Nei giorni scorsi, secondo numerose fonti, i clienti di MailUp avrebbero ricevuto una serie di messaggi con cui la società ha informato di aver subìto un data breach.
Pare difatti che nei giorni precedenti il 25 aprile, MailUp abbia avuto conoscenza di un incidente informatico dovuto ad un attacco ransomware che avrebbe causato la cifratura di alcuni server, rendendo quindi temporaneamente indisponibili le informazioni ivi contenute (la temporanea indisponibilità dei dati rientra nelle casistiche previste nella definizione di data breach, sebbene nessun dato sia stato rubato).
MailUp si è quindi attivata tempestivamente e ha inviato la comunicazione di breach a tutti i propri clienti in modo da consentire ogni più opportuna valutazione in merito alla notifica o meno della violazione al Garante della Privacy e agli interessati, così come previsto dagli articoli 33 e 34 del GDPR.
A tal riguardo, i primi due commi dell’art. 33 GDPR prevedono:
“1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”
Nel caso in esame è da ritenere quindi che, essendo MailUp inquadrabile come responsabile esterno del trattamento, non spetti ad ella ma al titolare del trattamento la scelta in merito alla notifica o meno della violazione al Garante. In concreto, spetta quindi ai clienti di MailUp decidere come comportarsi.
Indice degli argomenti
Data breach MailUp: il contenimento
Ora, a parere di chi scrive è a questo punto necessario sgomberare il campo da fraintendimenti: il fatto di aver subito un data breach non colloca irrimediabilmente l’azienda nella categoria delle società poco sicure. Purtroppo, è ormai evidente come anche in presenza dei migliori sistemi di sicurezza, non sia mai possibile escludere del tutto la possibilità di violazioni ai sistemi.
Non solo, la violazione del perimetro informativo non comporta necessariamente l’obbligo di notificare al Garante, risultando la stessa superflua nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Assume quindi un valore primario la comunicazione inviata dal responsabile al titolare. Ed infatti, la tempestività di tale comunicazione permette in primis al titolare di valutare se inviare la comunicazione ai propri interessati, in modo da contenere eventuali ulteriori danni. A volte è sufficiente una modifica delle credenziali per evitare ulteriori violazioni, in altri casi servono provvedimenti più macchinosi, ma una pronta reazione è sicuramente un elemento capace di far abbassare il grado di rischio.
In tal senso è sicuramente apprezzabile la rapidità di MailUp. Come noto, ci sono difatti delle società che, a seguito di un breach, fanno finta di nulla, altre che danno la colpa a nemici la cui esistenza viene poi smentita (vedi INPS) e, infine, ci sono società che, pur avendo subito un breach, si comportano nel pieno rispetto della norma. MailUp, sino ad ora, parrebbe annoverarsi in quest’ultima casistica.
Le comunicazioni (più di una) parrebbero essere state molto esaustive e capaci di fornire uno scenario dettagliato al titolare del trattamento, permettendo a quest’ultimo di prendere provvedimenti contenitivi nel minor tempo possibile.
Gravità e probabilità del danno
Come abbiamo visto, pur essendo sicuramente importante l’attività di contenimento, il tema principale resta quello di comprendere se la violazione di per sé abbia o meno avuto effetti gravi nei confronti dei diritti degli interessati.
Ma come fare una simile valutazione? La risposta ce la possono dare le linee guida del WP29 pubblicate il 6 febbraio 2018, le quali illustrano sapientemente quando si deve ritenere obbligatorio procedere con la notifica al Garante.
In base al Gruppo di Lavoro (ora EDPB) tale rischio sussiste “quando la violazione può comportare un danno fisico, materiale o immateriale per le persone fisiche i cui dati sono stati violati. Esempi di tali danni sono la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie e il pregiudizio alla reputazione. Il verificarsi di tale danno dovrebbe essere considerato probabile quando la violazione riguarda dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, oppure che includono dati genetici, dati relativi alla salute o dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza”.
Ora, è evidente che nel caso in esame, salve situazioni limite (es. utilizzo di MailUp per inviare newsletter ad iscritti ad un partito), la violazione non avrà comportato la perdita di dati particolari, capaci di comportare una discriminazione o di consentire il furto di identità, dovendo tendenzialmente ritenersi, già prima facie, di poco rilievo gli effetti del breach sui diritti degli interessati.
Difatti, sempre secondo il WP 29, nel valutare il rischio per le persone fisiche derivante da una violazione, il titolare del trattamento dovrebbe considerare le circostanze specifiche della violazione considerata nel concreto. In tal senso rilevano i seguenti fattori:
- tipo di violazione;
- natura, carattere sensibile e volume dei dati personali;
- facilità di identificazione delle persone fisiche;
- gravità delle conseguenze per le persone fisiche;
- caratteristiche particolari dell’interessato;
- caratteristiche particolari del titolare del trattamento di dati;
- numero di persone fisiche interessate.
Pertanto, nell’effettuare tale valutazione, il titolare del trattamento dovrebbe considerare tanto la gravità dell’impatto potenziale sui diritti e sulle libertà delle persone fisiche quanto la probabilità che tale impatto si verifichi.
A tal riguardo, è utile evidenziare come nel caso di specie l’unica conseguenza parrebbe essere stata quella del temporaneo disservizio e ciò in quanto i backup hanno permesso l’immediato ripristino e, stando alle ricostruzioni, la responsabile avrebbe precisato che non ci sarebbero stati accessi ai dati e non sarebbero state effettuate copie di alcun tipo.
Di conseguenza, stando così le cose, tutti i fattori di cui sopra risulterebbero “not applicable”, motivo per cui è possibile ritenere non dovuta la notifica al Garante per la Protezione dei Dati Personali.
Tuttavia, occorre ricordarlo, è comunque per il titolare necessario prendere nota dell’avvenuta violazione sul c.d. “registro dei data breach”, specificando la data della violazione e tutte le altre informazioni rilevanti, compreso il motivo per cui si è scelto di non procedere con la notifica.
