Legadvance – Pagina 2

Alla luce dei sempre più frequenti attacchi informatici – volti ad ottenere le credenziali di accesso a siti web – capaci di dar luogo a fatti particolarmente gravi, quali la fattispecie di furto e/o usurpazione di identità dei soggetti interessati, il Garante per la protezione dei dati personali nel dicembre 2023 è intervenuto sul punto in collaborazione con l’Agenzia per la cybersicurezza nazionale (ACN) definendo delle Linee guida specifiche in materia di conservazione delle password, fornendo così importanti misure tecniche da adottare.

Il Garante è intervenuto ai sensi dell’art. 5, paragrafo 1, lett. f) del GDPR, rivolgendosi a tutti i fornitori di servizi digitali ed agli sviluppatori di software: la finalità dichiarata è rafforzare la sicurezza dei dati personali trattati mediante misure tecniche ed organizzative adeguate, che ha individuato nell’elaborazione di particolari strumenti di crittografia e nel rispetto di una idonea modalità, oltre che in idonee tempistiche di conservazione delle password impostate dagli utenti.

Di conseguenza, è parso utile all’Autorità fornire opportune indicazioni in primis ai titolari e responsabili del trattamento che conservano password di autenticazione dei propri utenti, in modo che possano effettuare scelte tecnologiche consapevoli oppure progettare propri sistemi in linea con la normativa.

Si evidenzia che le misure indicate nelle citate linee guida sono certamente necessarie laddove il titolare gestisse numerose password e/o si trattasse di password che permettono l’accesso a banche dati di particolare importanza o dimensioni (es. dipendenti PA) e/o si trattasse di password di utenti che trattano sistematicamente dati particolari.

In conclusione, si ribadisce che nonostante le password siano trattate nel rispetto delle linee guida, questo non ne giustifica una conservazione superiore al tempo necessario per il raggiungimento della finalità.

Le password dovranno essere cancellate in caso di cessazione dei sistemi informatici o dei servizi online per cui erano state create e di disattivazione o revoca delle credenziali di autenticazione da parte dell’utente.

Nonostante ciò, nel caso in cui – nonostante il rispetto delle suddette linee guida – dovesse essere commessa una violazione, dovranno comunque effettuarsi le dovute valutazioni al fine di ponderare un’eventuale notifica al Garante e comunicazione agli interessati.

Come è noto, Unicredit S.p.A. in qualità di Titolare del trattamento, è stato recentemente sanzionato dal Garante per la protezione dei dati personali, a seguito di un data breach subito nel 2018; si trattò di un attacco dall’esterno, con conseguenze sui dati personali (tra questi nome, cognome, codice fiscale etc.) di clienti ed ex-clienti.

L’Autorità Garante per la protezione dei dati personali ha svolto una complessa attività istruttoria, durata diversi anni e – riferisce nel provvedimento – ha soppesato accuratamente le responsabilità dei diversi soggetti coinvolti con il Titolare del trattamento. La valutazione dell’Autorità ha dato luogo a due distinti provvedimenti, uno in capo al Titolare (reperibile sul sito dell’Autorità come doc. web n. 9991020) ed un altro in capo al Responsabile del trattamento (doc. web n. 9991064), la società NTT Data (di seguito anche “la Società), nominata ex art. 28 del GDPR.

A NTT Data è stata comminata una sanzione amministrativa pecuniaria pari ad euro 800.000,00 per non essersi conformata alla normativa in materia in qualità di Responsabile del trattamento e non aver rispettato gli obblighi contrattuali che le vietavano di sub affidare a soggetti terzi attività a lei riservate, quali i vulnerability assessment e penetration testing. Inoltre, NTT Data è stata riconosciuta responsabile di aver trasmesso tardivamente al Titolare del trattamento le vulnerabilità rilevate; un ritardo che, ad avviso del Garante, se non vi fosse stato avrebbe permesso alla banca di adottare quanto necessario ad evitare il brach.

Come sempre, il Garante privacy nell’irrogare una sanzione che sia oltre che effettiva anche proporzionata, ha tenuto conto anche degli elementi positivi riscontrati in capo al Responsabile. Questo costante rilievo effettuato dall’Autorità rende evidente che se NTT Data avesse posto in essere con la dovuta attenzione tutte le disposizioni previste dalla normativa inerente la protezione dei dati avrebbe potutoti ridurre ulteriormente la sanzione che l’ha colpita, se non addirittura riuescire ad evitarla.

Preme sottolineare come sia importante adottare modelli organizzativi e processi operativi interni volti ad assicurare l’ottemperanza alle clausole contrattuali e/o alle nomine di responsabile del trattamento; ancora oggi frequentemente trascurate o relegate ad una veloce lettura, possono essere essenziali non solo per la definizione di responsabilità di tipo contrattuale ed extra contrattuale, ma anche nell’individuazione e quantificazione di violazione delle disposizioni della normativa a protezione dei dati personali con conseguenze molto rilevanti in termini di sanzioni amministrative pecuniarie.

Legal Advisor for Compliance

Author Archives: Legadvance

Linee guida per la conservazione delle password

Sanzionato anche il Responsabile del trattamento di Unicredit S.p.A dal Garante per la protezione dei dati personali