[doc. web n. 10037682]

Provvedimento del 23 maggio 2024

Registro dei provvedimenti
n. 327 del 23 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

The European House - Ambrosetti S.p.a. (di seguito “Società”), in data 8 aprile 2024, ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento, una notifica preliminare di violazione dei dati personali, determinata da una “esfiltrazione di dati in seguito ad accesso non autorizzato da parte di un attaccante” che ha riguardato i dati anagrafici e di contatto (indirizzo di posta elettronica) e le credenziali di autenticazione (username e password) di un numero non determinato di interessati.

La Società ha inoltre precisato che “sono ancora in corso indagini tecniche per individuare in dettaglio i sistemi interessati” e ha rappresentato di non aver comunicato la violazione dei dati personali agli interessati coinvolti, ritenendo che la stessa non sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il 9 aprile 2024 l’Ufficio ha rivolto alla Società una prima richiesta di informazioni al fine di acquisire elementi utili alla valutazione dei profili di protezione dei dati personali, con particolare riferimento a:

a) il numero di interessati coinvolti nella violazione dei dati personali;

b) le misure tecniche utilizzate per proteggere le password conservate nei sistemi informatici della Società, con l’indicazione delle eventuali funzioni crittografiche adottate e dei relativi parametri di utilizzo;

c) le valutazioni in ordine al livello di sicurezza garantito dalle funzioni crittografiche utilizzate dalla Società per proteggere le password degli utenti;

d) le valutazioni in ordine ai rischi per i diritti e le libertà per gli interessati derivanti dalla violazione di credenziali di autenticazione di utenti;

e) le misure tecniche e organizzative adottate per attenuare i possibili effetti negativi della violazione dei dati personali nei confronti degli interessati.

Con nota del 17 aprile 2024, la Società – nell’evidenziare che “intende perfezionare [la notifica] in tutti i suoi elementi e conseguenti obblighi una volta esaurite le attività d’indagine tecnologica, presumibilmente entro il 30/05/2024” – ha rappresentato che:

“risulterebbero […] potenzialmente coinvolti 134.303 interessati. Si chiarisce che il numero deriva da una stima preliminare ma che si presume più basso, posto che, tenuto conto dell’esperienza professionale di Ambrosetti, spesso singoli interessati utilizzano e-mail differenti per autenticarsi ai servizi. La Società sta svolgendo tutte le opportune verifiche sul punto”;

“con l’entrata in vigore del GDPR nel 2016, la Società ha iniziato un processo di valutazione e implementazione di misure di sicurezza a presidio dei dati personali adeguate al nuovo dettato normativo, rispetto al quale si sintetizza di seguito quanto ad oggi svolto e di impatto per la questione in esame. Nel 2018 Ambrosetti ha avviato l’implementazione di un sistema di gestione delle password negli applicativi web, decidendo di adottare un sistema di crittografia delle password. Tenuto conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, la Società aveva quindi individuato in XX, uno dei principali strumenti consolidati sul mercato, l’algoritmo da utilizzare. Nel mentre sono proseguiti i lavori di rafforzamento dei sistemi di protezione, innescando parallelamente la Società lo studio e la fattibilità di una nuova architettura sistemica e applicativa. Viene quindi avviata nel 2021 una attività di selezione e ricerca, culminata nell’introduzione di sistemi certificati in grado di offrire servizi di sicurezza avanzata per le applicazioni web tali da soddisfare le necessità di aumento delle sicurezze aziendali. Il processo che viene portato avanti dalla Società prevede a partire dal gennaio 2022 la gestione della sola abilitazione a registrarsi ai portali di Ambrosetti. […] Il sistema invia automaticamente, all’indirizzo e-mail dell’utente comunicato dal cliente al momento di definizione dei rapporti contrattuali con la Società per l’erogazione dei servizi pattuiti tra le parti, il link, dedicato e personale, alla pagina web da cui l’utente accede ai servizi pattuiti, consentendo all’utente la creazione e gestione delle proprie credenziali di accesso […]”;

“in merito alle valutazioni in ordine ai rischi per i diritti e le libertà degli interessati, è lo stesso Comitato nelle “Linee Guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” a chiarire che le analisi dei casi proposte “si riferiscono esplicitamente a quelli in esame”, con l'obiettivo di fornire assistenza ai titolari del trattamento per la valutazione delle violazioni dei dati che li riguardino, ma che, al contempo, “qualsiasi modifica delle circostanze riferite alle fattispecie descritte […] può comportare livelli di rischio diversi o più significativi, e quindi rendere necessarie misure diverse o supplementari”, e la comunicazione può essere considerata una “buona prassi” solo in alcuni casi. Non si può quindi prescindere da valutazioni che tengano conto di tutti gli elementi concretamente sussistenti nel caso specifico in esame”;

“Ambrosetti, pur analizzando le linee Guida ed il Caso 06 richiamati da Codesta Autorità, nella valutazione del rischio effettuata, ha proceduto ad approfondire quelle che sono le specificità del caso in esame, ed è giunta alla conclusione, tenuto conto di quanto ad oggi noto, che i rischi per i diritti e le libertà degli interessati siano trascurabili. Infatti, dagli accertamenti ad oggi svolti dalla Società, risulta che: 1. I dati esfiltrati sono tutti credenziali di accesso ad oggi inutilizzabili, relative a sistemi non più in uso dal 2022: a partire dal 2022 la modalità di archiviazione delle credenziali di accesso ai sistemi di Ambrosetti è infatti cambiata […]. 2. I file di cui alla violazione notificata contengono credenziali di prima registrazione dei clienti di Ambrosetti, impostate dalla Società e rilasciate ai clienti successivamente alla definizione dei rapporti negoziali disciplinanti l’erogazione dei servizi di formazione al personale con gli stessi pattuiti. È onere dell’utente procedere alla modifica della password di ricevuta, nel rispetto dei vincoli di sicurezza imposti a sistema. Alla scadenza del contratto concluso con il cliente della Società, le utenze dei discenti sono automaticamente disattivate, e ciò comporta l’impossibilità di accesso ai servizi di Ambrosetti utilizzando dette credenziali. 3. È emerso altresì che il 96% dei dati esfiltrati sono relativi ad utenze inattive dal 31/12/2023 e, pertanto, inutilizzabili. Relativamente al restante 4%, successivamente alla scoperta della violazione in esame, la Società in data ha tempestivamente impostato l’obbligo per l’utente di modifica della propria password. Fermo restando che si tratta quindi di dati obsoleti quantomeno nel 96% dei casi ed in ogni caso di credenziali inutilizzabili in quanto relative a sistemi non più in uso, trattandosi altresì di credenziali di prima registrazione non impostate dall’utente, non sussistono rischi connessi all’abitudine degli utenti di utilizzare la stessa o similare password per l’accesso ad altri servizi online. 4. Inoltre, come evidenziato anche da Codesta Autorità, è altresì emerso come solo “in un caso, le password fossero conservate in chiaro”. Si tratta del file denominato “sgc_login.csv”, che risulta essere un’estrazione di un database relativo ad un’applicazione non più in uso dal 18/11/2020, e pertanto tali dati non sono tecnicamente utilizzabili per accedere ai servizi della Società. 5. Vi è poi da considerare, che la violazione sostanzialmente non riguarda dati trattati in rapporto business to consumer bensì business to business; pertanto, gli interessati ai sensi di legge hanno ricevuto dai datori di lavoro policy che indicano specifiche cautele per la gestione delle password utilizzate nell’esecuzione delle proprie mansioni, nonché adeguata formazione in materia. 6. La violazione in esame riguarda credenziali di prima registrazione ai siti web della Società attraverso cui questa eroga servizi di formazione professionale, e che pertanto la natura dei siti e dei dati ipoteticamente accedibili non generano connotazioni negative per gli interessati. Non sono infatti in nessun caso presenti categorie di dati particolari quali ad esempio dati giudiziari o dati di pagamento, dati che rilevano appartenenza ad un sindacato o sullo stato di salute”;

“la Società, successivamente alla scoperta dell’evento, ha tempestivamente provveduto ad annullare tutte le password di accesso ai sistemi di Ambrosetti di cui ai file esfiltrati, imponendo agli utenti attivi l’obbligo di aggiornamento delle proprie password, nel rispetto dei vincoli di sicurezza imposti dalla Società per l’accesso ai propri sistemi”;

“la Società ha sin da subito organizzato un team multidisciplinare dedicato alla questione, composto dai referenti ICT interni, dal DPO e dai consulenti in cybersecurity esterni, che ad oggi continua a gestire e monitorare gli accertamenti in corso”.

