno effettuare un accertamento ispettivo, volto ad acquisire ulteriori elementi informativi nonché a verificare l’adeguatezza delle misure tecniche e organizzative adottate dalla società a protezione dei dati personali trattati nell’erogazione dei servizi online e delle ulteriori misure poste in essere a seguito della violazione.
2. Risultanze istruttorie
Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, dal complesso delle risultanze istruttorie, tra cui gli esiti dell’accertamento ispettivo svolto nei giorni 27, 28 e 29 novembre 2019, sono emersi diversi profili di criticità di seguito elencati.
2.1 Sistemi coinvolti nella violazione
La società ha rappresentato di occuparsi principalmente di sviluppo, gestione e manutenzione di software per la realizzazione di progetti sul web resi disponibili mediante un’infrastruttura informatica di un fornitore di servizi di cui la società si avvale.
Nell’esercizio di tali attività, la società tratta dati personali in nome e per conto dei propri clienti (soggetti terzi): tra i vari trattamenti vi è anche la raccolta e la conservazione dei dati.
La società, inoltre, utilizza la medesima infrastruttura informatica per ospitare alcuni siti web mediante i quali tratta dati personali in qualità di titolare del trattamento.
La violazione dei dati personali, perpetrata mediante un attacco informatico di tipo SQL Injection, è consistita nella perdita della confidenzialità dei dati contenuti nel database server e nella successiva diffusione di una parte di tali dati. Il server compromesso è utilizzato non solo a supporto dei siti web indicati nella notifica ma anche per erogare servizi a circa ulteriori 200 siti web.
La società è venuta a conoscenza dell’avvenuta diffusione dei dati anche mediante una segnalazione ricevuta dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.) in data 7 ottobre 2019 (cfr. verbale del 27 novembre 2019, pag. 3).
2.2 Categorie di dati personali oggetto di violazione e numero degli interessati coinvolti
La società ha dichiarato che, dalle analisi effettuate successivamente alla violazione, non è stato possibile “ricostruire l’elenco delle URL utilizzate durante la violazione” per portare a termine l’attacco informatico (cfr. verbale del 27 novembre 2019, pag. 2). Inoltre, dall’analisi dei dati oggetto di diffusione si evince la violazione della riservatezza del contenuto anche di ulteriori database, ospitati sul medesimo server coinvolto nell’attacco, che non sono correlabili, né logicamente né tecnicamente, ai sette siti web oggetto di violazione indicati nella notifica.
Nel database server coinvolto nella violazione erano presenti 219 database, di cui 109 contenenti dati personali, riconducibili a diverse categorie di dati - quali dati anagrafici, dati di contatto, dati di accesso e identificazione, e dati atti a rilevare opinioni politiche.
In relazione alla definizione del perimetro della violazione, la stessa società ha dichiarato di non disporre di elementi oggettivi atti ad escludere la compromissione della riservatezza anche del contenuto degli altri database i cui dati non sono stati oggetto di diffusione (cfr. verbale del 28 novembre, pag. 3).
Tra i vari dati memorizzati, vi erano anche le password utilizzate dagli utenti per l’accesso alle aree riservate dei siti web, con ben 7364 password che al momento della violazione erano memorizzate “in chiaro” – nonché le password relative alle utenze amministrative (in uso agli utenti cui è concessa la facoltà di modificare i contenuti dei singoli siti web) – che erano memorizzate in forma cifrata (cfr. verbale del 28 novembre 2019, pag. 5).
2.3 Ruolo ricoperto dalla società in relazione al trattamento dei dati oggetto di violazione
La società ha riferito che, in relazione al trattamento dei dati personali memorizzati nei citati 109 database, i dati memorizzati in 15 database vengono trattati in qualità di titolare del trattamento, i dati memorizzati in ulteriori 61 database vengono trattati in qualità di responsabile del trattamento per conto di 39 titolari del trattamento, e quelli memorizzati nei restanti 33 database vengono trattati per conto di altri titolari per il tramite di quattro responsabili del trattamento.
2.4 Misure poste in essere a seguito della violazione
La società ha dichiarato che, una volta venuta a conoscenza della violazione, ha provveduto tempestivamente a eliminare la vulnerabilità sfruttata per l’accesso abusivo e, successivamente, a modificare tutte i siti web, introducendo meccanismi di cifratura su gran parte delle categorie di dati personali all’atto della loro memorizzazione nel database.
Inoltre, la società ha dichiarato di aver modificato tutte le password memorizzate all’interno del database coinvolto nella violazione, indipendentemente dalle modalità – in chiaro o cifrate – con le quali queste fossero conservate al momento della violazione, al fine di scongiurarne utilizzi indebiti (cfr. verbale del 28 novembre 2019, pag. 5).
La società ha altresì rappresentato che, al fine di prevenire simili violazioni future, ha effettuato un’attività di vulnerability assessment, avvalendosi di una società specializzata nel settore della cybersecurity, individuando ulteriori azioni correttive per l’innalzamento dei livelli di sicurezza (cfr. verbale del 28 novembre 2019, pag. 5).
3. Valutazione del livello di rischio per gli interessati e comunicazione agli interessati
I considerando nn. 75 e 76 del Regolamento suggeriscono che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva.
Inoltre, le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679”, annoverano tra i fattori da considerare nella valutazione del rischio per gli interessati – a fronte di una violazione dei dati personali – sia la facilità di identificazione delle persone fisiche che la gravità delle conseguenze per le stesse.
I dati personali oggetto della violazione in esame - tra cui dati anagrafici e di contatto - consentono facilmente di scoprire l’identità degli interessati senza che sia necessaria alcuna speciale ricerca.
Inoltre, l’acquisizione da parte di terzi di credenziali di autenticazione per l’accesso ad un servizio, indipendentemente dal fatto che ne consegua un loro effettivo utilizzo, è da ritenere fonte di potenziale grave pregiudizio per gli interessati. Ciò deriva dall’elevata probabilità che le medesime credenziali possano essere state utilizzate dagli interessati per altri servizi online, e che il loro indebito utilizzo da parte di terzi possa comportare il furto o l’usurpazione di identità.
La violazione dei dati personali in argomento è quindi suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento, secondo cui “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”.
Tra le misure che il titolare del trattamento deve adottare per far fronte alla violazione occorsa e attenuarne i possibili effetti negativi per gli interessati, la comunicazione agli interessati ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli interessati possono adottare per proteggersi.
La comunicazione agli interessati, ai sensi dell’art. 34, par. 2, del Regolamento “[…] descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni di cui all’articolo 33, paragrafo 3, lettere b), c) e d)” e, conformemente alle indicazioni contenute nelle citate linee-guida, il titolare “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”.
La società, come emerso dalle risultanze istruttorie, non ha provveduto ad effettuare la comunicazione agli interessati, ai sensi dell’art. 34 del Regolamento, in relazione ai trattamenti effettuati in qualità di titolare nel cui ambito le password individuali venivano memorizzate in chiaro.
Alla luce del complessivo esame delle circostanze e delle considerazioni svolte, si ravvisa la necessità e l’urgenza di ingiungere al titolare del trattamento, ai sensi degli artt. 34, par. 4 e 58, par. 2, lett. e) del Regolamento, di comunicare la violazione agli interessati le cui credenziali di autenticazione erano memorizzate in chiaro, descrivendo la natura della violazione e le possibili conseguenze della stessa, nonché fornendo loro indicazioni specifiche sulle misure adottabili per proteggersi da eventuali conseguenze negative della violazione, quali la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione.
4. Comunicazione dell’avvenuta violazione al titolare del trattamento
L’art. 4 del Regolamento definisce al punto 7) il “titolare” quale “persona […] giuridica […] che […] determina le finalità e i mezzi del trattamento di dati personali”, e, al punto 8), il “responsabile” quale “persona […] giuridica […] che tratta dati personali per conto del titolare”.
Nel caso di specie, i clienti della società rivestono la qualifica di titolari, in quanto la società effettua tali trattamenti in loro nome e per loro conto.
Ai sensi dell’art. 33, par. 2, del Regolamento, il responsabile del trattamento “informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione” e, ai sensi dell’art. 28 assiste “il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 […]”.
Dalle risultanze istruttorie è emerso che la società non ha provveduto ad informare i propri clienti e, quindi, i titolari o responsabili del trattamento, fatta eccezione per sei dei sette clienti della società indicati nella notifica di cui in premessa e i cui dati sono stati oggetto di diffusione (cfr. verbale del 29 novembre 2019, pag. 2).
Si ravvisano quindi la necessità e l’urgenza di informare senza ingiustificato ritardo i titolari del trattamento, anche per il tramite di eventuali responsabili del trattamento, riguardo alla violazione dei dati personali occorsa, fornendo tutte le informazioni di dettaglio necessarie per consentire loro di effettuare le dovute valutazioni e conseguentemente porre in essere, laddove necessario, tutte le iniziative di cui agli art. 33 e 34 del Regolamento.
Si ravvisa, inoltre, la necessità di ingiungere alla società, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di informare i propri clienti dell’avvenuta violazione.
* * *
Oltre agli aspetti critici evidenziati nel presente provvedimento, che rivestono carattere di urgenza, l’Autorità si riserva di verificare con ulteriori approfondimenti istruttori la conformità al Regolamento dei trattamenti effettuati.
Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.
Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
a) ai sensi degli artt. 34, par. 4 e 58, par. 2, lett. e) del Regolamento, ingiunge alla società, in relazione ai trattamenti per i quali opera in qualità di titolare, di comunicare senza ingiustificato ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali a tutti gli interessati le cui credenziali di autenticazione erano memorizzate in forma non cifrata, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento nonché le ulteriori indicazioni di cui al punto 3 del presente provvedimento;
b) ai sensi degli artt. 33, par. 2, e 58, par. 2, lett. d) del Regolamento, ingiunge alla società, in relazione ai trattamenti per i quali opera in qualità di responsabile, di comunicare senza ingiustificato ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, ai titolari del trattamento, anche per il tramite di eventuali responsabili del trattamento, l’avvenuta violazione dei dati personali, fornendo tutte le informazioni di dettaglio necessarie per consentire loro di effettuare le dovute valutazioni e conseguentemente porre in essere, laddove necessario, gli adempimenti di cui agli artt. 33 e 34 del Regolamento.
Si richiede alla società di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice entro quindici giorni dalla ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 18 dicembre 2019
Fonte: Autorità Garante