g-docweb-display Portlet

Provvedimento del 27 gennaio 2022 [9745335]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9745335]

Provvedimento del 27 gennaio 2022

Registro dei provvedimenti
n. 21 del 27 gennaio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE la notifica preliminare di violazione dei dati personali trasmessa, ai sensi dell’art. 33 del Regolamento, il 9 settembre 2021 da Minelli S.p.a., la notifica integrativa del 21 settembre 2021 e la risposta alla richiesta di informazioni dell’Ufficio, pervenuta al Garante il 6 dicembre 2021;

VISTO che, in tali comunicazioni, il titolare del trattamento ha dichiarato che:

a) “l’incidente di sicurezza (…) si è verificato tra le ore 21.21 del 25 agosto 2021 e le ore 19.00 del 1 settembre 2021. Il titolare è venuto a conoscenza dell’incidente intorno alle ore 23.00 del 26 agosto 2021” su segnalazione da parte di un interessato, mentre “della violazione dei dati personali è invece venuto a conoscenza, con ragionevole certezza, alle ore 15.54 del 06/09/2021, a conclusione delle indagini interne avviate al momento della scoperta dell’incidente”;

b) in generale, inizialmente “sulla base delle informazioni disponibili al momento, l’incidente di sicurezza occorso, consistente nella temporanea perdita di disponibilità dei dati presenti in un certo numero di server e PC aziendali e nella probabile perdita di riservatezza degli stessi dati, è il risultato di un attacco informatico ransomware che ha determinato la criptazione dei dati contenuti in tali server e PC (con conseguente impossibilità di accedere agli stessi e trattarli) e la probabile esfiltrazione degli stessi. In particolare, le indagini avviate nell’immediatezza dell’incidente e affidate dal titolare a una società attiva nel settore della sicurezza informatica, hanno consentito di accertare che l’attaccante, probabilmente sfruttando una vulnerabilità del software utilizzato da un firewall, ha dapprima avuto accesso ai sistemi aziendali e poi, utilizzando le credenziali da amministratore sottratte, ha installato e poi rimosso – con l’intento di non lasciare tracce – il tool “AWS Command Line Interface” (il che lascia presumere che ci sia stata un’esfiltrazione) per poi procedere alla criptazione dei dati”;

c) “sulla base delle informazioni disponibili al momento, risulterebbero essere stati colpiti dall’attacco 14 server e circa 25 dispositivi aziendali (personal computer). I server e i dispositivi in questione si trovano presso le sedi del titolare a Costa Serina, Zogno e Gottolengo”;

d) la violazione ha determinato la “perdita di riservatezza” e la “perdita di confidenzialità” dei dati personali causata da un’azione intenzionale esterna;

e)  "al momento della violazione, il titolare effettuava regolarmente il back up dei dati. Esiste perciò una copia di backup di tutti i dati (non compromessa dall’attacco) con la quale il titolare ha già provveduto a ripristinar i dati resi indisponibili”;

f) in merito alla tipologia di dati personali coinvolti, essi comprendono “dati anagrafici, dati di contatto, dati di pagamento, dati relativi a documenti di identificazione o riconoscimento e dati relativi alla salute” e, come emerso dalla notifica integrativa, anche ulteriori tipologie di dati, in particolare,  dati di accesso e di identificazione, (“con riguardo ai dipendenti, risultano essere stati coinvolti dall’incidente i dati personali che sono ordinariamente trattati dal titolare nell’ambito del rapporto di lavoro, compresi le coordinate bancarie per il pagamento degli stipendi e le informazioni relative al giudizio di idoneità alla mansione (con esclusione dei dati relativi alla salute trattati dal medico competente). Sul dispositivo utilizzato da un dipendente, è stata inoltre rilevata la presenza di credenziali di autenticazione (username e password) per l’accesso a servizi online. Per quanto riguarda clienti e fornitori, risultano essere stati coinvolti dall’incidente essenzialmente dati identificativi e dati di contatto relativi a rappresentanti legali e altre persone di contatto. Da ultimo, con riferimento ai titolari di cariche sociali, risultano essere stati coinvolti dall’incidente dati identificativi e dati di contatto, oltre alle informazioni riportate su documenti di identificazione o riconoscimento”);

g) la violazione ha coinvolto circa 800 interessati tra dipendenti/consulenti, soggetti che ricoprono cariche sociali e fornitori;

h) “in conseguenza delle modalità dell’attacco, non è possibile determinare con certezza se vi sia stata o meno esfiltrazione di dati né è possibile prevedere se e quale utilizzo potrebbe essere fatto dall’attaccante dei dati nel caso in cui questi siano stati esfiltrati”;