Il 18 aprile 2024 l’Ufficio ha rivolto alla Società una seconda richiesta di informazioni al fine di acquisire ulteriori elementi in merito alla violazione dei dati personali, evidenziando come – all’esito di un accertamento tecnico effettuato sui dati oggetto di diffusione in rete – alcune delle password in questione apparissero impostate dagli utenti a cui le stesse si riferiscono.

Con nota del 24 aprile 2024, la Società ha fornito riscontro alla predetta richiesta di informazioni, rappresentando che:

le credenziali di autenticazione oggetto di diffusione erano relative ai diversi servizi online o applicazioni web della Società (“aggiornamentoconoscenza.it”, “cocircle.ambrosetti.eu”, “fondir.ambrosetti.eu”, “healthcare.ambrosetti.eu”, “innotechhub.ambrosetti.eu”, “live.ambrosetti.eu”, “management.ambrosetti.eu”, “www.aggiornamentopermanente.it”, “www.ambrosetti.eu”, “www.ambrosettilive.eu” e “www.leaderdelfuturo.it”);

“le suddette applicazioni permettono un potenziale accesso esclusivamente agli utenti che avevano attivato il servizio erogato tramite l’applicazione, rendendo tecnicamente impossibile l’autenticazione ai clienti che non avevano acquistato il relativo servizio. Tutti i portali […] richiamati consentivano esclusivamente l’accesso a contenuti formativi quali ad esempio slide, ricerche e presentazioni, o l’iscrizione ad eventi organizzati dalla Società”;

“le categorie di utenti a cui si riferiscono le credenziali di autenticazione sono: dipendenti di clienti della Società e dipendenti della Società. Nel file AP_USERS-AMBROSETTI.CSV l’indirizzo e-mail presente non era reale, e quindi né direttamente né indirettamente consentiva di individuare una persona fisica; bensì semplicemente inserito in quanto campo obbligatorio poiché tecnicamente richiesto come necessario dall’applicazione”;

“si precisa rispetto ai singoli files le funzioni crittografiche che erano state adottate:”

login_users.csv: “MD5 (Message Digest Algorithm 5), funzione di hash crittografica ampiamente diffusa e supportata da un'ampia varietà di software e hardware per calcolare l'hash di una stringa o un messaggio, nota per la sua efficienza computazionale, semplicità, ampia diffusione e compatibilità, risultando una soluzione compatibile con la varietà dei software e hardware a suo tempo in uso dalla Società”;

ldf_users.csv: “il sito è sviluppato con Joomla 1.5 ed usa MD5 con un salt di 32 caratteri che viene aggiunto alla fine della stringa della password stessa”;

ap_users.csv: “il sito è sviluppato con Joomla 1.5 ed usa MD5 per effettuare l'hashing delle passwords. Quando vengono create le password, vengono sottoposte ad hashing con un salt di 32 caratteri che viene aggiunto alla fine della stringa della password stessa”;

chat_users.csv e uni_login.csv: “misto di md5 e md5 con salt di 32 caratteri che viene aggiunto alla fine della stringa della password stessa”;

con riferimento alle modalità con le quali le password in questione sono state impostate:

login_users.csv: “le password sono state impostate da un amministratore di sistema all’atto della creazione dell’utenza e poi modificabili dallo stesso utente. Essendo presente la funzione crittografica MD5 non è tecnicamente possibile verificare se le password siano state preimpostate dall'amministratore o cambiate dall'utente”;

sgc_login.csv: “le password sono state impostate da un amministratore di sistema all’atto della creazione dell’utenza e poi modificabili dallo stesso utente”;

ldf_users.csv e ap_users.csv: “le password sono state impostate da un amministratore di sistema all’atto della creazione dell’utenza e poi modificabili dallo stesso utente. Essendo presente la funzione crittografica MD5 con salt non è tecnicamente possibile verificare se le password siano state preimpostate dall'amministratore o cambiate dall'utente”;

chat_users.csv e uni_login.csv: “le password sono state impostate da un amministratore di sistema all’atto della creazione dell’utenza”;

una delle applicazioni web della Società (“aggiornamentoconoscenza.it”) è stata dismessa nel mese di marzo 2020, mentre le altre sono state oggetto di interventi di aggiornamento dell’algoritmo di password hashing svolti nel periodo che va da febbraio 2020 a ottobre 2022;

“la Società conserva i dati personali trattati nell’esecuzione delle attività pattuite con i clienti per dieci anni successivi alla cessazione dei rapporti con il cliente per l’adempimento di obblighi normativi (es. fiscali, contabili) che permangono anche successivamente alla cessazione dei rapporti, nonché per far valere in giudizio i diritti derivanti dal contratto. A tal fine, si evidenzia che la Società, stante anche la tipologia e la varietà dei servizi erogati ed i consolidati rapporti nel tempo con la propria clientela, ha adottato una prassi commerciale di gestione dei rapporti contrattuali con i clienti che tende a propendere per la definizione di accordi quadro, disciplinanti genericamente i rapporti tra le parti e dalla durata indeterminata salva la facoltà di ciascuna parte di cessare i rapporti con adeguato preavviso, affiancati alle singole offerte disciplinanti le specifiche attività di volta in volta richieste. Inoltre, i servizi erogati dalla Società sono caratterizzati, per loro stessa natura, anche dalla ripetitività nel tempo della richiesta di tipologie di servizi analoghi da parte del medesimo cliente (es. Servizi di formazione ripetuti a cadenze concordate, ma relativi ad argomenti diversi e quindi disciplinati da specifiche offerte del caso), con conseguente perdurare nel tempo dei rapporti con la propria clientela, che comportano quindi la necessità di conservazione dei relativi dati”;

“al momento della richiesta di settaggio della nuova password, all’utente è apparso il seguente messaggio: […] Si sconsiglia l’utilizzo di una password già utilizzata in altri sistemi. La password deve essere composta da almeno 8 caratteri e includere almeno un simbolo speciale, una lettera maiuscola, una lettera minuscola e un numero. […] In attesa di definire gli accertamenti in corso, ad oggi non sono state mandate ulteriori comunicazioni agli utenti”;

“soltanto un numero limitato di Clienti ha richiesto di avere degli approfondimenti sulla nota vicenda. In tali casi, si sono pertanto svolte alcune riunioni ad hoc alla presenza dei rispettivi tecnici informatici e DPO, i quali, ad oggi, hanno tutti convenuto per la trascuratezza del rischio”;

OSSERVA

Fermo restando l’obbligo per la Società di fornire all’Autorità tutte le informazioni di cui all’art. 33, par. 3, del Regolamento all’esito delle attività di analisi che sta effettuando, nelle more dello svolgimento dell’istruttoria tuttora in corso, finalizzata ad approfondire quanto sopra illustrato e a definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dalla Società a tutela degli interessati, con particolare riferimento all’adempimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento nei confronti degli interessati a cui sono riferite le credenziali di autenticazione oggetto di violazione.

L’art. 34 del Regolamento stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (par. 1) e che detta comunicazione non è richiesta, in particolare, se “il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura” (par. 3, lett. a)).

Il Regolamento prevede, inoltre, che “nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta” (art. 34, par. 4) e che l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali” (art. 58, par. 2, lett. e)).

Il Regolamento indica, poi, che nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76). Al riguardo, le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” (adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023) individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento; nonché il numero di interessati coinvolti.

Nel caso in esame, la valutazione dei rischi per i diritti e le libertà degli interessati derivanti dalla violazione dei dati personali deve tener conto, in particolare, dei seguenti fattori:

la natura della violazione dei dati personali, che si è verificata nell’ambito di un attacco informatico finalizzato ad acquisire credenziali di autenticazione (username e password, in alcuni casi sotto forma di stringa di testo, detta anche digest) e altri dati personali (tra i quali, nome, cognome e indirizzo di posta elettronica, in alcuni casi fittizio);

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dall’utilizzo delle credenziali di autenticazione oggetto di diffusione per accedere illecitamente a sistemi informatici o servizi online e consultare, o acquisire, dati personali degli interessati a cui sono riferite o di altre categorie di interessati; ciò, anche in considerazione delle modalità di impostazione delle password (che – in assenza di elementi idonei a comprovare il contrario – debbono essere considerate, in via prudenziale, come se fossero state scelte da ciascun utente) e dell’abitudine degli utenti di utilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri sistemi informatici o servizi online o, comunque, di utilizzare password simili tra loro cambiando solo alcuni caratteri;

il numero elevato di interessati a cui sono riferite le credenziali di autenticazione in questione e la facilità con cui è possibile risalire a specifiche persone fisiche, identificate o identificabili, dai dati personali oggetto di violazione;

il basso livello di sicurezza garantito dalle funzioni crittografiche utilizzate per proteggere le password degli utenti conservate nei sistemi della Società, in termini di resistenza ai più comuni attacchi informatici (es. a forza bruta o a dizionario) volti a individuare la password che ha generato un determinato digest.

