Il Garante della Privacy (di seguito anche “Autorità”) con il provvedimento del 4 luglio 2024 n. 572 ha multato Postel Spa (di seguito anche “Società”) con una sanzione di 900.000,00 euro per non aver affrontato una vulnerabilità nota nei propri sistemi, che ha portato a una violazione dei dati personali. Nel 2023, la società è stata colpita da un attacco ransomware che ha compromesso i server e le postazioni di lavoro, con l’esfiltrazione e, in alcuni casi, la perdita di dati personali di circa 25.000 persone, tra cui dipendenti, ex dipendenti, candidati e partner commerciali.
I dati rubati includevano informazioni sensibili come dati anagrafici, di contatto, di pagamento, relativi a condanne penali e salute, e in alcuni casi, appartenenza sindacale. Nonostante la vulnerabilità fosse stata segnalata sia dal produttore del software (settembre 2022) che dall’Agenzia per la Cybersicurezza Nazionale (novembre 2022), Postel non aveva aggiornato i propri sistemi come consigliato. Tale comportamento ha violato gli obblighi previsti dalla normativa sulla protezione dei dati personali, che richiede misure di sicurezza adeguate.
Inoltre, l’azienda non ha fornito informazioni complete sul data breach e sulle azioni correttive intraprese, ritardando le verifiche da parte del Garante. Oltre alla multa, Postel è stata obbligata a condurre un’analisi straordinaria delle vulnerabilità e a implementare un piano per rilevarle e gestirle tempestivamente. Per approfondimenti si consiglia: Formulario commentato della privacy
Indice
1. L’avvio del procedimento del Garante contro Postel
Il 15 dicembre 2023, l’Ufficio del Garante ha notificato alla Società le presunte violazioni del Regolamento sulla protezione dei dati personali (di seguito anche “Regolamento” o “GDPR”), in relazione a vari articoli (artt. 5, 25, 28, 32, 33, GDPR). La Società ha risposto il 12 gennaio 2024, presentando le proprie difese, in cui ha sottolineato di aver implementato un sistema di gestione della sicurezza dei dati e misure organizzative per mitigare i rischi, in risposta alla violazione dei dati causata da un attacco informatico della cyber gang Medusa. Postel ha affermato che l’attacco ha avuto gravi conseguenze economiche per l’azienda, ma che le misure di sicurezza erano adeguate e che eventuali omissioni o disguidi erano frutto di anomalie tecniche o errori umani. Inoltre, ha ribadito la collaborazione con le autorità competenti e l’adozione di misure correttive, tra cui il rafforzamento dei protocolli di gestione dei data breach.
Il 31 gennaio 2024 si è svolta un’audizione della Società, in cui è stato ribadito che l’incidente non fosse un problema strutturale, ma un evento isolato, e che l’azienda aveva implementato procedure per migliorare la gestione dei data breach in futuro.
Nonostante le difese della Società, l’Autorità ha concluso che la notifica del data breach inviata da Postel fosse incompleta e che non fossero state adottate misure di sicurezza adeguate. In particolare, è stata contestata la gestione della violazione e la notifica tardiva dei dettagli richiesti dal Regolamento, come la natura delle vulnerabilità sfruttate dall’attaccante. L’Autorità ha anche sottolineato che le misure di sicurezza adottate non erano sufficienti a prevenire l’incidente.
L’Autorità ha osservato che la Società ha violato vari articoli del GDPR, tra cui quelli riguardanti la sicurezza dei dati (artt. 5, 32), la notifica della violazione (art. 33), e la protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25). La violazione ha coinvolto circa 24.800 persone, con un rischio elevato per 2.161 di esse. Nonostante le misure correttive adottate, la Società ha continuato a subire danni economici, e l’Autorità ha preso in considerazione anche il possibile impatto economico di una sanzione amministrativa. Per approfondimenti si consiglia: Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
51.20 €
2. Le violazioni accertate
3.1 Insufficienza delle informazioni nella notifica della violazione
L’Autorità ha rilevato che la Società, in seguito a un data breach, ha inviato una notifica incompleta e priva delle informazioni necessarie per consentire al Garante di adempiere ai propri compiti. Secondo l’art. 33 del GDPR, la notifica di una violazione dei dati dovrebbe includere dettagli specifici, come la natura dell’incidente, le categorie di dati e i rischi per i diritti degli interessati, nonché le misure adottate per mitigare i danni. La notifica inviata dalla Società non includeva informazioni essenziali, come la tipologia di vulnerabilità sfruttata o i server impattati, e i dettagli delle misure di sicurezza adottate erano troppo generici. Inoltre, le informazioni specifiche sulle vulnerabilità sono state fornite solo su richiesta dell’Autorità. La condotta della Società non è quindi conforme all’art. 33 del GDPR.
