Il Garante per la protezione dei dati personali chiarisce il contenuto delle comunicazioni da inviare agli interessati i...
Il Garante per la protezione dei dati personali (di seguito, “Garante Privacy”), con provvedimento n. 106 del 30 aprile 2019, adottato nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa da una società operante nel settore delle telecomunicazioni, ha chiarito che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
Tra i primi interventi adottati per contenere le possibili conseguenze del data breach, verificatosi in conseguenza di un attacco informatico, la società aveva “forzato” gli utenti a reimpostare la password e creato una pagina apposita sul proprio sito per informare gli interessati della violazione, in attesa di inviare una email a tutti i soggetti coinvolti. Tale email, tuttavia, secondo quando stabilito nel provvedimento dal Garante Privacy, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali e dalle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29.
La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach. In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica, si suggeriva esclusivamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Tali informazioni sono state ritenute insufficiente dal Garante Privacy, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.
La società dovrà effettuare, pertanto, una nuova comunicazione sul data breach subìto, la quale dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. In particolare, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.
Il provvedimento in questione sottolinea l’importanza, in caso di data breach, della predisposizione di opportune comunicazioni da inviare ai soggetti coinvolti, le quali dovranno indicare specifiche misure da adottare al fine di consentire all’interessato di proteggere i propri dati da tutti i rischi derivanti da tale evento.