g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 21 marzo 2024 [10010449]

Provvedimento del 21 marzo 2024 [10010449]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10010449]

Provvedimento del 21 marzo 2024

Registro dei provvedimenti
n. 168 del 21 marzo 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTI in particolare gli articoli 33 e 34 del Regolamento rubricati, rispettivamente, “Notifica di una violazione dei dati personali all’autorità di controllo” e “Comunicazione di una violazione dei dati personali all’interessato”, e l’art. 32 rubricato “Sicurezza del trattamento”;

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTE le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023 in sostituzione delle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida sulla notifica”);

VISTE le “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021 (di seguito “Linee guida sui casi di violazione dei dati personali”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (di seguito, “regolamento 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

L’Autorità è venuta a conoscenza, attraverso la notifica di violazione dei dati personali del 26 gennaio 2024, effettuata, in via preliminare e successivamente integrata, ai sensi dell’art. 33 dalla società Demofin S.r.l. (di seguito “titolare” o “società”), di un attacco hacker subito, il 21 gennaio 2024, dal responsabile del trattamento Sefin S.p.A. che ha comportato la cifratura e la successiva esfiltrazione di dati e documenti presenti in 5 di 195 server gestiti da tale soggetto. I dati personali coinvolti nell’attacco sono dati anagrafici: nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale; dati di contatto: indirizzo postale o di posta elettronica, numero di telefono fisso o mobile; dati specifici riferiti al settore di attività del titolare cioè dati di natura finanziaria o creditizia, di cui, tra gli altri: numero di conto corrente, dettagli della carta di credito, posizione debitoria; dati relativi a documenti di identificazione/riconoscimento: carta di identità, passaporto, patente, CNS.

Da un esame effettuato dall’Ufficio risulta altresì che siti internet dedicati alla raccolta e diffusione di rivendicazioni di attacchi ransomware – cfr. a titolo di esempio quanto all’indirizzo web https://ransomfeed.it/index.php?page=post_details&id_post=13062 – abbiano dato pubblicità dell’avvenuta esfiltrazione dei dati oggetto di attacco e della loro potenziale pubblicazione online.

Con successiva notifica integrativa del 2 febbraio 2024, la società ha dichiarato di ritenere che “la violazione non sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, rappresentando di non aver pertanto proceduto a informare gli interessati ai sensi dell’art. 34 del Regolamento.

Nelle more della definizione dell’istruttoria tuttora in corso, finalizzata all’approfondimento di quanto sopra illustrato e alla definizione delle responsabilità in merito all’accaduto, si rende necessario valutare la conformità delle iniziative fin qui intraprese dalla società Demofin S.r.l. a tutela degli interessati, con particolare riferimento al pieno ed efficace assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento

Al riguardo, il Regolamento stabilisce che nella valutazione del rischio siano prese in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati, e che tali rischi siano determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76).

In particolare, le Linee guida sulla notifica individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

Diversamente da quanto valutato dal titolare, l’Autorità ritiene che la violazione dei dati personali oggetto di notifica sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Ciò, tenuto conto della natura della violazione dei dati personali, delle categorie dei dati personali oggetto di violazione, della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione quali, a esempio, il furto di identità, la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale, nonché del ruolo rivestito dal titolare nel settore del credito, che richiede un elevato grado di responsabilizzazione al fine di garantire la fiducia nei suoi confronti da parte dei clienti, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento.

L’art. 34, par. 1, del Regolamento che stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”, fatti salvi i casi in cui tale comunicazione non è richiesta in quanto risulta essere soddisfatta una delle condizioni previste al par. 3 del medesimo articolo, non applicabile al caso in specie.

Le citate Linee guida sulla notifica ricordano che “in linea di principio, la violazione dovrebbe essere comunicata direttamente agli interessati coinvolti, a meno che ciò richieda uno sforzo sproporzionato. In tal caso, si procede a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia” (cfr. art. 34, par. 3, lett. c), del Regolamento), richiamando le “Linee guida sulla trasparenza ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018. Queste ultime Linee guida chiariscono che il titolare dovrebbe “effettuare una valutazione mettendo sulla bilancia, da un lato, lo sforzo […] e, dall’altro, l’impatto e gli effetti […] sull’interessato”.

Al riguardo, le Linee guida sulla notifica richiamano l’attenzione dei titolari del trattamento su quanto previsto dall’art. 34, par. 3, del Regolamento, facendo presente che “conformemente al principio di responsabilizzazione, il titolare del trattamento dovrebbe essere in grado di dimostrare all’autorità di controllo di soddisfare una o più […] condizioni” per le quali non è richiesta la comunicazione della violazione dei dati personali direttamente agli interessati coinvolti. La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione (cfr. cons. n. 86 del Regolamento).

In ogni caso, le Linee guida sulla notifica raccomandano al titolare del trattamento di “scegliere un mezzo che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate” evidenziando che “si potrebbe altresì prevedere l’adozione di disposizioni tecniche per rendere le informazioni sulla violazione disponibili su richiesta, soluzione questa che potrebbe rivelarsi utile per le persone fisiche che potrebbero essere interessate da una violazione ma che il titolare del trattamento non può altrimenti contattare”.

