Il Garante della privacy, con il provvedimento n. 106 del 30 aprile 2019, reso noto con la newsletter n. 453 di ieri, ha posto in evidenza le caratteristiche principali che deve avere la comunicazione da fare agli interessati in caso di violazione dei dati personali per attacco informatico.

Più nello specifico, nel caso di specie, si trattava di una società fornitrice di servizi di posta elettronica, che aveva provveduto prima alla notifica al Garante della privacy e poi alla comunicazione agli interessati della violazione dei dati personali, causato da un “accesso fraudolento mediante un hotspot della rete Wifi”, con conseguente violazione di circa 1,5 milione di credenziali di account di posta elettronica di propri utenti che avevano fatto accesso tramite webmail.

Il Garante della privacy non ha ritenuto conformi all’art. 34 del regolamento Ue 2016/679 le comunicazioni effettuate agli interessati coinvolti, in considerazione dei possibili e gravi rischi ai quali erano stati esposti gli utenti stessi.
La società, infatti, aveva provveduto ad inviare due diverse comunicazioni: da un lato agli utenti che avevano modificato la password tra il momento dei primi interventi di contenimento e mitigazione (tra i quali la predisposizione di una forzatura del cambio password e la relativa informazione agli utenti) e quello in cui erano state inviate le comunicazioni, dall’altro agli utenti che, invece, dopo la violazione non vi avevano ancora provveduto.

Fermo restando che per entrambi gli utenti la società aveva rilevato la violazione come “attività anomala sui sistemi”, per i primi non veniva prospettata nessuna azione correttiva, evidenziando che l’operazione di cambio della password aveva reso inutilizzabili le credenziali precedenti, per i secondi veniva indicata solo la modifica della password come strumento per eliminare il rischio di un accesso indesiderato alla casella mail. Alla luce di quanto sopra, il Garante della privacy ha ritenuto necessaria l’effettuazione di una nuova comunicazione, che dovrà contenere:
- una descrizione della natura della violazione e delle possibili conseguenze della stessa;
- indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale – nel caso in questione – la raccomandazione di non utilizzare più le credenziali compromesse, mediante la modifica della password utilizzata per l’accesso a qualsiasi altro servizio on line se coincidente o simile a quella oggetto di violazione.