In particolare, in relazione a quest’ultimo fattore – da valutarsi anche alla luce delle indicazioni e raccomandazioni fornite dal Garante con le linee guida in materia di conservazione delle password (provvedimento n. 594 del 7 dicembre 2023, doc. web n. 9962283), predisposte in collaborazione con l’Agenzia per la cybersicurezza nazionale – si rileva che alcune password (circa 98.000) erano conservate previa applicazione di una funzione di hashing (“MD5”, non sempre con l’utilizzo di un salt) non in grado di assicurare un adeguato livello di sicurezza, in ragione delle molteplici e note vulnerabilità di tale funzione, mentre altre (circa 36.000) erano addirittura conservate in chiaro.

Peraltro, si osserva che le “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” (adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021), in relazione a una violazione dei dati personali avente ad oggetto le password di utenti (cfr. caso n. 06), ricordano che, anche in caso di conservazione delle password con tecniche crittografiche allo stato dell’arte, la comunicazione, sebbene non obbligatoria, può essere considerata una buona pratica.

Alla luce di quanto sopra esposto, diversamente da quanto sostenuto dalla Società (che non ha valutato compiutamente le conseguenze della violazione nei confronti degli interessati), si ritiene che la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, circostanza per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento.

Al riguardo, si osserva che il messaggio mostrato agli utenti in occasione della modifica obbligatoria della password imposta dalla Società a seguito della violazione – volto a “sconsiglia[re] l’utilizzo di una password già utilizzata in altri sistemi” – non costituisce uno strumento idoneo all’assolvimento degli obblighi informativi nei confronti degli interessati, in quanto, non contenendo le informazioni previste dall’art. 34, par. 2, del Regolamento, non consente di rendere questi ultimi consapevoli dei rischi derivanti dalla violazione e di permettere loro di adottare le necessarie precauzioni. Per tali ragioni, la condotta sopra descritta pone in essere una violazione dell’art. 34 del Regolamento.

RITENUTO

Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, si ravvisano la necessità e l’urgenza di ingiungere alla Società, ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del Regolamento, di comunicare la violazione dei dati personali agli utenti le cui password erano conservate in chiaro o con tecniche crittografiche non allo stato dell’arte, descrivendone con un linguaggio semplice e chiaro la natura e le possibili conseguenze, nonché fornendo indicazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione (quale quella di non utilizzare più la password compromessa né una simile nonché di modificare la password utilizzata per l'accesso ad altri sistemi informatici o servizi online qualora coincidente o simile a quella oggetto di violazione).

Si ritiene, pertanto, necessario disporre – senza la previa notifica di cui all’art. 166, comma 5, del Codice, in relazione alla violazione dell’art. 34 del Regolamento, essendo tale notifica incompatibile con la natura e le finalità del presente provvedimento, tenuto conto che la mancata comunicazione della violazione dei dati personali arreca un effettivo, concreto, attuale e rilevante pregiudizio agli interessati coinvolti in quanto le credenziali di autenticazione oggetto di diffusione potrebbero essere sfruttate da soggetti non autorizzati per accedere a sistemi informatici o servizi online e consultare, o acquisire, dati personali degli stessi interessati a cui sono riferite o di altre categorie di interessati – che la predetta comunicazione sia effettuata senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.

Si ritiene, altresì, necessario ingiungere alla Società, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di fornire all’Autorità, entro quindici giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione dei dati personali agli utenti le cui password erano conservate in chiaro o con tecniche crittografiche non allo stato dell’arte.

Si ricorda che, ai sensi dell’art. 166, comma 2, del Codice, la violazione dell’art. 157 del medesimo Codice è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del Regolamento, ingiunge alla società The European House - Ambrosetti S.p.a. (C.F. 09638920158 / P.I. 11850730158) di comunicare, senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali in esame agli utenti le cui password erano conservate in chiaro o con tecniche crittografiche non allo stato dell’arte, nei termini di cui in premessa;

2) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge alla società The European House - Ambrosetti S.p.a. di fornire all’Autorità, entro quindici giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto disposto al punto 1);

3) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 23 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei