In caso di data breach le comunicazioni date agli utenti non devono essere generiche, comunica il Garante della privacy. Al contrario, devono permettere di conoscere in modo specifico come proteggersi dall’uso irregolare dei propri dati personali, per esempio dal furto di identità. Una precisazione utile a molte aziende che si possono trovare a dover informare i propri clienti riguardo alla sottrazione dei dati in caso di violazione, attacco informatico, errore. Nella maggior parte dei casi “il problema nasce dalla tendenza a non fare una corretta analisi del rischio”, spiega a Cybersecurity360.it l’avvocato Giuseppe Vaciago.
La comunicazione dell’autorità italiana prende spunto da un caso specifico, quello della società Italiaonline, fornitore di servizi di posta elettronica, verso cui il Garante ha emesso un provvedimento con cui ingiunge di fornire le adeguate informazioni agli utenti coinvolti dal data breach.
Indice degli argomenti
Informazioni insufficienti
La società ha denunciato al Garante della privacy che il 20 febbraio 2019 era stato rilevato un accesso fraudolento tramite un hotspot della rete wifi, che aveva portato alla violazione di circa un milione e mezzo di credenziali di utenti che avevano acceduto ai servizi tramite webmail. Italiaonline aveva spinto gli utenti a cambiare le password e aveva prodotto una pagina sul proprio sito annunciando di aver subito la violazione, nell’attesa di mandare un messaggio personale a tutti gli utenti coinvolti. È scattata poi un’ispezione del Garante della privacy, che ha accertato come la mail personale fosse stata inviata, ma il contenuto non era adeguato a quanto previsto dalla normativa.
Il data breach non era descritto come una vera violazione ma come “attività anomala sui sistemi”. Agli utenti che avevano già cambiato la password non venivano forniti ulteriori consigli su come evitare pericoli dovuti alla sottrazione dei dati, mentre a chi non aveva cambiato la password entro 48 ore dall’incidente si consigliava di farlo per “eliminare il rischio di accesso indesiderato alla casella mail”. Il Garante della privacy ha ritenuto insufficienti le informazioni, considerando i gravi rischi conseguenti all’accaduto.
Cosa comunicare in caso di data breach
Ora la società Italiaonline dovrà inviare una nuova comunicazione relativa alla violazione subita. Il Garante ha ingiunto di integrare l’informazione con:
- la descrizione della natura della violazione
- la descrizione delle possibili conseguenze
- precise indicazioni su quali accorgimenti prendere per evitare ulteriori rischi.
In particolare, spiega il Garante, bisognerà spiegare di non usare le credenziali precedentemente adottate, ma anche di cambiare le password per il login ad altri servizi online se si tratta di credenziali uguali o simili a quelle sottratte.
Come prevenire: il consiglio per le aziende
L’avvocato Vaciago ha precisato: “La normativa di riferimento è l’articolo del GDPR sulla corretta informazione all’interessato. Dal mio punto di vista a livello generale, non riferendomi a Italiaonline, il problema nasce dalla tendenza a non fare una corretta analisi del rischio. Se non si capisce bene cosa sia successo, non lo si può adeguatamente comunicare”.
Molto spesso invece “vengono fatte comunicazioni al Garante e agli interessati non corrette non per dolo, ma per non aver fatto una corretta analisi del rischio: in questo modo però si crea allarmismo o al contrario si sottostima un problema”.
