Soltanto a metà luglio di quest’anno, ovvero quasi tre mesi dopo l’accaduto, Aruba ha comunicato ai propri clienti di aver subito, il 23 aprile scorso, un attacco informatico ai server della società che ha comportato un accesso non autorizzato da parte di terzi.
Si è verificato così un c.d. data breach che, secondo quanto indicato nel GDPR, è una violazione di sicurezza che comprende, tra le altre cose, la divulgazione non autorizzata o l’accesso ai dati personali da parte di terzi estranei. Quando ciò avviene, e ciò comporta nella valutazione del titolare un rischio per i diritti dell’interessato, la norma statuisce che la società debba comunicarlo al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne viene a conoscenza. Analoga comunicazione deve essere fatta ai soggetti interessati senza ingiustificato ritardo se il data breach comparta un rischio elevato.
Aruba, quindi, avrebbe dovuto effettuare una immediata analisi del data breach e classificarlo secondo opportune metriche di rischio al fine di stabile se comunicare o meno l’incidente, e in tale ultimo caso, se riferirlo al solo Garante o anche ai soggetti interessati.
Come accennato, tuttavia, Aruba ha evidentemente compiuto una valutazione errata ad aprile poiché, in prima battuta, ha notificato il data breach solo al Garante e solo in un secondo tempo, a distanza di mesi, è tornata sui suoi passi, attribuendo evidentemente al data breach un rischio elevato, e lo ha altresì notificato ai soggetti interessati.
Quanto accaduto non può essere derubricato a mera “esposizione dei dati”, escludendo per questa via che si sia trattato di una violazione ai sensi dell’art. 4 GDPR. Invero, un’esposizione (semplice lettura da parte di soggetto non autorizzato) equivale a tutti gli effetti ad una “perdita” e “accesso fraudolento”, entrambe ipotesi considerate a tutti gli effetti data breach.
Né la società può difendersi sostenendo, in ipotesi, che le sono occorsi quasi tre mesi per accertare il livello di rischio del data breach. Delle due l’una: o il fu condotta una analisi insufficiente ad aprile, o l’analisi fu corretta già a quella data e la società decise di non denunciare l’accaduto ai soggetti interessati.
In entrambi i casi, viene il legittimo sospetto che il presidio privacy non abbia funzionato correttamente.
Il tempo dirà se il Garante dei dati personali vorrà avviare un’istruttoria e, all’esisto, comminare eventualmente una sanzione.
Francesco Rampone – f.rampone@lascalaw.com
© RIPRODUZIONE RISERVATA