Avv. Vincenzo Colarocco
Con un
provvedimento n. 106 del 30 aprile 2019, il Garante privacy ha ribadito –nei confronti di un importante fornitore di servizi di posta elettronica– la necessità di fornire
le adeguate informazioni agli utenti coinvolti dal
data breach. La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di
data breach trasmessa al Garante dall’azienda.
Nel caso di specie, la violazione si è verificata in conseguenza di un
attacco informatico ai sistemi di
front end per la consultazione delle caselle di posta elettronica tramite
webmail che, ancorché allo stato arginato, ha permesso che fosse acquisita, da parte di soggetti terzi ignoti, una grande quantità di
credenziali di autenticazione (circa un milione e mezzo di utenti). L’accesso fraudolento alle caselle
e-mail è sempre fonte di potenziale pregiudizio per gli interessati, quale rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, al furto o usurpazione di identità).
A tal proposito, l’autorità garante ha chiarito che le comunicazioni agli utenti di intervenuti
data breach, ai sensi dell’art. 34 del Regolamento, da parte di un fornitore di servizi
non dovranno essere generiche, ma dovranno fornire
precise indicazioni su come proteggersi da usi illeciti dei propri dati, ed in particolare:
(i) contenere una
descrizione della natura della violazione e delle sue
possibili conseguenze;
(ii) fornire agli utenti precise
indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi (ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la
password utilizzata per l’accesso a qualsiasi altro servizio
online se uguale o simile a quella violata).