Le Linee guida sui casi di violazione dei dati personali evidenziano come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware con esfiltrazione poiché “la violazione riguarda non solo la disponibilità dei dati, ma anche la riservatezza, in quanto l'autore dell'attacco può aver modificato e/o copiato i dati dal server. Pertanto, il tipo di violazione comporta un rischio elevato” e che “la natura, la sensibilità e il volume dei dati personali aumentano ulteriormente i rischi, poiché il numero di persone interessate è elevato, così come la quantità complessiva di dati personali compromessi” (cfr. parr. 42 e 43) e, laddove coinvolga dati di diversa natura, fra cui quelli finanziari, può causare un danno più elevato: “Le violazioni che coinvolgono dati sanitari, documenti di identità o dati finanziari come i dettagli della carta di credito possono causare danni di per sé, ma se utilizzate insieme potrebbero essere utilizzate per il furto di identità. Una combinazione di dati personali è in genere più sensibile di un singolo dato personale.” (cfr. par. 108).

Alla luce di quanto sopra, pertanto, il titolare del trattamento è tenuto a comunicare la violazione agli interessati, considerata la particolare delicatezza di alcuni dati personali oggetto di violazione.

Inoltre, si rileva che la decisione del titolare di non effettuare la comunicazione agli interessati non consente loro di prendere le precauzioni necessarie in considerazione della diversa natura dei dati personali oggetto di violazione che li riguardano (cons. n. 86 del Regolamento; cfr. anche provv. n. 264 del 10 dicembre 2020, doc. web n. 9557555).

Ciò, tenuto anche conto del fatto che, nel corso dell’istruttoria fin qui svolta, il titolare, non avendo individuato il numero approssimativo degli interessati coinvolti, non ha evidenziato, né comprovato in alcun modo, la sussistenza della condizione di cui all’art. 34, par. 3, del Regolamento in relazione allo sforzo sproporzionato che la predetta comunicazione richiederebbe.

L’art. 34, par. 4, del Regolamento, stabilisce infine che “nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda”;

Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, si ravvisano la necessità e l’urgenza di ingiungere al titolare del trattamento , ai sensi del combinato disposto degli artt. 34, par. 4, e 58, par. 2, lett. e) del Regolamento, di comunicare individualmente a tutti gli interessati coinvolti e raggiungibili (di cui il titolare ha evidenza allo stato o ne avrà in futuro e i cui dati di contatto ha nella propria disponibilità) la violazione dei dati personali, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento, “senza ingiustificato ritardo” e, in ogni caso, entro quindici giorni dalla data di ricezione del presente provvedimento, al fine di assicurare un’efficace tutela agli interessati, in particolare descrivendo la natura e le possibili conseguenze della violazione, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo informazioni sulle misure adottate per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.

Tale comunicazione dovrà essere effettuata nelle modalità che il titolare riterrà più opportune, individuando un ordine di priorità e una tempistica eventualmente differenziata e proporzionata al rischio, venendo comunque rivolta individualmente a ciascun interessato cui si riferiscano, tra i dati oggetto della violazione, quelli idonei, in caso di diffusione illecita, a produrre livelli di rischio “alto” (dati di natura finanziaria o creditizia e dati relativi ai documenti di identità).

Agli interessati ai quali si riferiscono dati, oggetto di violazione a cui sia associato un livello di rischio inferiore ad “alto” (dati di contatto, dati anagrafici) dovrà parimenti essere rivolta una comunicazione individuale salvo il caso di comprovata valutazione da parte del titolare di eccessiva onerosità e, in tal caso, la comunicazione individuale potrà essere sostituita con un’azione informativa che comprenda un  avviso da pubblicarsi per almeno due settimane sul proprio sito web e una campagna social mirata.

Si richiede, altresì, che tali scelte e le attività conseguenti vengano documentate nel rispetto del principio di responsabilizzazione.

Resta salva ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso e che, in ogni caso, ai sensi dell’art. 19, comma 6 del regolamento 1/2019, è fatta salva l’attività di controllo in caso di sopravvenuti elementi di fatto o di diritto ovvero di diversa e ulteriore valutazione del Garante

Inoltre, si ricorda, ai sensi del combinato disposto degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, che il titolare del trattamento deve dimostrare all’Autorità di aver adempiuto alle prescrizioni impartite mediante la trasmissione di documentati riscontri al Garante, nel caso specifico, entro il termine ritenuto congruo di 30 giorni.

Si ricorda, infine, che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi del combinato disposto degli artt. 34, par. 4 e 58, par. 2, lett. e) del Regolamento, ingiunge alla società Demofin S.r.l. di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali in esame agli interessati coinvolti, nei termini di cui in premessa, e comunque fornendo agli interessati almeno le informazioni di cui all’art. 34, par. 2, del Regolamento;

2) ai sensi del combinato disposto degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, ingiunge altresì alla società di trasmettere all’Autorità, entro trenta giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto disposto al punto 1);

3) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa ai sensi del combinato disposto degli artt. 83, par. 5, lett. e) del Regolamento e 166 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 21 marzo 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10010449
Data
21/03/24

Argomenti

Misure di sicurezza Data breach

Tipologie

Prescrizioni del Garante

Vedi anche (10)