Data Breach alla Camera di Commercio di Roma: l’assenza di danni per gli interessati non esonera dalle sanzioni

Al momento stai visualizzando Data Breach alla Camera di Commercio di Roma: l’assenza di danni per gli interessati non esonera dalle sanzioni

La Camera di Commercio di Roma ha subito un Data Breach: la violazione ha esposto i dati personali di 22 mila utenti. Scopri nell’articolo come il Garante Privacy ha risposto e le conseguenze del GDPR su questo caso

Il contesto

Innova Camera, azienda speciale della Camera di commercio, industria, artigianato e agricoltura di Roma per l’innovazione ha notificato al Garante di aver subito un attacco informatico al CMS (Content management system), L’attacco ha permesso l’accesso al database dell’applicazione. I delinquenti hanno caricato virus e file malevoli e hanno estratto un bottino di dati personali di 22 mila utenti. Nello specifico si è trattato di una copia di backup dell’applicativo che gestiva il sistema di appuntamenti con gli utenti della camera di commercio. Queste informazioni contenevano dati anagrafici, dati di contatto e dati di accesso e identificazione (come username e password).  

Per saperne di più > Cosa fare in caso di violazione dati personali (Data breach)?

La parola del Garante e la difesa

Il documento rappresentava solo una copia di sicurezza e doveva essere cancellato. Per una dimenticanza, però, nel momento in cui è stato realizzato l’attacco la cancellazione non era ancora stata effettuata. Per questo motivo il Garante ha aperto il procedimento a carico dell’azienda contestandone appunto la mancata cancellazione e l’uso di una crittografia troppo debole.

L’azienda ha cercato di difendersi affermando che si è trattato di un errore umano e che il data breach è stato compiuto da delinquenti. Per quanto riguarda le tecniche crittografiche, ha affermato che al momento in cui erano state adottate, le tecniche erano considerate robuste.

Per saperne di più > Data breach: guida pratica per la notifica al Garante privacy

La sanzione del Garante per il Data Breach alla Camera di Commercio

Il Garante Privacy ha optato per la sanzione, nello specifico, la Camera di commercio deve pagare complessivamente una multa di 25.000 euro. Il Garante per la Protezione dei Dati Personali ha tenuto conto che le violazioni hanno consentito l’accesso e l’esfiltrazione di dati personali di un grosso numero di interessati, che sono in seguito stati pubblicati anche sul web. Inoltre, deve essere applicata anche la pubblicazione sul sito del Garante del provvedimento.

La severità del GDPR: responsabilità, adeguatezza dei sistemi di sicurezza e sanzioni anche in assenza di danni per gli interessati

  • Responsabilità: il GDPR prevede sanzioni amministrative salate a carico del titolare e responsabile del trattamento anche quando sono le vittime di condotte criminali di terzi. Questo avviene perché il GDPR non contempla una disciplina speciale per tali situazioni; di conseguenza, si applicano le regole generali previste per le violazioni commesse dal trasgressore senza l’intervento di terzi. 
  • Adeguatezza dei sistemi di sicurezza: nel caso in esame è stato criticato il sistema di crittografia delle password dell’azienda. Anche se quest’ultima si era difesa affermando che le misure adottate fossero valide al momento dell’implementazione il GDPR afferma che la valutazione delle misure adottate non può essere cristallizzata ad un momento specifico. Deve, al contrario, essere continuamente aggiornata nel tempo, anche in base allo sviluppo tecnologico. 
  • Sanzione anche in caso di assenza di danni per gli interessati: nella vicenda in questione, l’azienda ha riferito che nel giro di due anni dall’attacco informatico non le erano state inviate segnalazioni o richieste di risarcimento da parte degli interessati. Il GDPR non parla però di esclusione della sanzione in caso di assenza di danni, perché, per calcolare la sanzione amministrativa, considera “il livello del danno”.

Per approfondire > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

Il provvedimento completo è disponibile qui


Hai subito una violazione dei dati personali, ma non sai come comunicarla al Garante? Oppure non sai se, per il tipo di violazione subita, la comunicazione al Garante sia obbligatoria? O vuoi semplicemente evitare di subirne in futuro?

Chiedilo a noi, ti aiuteremo passo passo!