3.2 Inadeguatezza delle misure di sicurezza
È stato accertato, inoltre, che la Società non ha tenuto una condotta conforme agli obblighi previsti dalla disciplina di protezione dei dati, relativamente all’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
La Società, pertanto, non ha adottato le misure di sicurezza adeguate, non avendo provveduto ad effettuare i necessari aggiornamenti della piattaforma Microsoft Exchange, ponendosi in contrasto con le disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento.
Tale condotta si pone, inoltre, in contrasto anche con i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita di cui all’art. 25 del Regolamento.
L’attacco informatico è stato reso possibile dall’esistenza di vulnerabilità note nella piattaforma Microsoft Exchange, che la Società non aveva corretto nonostante fossero state pubblicamente indicate come ad alto rischio. In particolare, la Società non aveva applicato gli aggiornamenti di sicurezza consigliati da Microsoft, nonostante le vulnerabilità fossero state segnalate già nel 2022. La mancanza di misure preventive adeguate ha esposto i sistemi e i dati a rischi significativi. Inoltre, la Società non ha adottato procedure di controllo regolari per verificare l’efficacia delle misure di sicurezza. Questa condotta è inadeguata rispetto agli obblighi di protezione dei dati previsti dal GDPR.
Potrebbero interessarti anche:
3. Conclusione
Relativamente all’art. 28, par. 3, lett. f), del Regolamento in relazione alle supposte carenze nell’assistenza prestata ai titolari del trattamento coinvolti nell’evento di violazione dei dati all’assistenza prestata ai titolari del trattamento, la Società ha dimostrato di aver fornito un’assistenza tempestiva e adeguata. Pertanto, non sono stati riscontrati elementi per sanzionare la violazione di questa norma.
In conclusione, le condotte realizzate dalla Società, quali segnatamente l’invio all’Autorità di una segnalazione di data breach priva degli elementi fondamentali e la mancata adozione di attività di aggiornamento dei propri sistemi, risultano infatti illecite, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. f), 25, 32 e 33 del Regolamento.
L’Autorità ha concluso che le dichiarazioni e documentazioni fornite dalla Società durante l’istruttoria non sono sufficienti a superare le violazioni riscontrate, pertanto, il procedimento non può essere archiviato. Le condotte della Società sono state considerate illecite, in particolare, come detto, per aver inviato una segnalazione di data breach incompleta e per non aver aggiornato i propri sistemi, violando gli artt. 5, par. 1, lett. f), 25, 32 e 33 del Regolamento.
L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.
L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione.
Pertanto, sono stati adottati i seguenti provvedimenti correttivi nei confronti della Società:
- Verifiche e risoluzione delle vulnerabilità: la Società deve effettuare una rapida verifica delle vulnerabilità nei propri sistemi e risolverle tempestivamente, in base al rischio derivante dalla protezione inadeguata dei dati personali.
- Procedura per la gestione delle vulnerabilità: la Società deve adottare una procedura formalizzata per la gestione delle vulnerabilità, che includa la pianificazione di controlli su tutti gli asset IT per individuare vulnerabilità note o potenziali e le relative azioni correttive.
- Individuazione di tempi di rilevamento e risposta: la Società deve definire i valori relativi al tempo medio di rilevamento delle vulnerabilità (MTTD) e al tempo medio di risposta (MTTR) per i propri asset IT, in modo adeguato ai rischi per i diritti e le libertà degli interessati.
Inoltre, è stata disposta una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del GDPR, commisurata alle circostanze specifiche del caso.
L’Autorità, pertanto, con il provvedimento del 4 luglio 2024 n. 572, ha, infine ordinato, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, a Postel S.p.A., di pagare la somma di euro 900.000 (novecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate.
Scrivi un commento
Accedi per poter inserire un commento