VISTO che il titolare del trattamento ha, tuttavia, ritenuto che il livello di gravità del potenziale impatto per gli interessati fosse di livello “basso”, in quanto “nell’impossibilità di escludere, per le ragioni descritte sopra, che i dati siano stati esfiltrati, la gravità del potenziale impatto dell’incidente per gli interessati dovrebbe considerarsi trascurabile avuto riguardo alla temporanea perdita di disponibilità (in quanto, essendosi protratta per un lasso di tempo contenuto, non ha determinato la mancata erogazione a favore degli stessi di prestazioni o servizi essenziali e non differibili o altre conseguenze pregiudizievoli) e bassa avuto riguardo alla possibile perdita di riservatezza. Pur essendo l’esfiltrazione possibile, infatti, in considerazione della natura dei dati coinvolti dall’incidente (tutti dati comuni, ad eccezione dei dati relativi al giudizio di idoneità alle mansioni dei dipendenti, in ogni caso non suscettibili di rivelare informazioni di dettaglio sullo stato di salute degli interessati), delle categorie di interessati cui i dati si riferiscono (essenzialmente dipendenti e clienti/fornitori ditte individuali, i cui rapporti con il titolare sono, in molti casi, cessati) e, quindi, dell’uso che l’attaccante possa fare dei dati compromessi, nessun danno economico o sociale per gli interessati potrebbe derivare dalla loro divulgazione o comunque dal loro trattamento non autorizzato. Solo in relazione al possibile utilizzo delle credenziali di autenticazione memorizzate nel dispositivo in uso a un dipendente, la gravità del potenziale impatto per gli interessati dovrebbe considerarsi media. Il titolare ha in ogni caso già provveduto a comunicare all’interessato l’incidente, ai sensi dell’art. 34 GDPR, invitandolo a sostituire tempestivamente le password utilizzate”;

VISTA la conseguente decisione del titolare di non effettuare la comunicazione a tutti gli interessati coinvolti, ai sensi dell’art. 34 del Regolamento, ma solo all’interessato le cui credenziali sono state oggetto di violazione;

VISTO l’art. 34, par. 1, del Regolamento che stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”;

VISTI i considerando nn. 75 e 76 del Regolamento che suggeriscono che, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva;

VISTE le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” che hanno, fra l’altro, individuato i fattori da considerare nella valutazione del rischio – presentato da una violazione dei dati personali – per i diritti e le libertà delle persone fisiche;

CONSIDERATO altresì che i dati oggetto di violazione si riferiscono a un numero elevato di soggetti;

CONSIDERATO che, alla luce di un complessivo esame delle circostanze portate all’attenzione dell’Autorità e degli elementi acquisiti, la violazione dei dati personali in argomento è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati;

RITENUTO che al caso di specie si applicano le previsioni di cui all’art. 34, par. 4, secondo cui “nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda”;

RAVVISATA, quindi, la necessità di esercitare il potere dell’Autorità di ingiungere, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, al titolare del trattamento di comunicare agli interessati la violazione dei dati personali;

RITENUTO necessario disporre che la predetta comunicazione sia effettuata senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento;

RILEVATA l’urgenza di comunicare la violazione dei dati personali agli interessati;

TENUTO CONTO che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”;

RITENUTO, altresì, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e art. 157 del Codice, di ingiungere a Minelli S.p.a. di fornire all’Autorità, entro i successivi sette giorni, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione agli interessati, nonché alle eventuali ulteriori misure adottate per attenuare i possibili effetti negativi della violazione nei confronti degli interessati;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi del combinato disposto degli artt. 34, par. 4 e 58, par. 2, lett. e), del Regolamento, ingiunge a Minelli S.p.A., sede legale in via Provinciale 4, 24010 Cost Serina (BG), pec minellispa@pec.minelligroup.it, di comunicare la violazione dei dati personali agli interessati coinvolti senza ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento;

2) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge altresì a Minello S.p.a. di fornire all’Autorità, entro sette giorni dal completamento delle comunicazioni di cui al precedente punto 1), un riscontro adeguatamente documentato in merito alle iniziative intraprese e alle eventuali ulteriori misure adottate per attenuare i possibili effetti pregiudizievoli della violazione nei confronti degli interessati. Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa ai sensi del combinato disposto degli artt. 83, par. 5, lett. e), del Regolamento e 166 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei