Con provvedimento n. 572 del 4 luglio 2024, il Garante per la protezione della Privacy ha imposto una sanzione da 900.000 euro a un'azienda che non ha corretto una vulnerabilità nei propri sistemi di sicurezza per quasi un anno, facilitando un attacco informatico di tipo ransomware avvenuto nell'agosto 2023.
L'attacco ha comportato il blocco di server e postazioni di lavoro e ha causato l'esfiltrazione e la perdita di dati personali di circa 25.000 soggetti, successivamente pubblicati nel dark web.
Le informazioni compromesse comprendono dati anagrafici, contatti, dati di accesso, dati di pagamento e informazioni sensibili come l'appartenenza sindacale e i dati relativi alla salute.
Secondo il Garante, l'azienda non ha rispettato gli obblighi di sicurezza previsti dalla normativa, non adottando misure adeguate a prevenire rischi per i dati personali e non provvedendo ad applicare le patch necessarie.
Questo, come detto, nonostante le vulnerabilità sfruttate per l'attacco fossero già note da settembre 2022, con aggiornamenti per la loro risoluzione messi a disposizione a novembre dello stesso anno.
Il Garante ha inoltre rilevato che la notifica di violazione inviata dall'azienda presentava informazioni incomplete e generiche, non dettagliando in modo adeguato le specifiche vulnerabilità sfruttate, né le misure tecniche adottate per mitigare gli effetti dell'attacco. Queste carenze hanno ostacolato l'Autorità nell'esercizio tempestivo dei propri poteri di controllo e verifica.
Nel provvedimento, il Garante ha concluso che l'azienda non ha rispettato gli obblighi imposti dagli articoli 5, 25, 32 e 33 del GDPR, non garantendo un livello di sicurezza sufficiente per la protezione dei dati personali trattati. La mancata applicazione delle patch e l'assenza di aggiornamenti sui sistemi hanno incrementato il rischio per i dati in possesso dell'azienda, aggravando così il danno per gli interessati.
Per rimediare a queste carenze, il Garante ha imposto all'azienda l'adozione di misure correttive, tra cui una verifica tempestiva delle vulnerabilità sui sistemi informatici e l'implementazione di una procedura formalizzata per la loro gestione, stabilendo altresì la definizione di tempi medi di rilevamento e risposta proporzionati al livello di rischio.
Inoltre, ha richiesto la pubblicazione del provvedimento sul sito web dell'Autorità, al fine di promuovere la trasparenza e la prevenzione in materia di protezione dei dati.
Del provvedimento, è stata data notizia nella Newsletter del Garante n. 528 del 22 ottobre 2024.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".