La conferma del furto dati da parte di ho. Mobile ha importanti impatti privacy e fa automaticamente scattare a carico dell’operatore telefonico tutta una serie di obblighi imposti dalla normativa privacy nel caso in cui si venga a conoscenza di aver subito una violazione di sicurezza (il database con le informazioni personali dei clienti, a quanto pare, era già in vendita sul Dark Web almeno dallo scorso 22 dicembre).
In particolare, occorre individuare i termini entro cui adempiere e quali sono le conseguenze di un mancato adempimento.
Laddove la violazione comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati, il titolare del trattamento deve innanzitutto e rapidamente valutare la necessità di:
- notificare la violazione al Garante per la protezione dei dati personali;
- comunicare la violazione agli interessati i cui dati personali sono stati coinvolti nella violazione.
Indice degli argomenti
Furto dati ho. Mobile: la comunicazione al Garante
Nel caso ho. Mobile, la società ha confermato di aver effettuato la notifica della violazione di sicurezza al Garante.
Non tutte le violazioni di sicurezza devono essere notificate al Garante, secondo la normativa a protezione dei dati personali: vanno notificate solo le violazioni di dati personali che possono avere effetti negativi significativi sugli individui, causando danni fisici, materiali o immateriali, come, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale o perdite finanziarie.
L’art. 33 GDPR impone l’obbligo, in capo al titolare del trattamento, di notificare la violazione all’autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
Indubbiamente, l’Autorità Garante verificherà se in questo caso specifico, la società ha effettuato la notifica senza ingiustificato ritardo, considerando che:
- il titolare del trattamento può considerarsi a conoscenza della violazione nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha comportato la compromissione di dati personali;
- il titolare è tenuto a predisporre “misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato” (Cons. 87 GDPR).
La notifica è ammessa anche “a fasi”: qualora non fossero disponibili tutte le informazioni contestualmente alla notifica (come, ad esempio, nel caso di cyber security incident che necessitino di diverse approfondite indagini per la loro verifica), è concesso di fornirle in fasi successive, naturalmente in modo tempestivo, senza apportare ulteriore ingiustificato ritardo, ravvisando all’Autorità che ulteriori informazioni saranno fornite successivamente. In ogni caso, laddove la notifica non fosse effettuata entro le 72 ore, è necessario indicare i motivi del ritardo.
L’obbligo di notifica sussiste in ogni caso di violazione dei dati personali, salvo il caso in cui sia “improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
La valutazione del rischio è un obbligo del titolare del trattamento, che dovrà effettuarla caso per caso, con l’ausilio delle “Linee guida sulla notifica delle violazioni dei dati personali” e delle tipologie di trattamenti indicati nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati” adottate dal WP articolo 29 e fatte proprie dall’EDPB.
La notifica deve avere un contenuto minimo indicato dalla normativa, in particolare all’art. 33, par. 3 del GDPR e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali e pertanto:
- la descrizione della natura della violazione compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali;
- il nome e i dati di contatto del DPO;
- la descrizione delle probabili conseguenze della violazione subita;
- la descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Ho. Mobile dovrà quindi indicare la natura della violazione ravvisando ogni informazione in suo possesso e descrivere quali azioni sono state in concreto intraprese o intende intraprendere per contenere e risolvere la violazione.
Dovrà, altresì, fornire agli interessati coinvolti nel data breach indicazioni specifiche ed efficaci sulle azioni da porre in essere per proteggersi dalle possibili conseguenze negative della violazione.
Furto dati ho. Mobile: la comunicazione agli interessati
Ho. Mobile ha valutato necessario informare dell’accaduto i clienti colpiti dall’attacco, sia in modo diffuso, ad es. tramite il proprio sito internet, che tramite messaggi inviati ai singoli clienti.
Oltre alla notifica al Garante, infatti, il titolare del trattamento è tenuto a comunicare la violazione subita a tutti gli interessati coinvolti se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone, a meno che abbia già preso misure tali da ridurne l’impatto, come indicato nell’art. 34 GDPR.
Per la comunicazione agli interessati occorre, quindi, che il titolare verifichi se sussistono tali rischi elevati e in caso affermativo dovrà verificare quali siano i canali più idonei per raggiungere efficacemente gli interessati.
Nel caso di specie, sono stati certamente ritenuti elevati i rischi conseguenti alla sottrazione e possibile messa a disposizione nel Dark Web dei dati personali degli utenti, compreso l’ICCID (Integrated Circuit Card-Identity) della SIM card che potrebbe consentire azioni illecite a danno degli interessati.
In caso di violazione dei dati personali è bene, inoltre, tenere in considerazione che:
- Il titolare del trattamento, a prescindere dalla notifica al Garante, ha l’obbligo di documentare tutte le violazioni dei dati personali; è fondamentale, quindi, prevedere un registro in cui annotare anche le circostanze relative alla violazione, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
- È fondamentale che i responsabili del trattamento di cui si avvale il titolare informino quest’ultimo di qualsiasi evento o incidente di sicurezza con tempestività. È importante, quindi, stabilire accordi chiari in merito nel contratto ex art. 28 GDPR.
- Per poter adempiere nei tempi previsti agli obblighi delineati sopra è imprescindibile dotarsi di un’efficace procedura interna che definisca in anticipo compiti, ruoli e responsabilità.
Il servizio offerto dal Garante per la gestione dei data breach
Nei giorni scorsi, l’Autorità Garante italiana ha messo a disposizione un servizio finalizzato ad aiutare i titolari del trattamento nel porre in essere tutti gli adempimenti previsti in caso di violazioni dei dati personali, con una procedura di self-assessment che ha proprio lo scopo di guidare il titolare del trattamento nella valutazione circa la necessità di effettuare la notifica al Garante e la comunicazione agli interessati.
In caso di mancato rispetto delle disposizioni relative agli adempimenti previsti in caso di violazione dei dati personali, sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
