Multa record dell’autorità per la protezione dei dati personali polacca
Nel mese di settembre 2019, l’Autorità polacca per la protezione dei dati personali ha irrogato la sanzione più alta mai stabilita sino ad oggi per violazione del GDPR, nello specifico per non aver predisposto adeguate misure di sicurezza.
Come ormai ben noto, il principio di adeguatezza è un baluardo del GDPR ed è un concetto relativo, da intendersi sul parametro di riferimento; in altre parole, le misure di sicurezza vanno determinate sulla base della valutazione dei rischi e dunque adottate con la finalità di evitare e/o ridurre in termini socialmente accettabili gli stessi.
La società destinataria dell’alta sanzione è la Morele.net, la quale ha dichiarato di essere stata vittima di un crimine informatico in cui è stato violato il suo database di clienti online con conseguente compromissione dei dati personali di oltre due milioni di clienti. I dati sottratti illecitamente sono poi stati utilizzati per un attacco di phising tramite l’invio di un collegamento ad una pagina di negozio creata ad hoc nella quale si richiedeva il saldo di acquisti effettuati precedentemente online su Morele.net.
Le indagini dell’autorità polacca hanno stabilito che le misure organizzative e tecniche utilizzate da Morele.net non erano adeguate al rischio esistente correlato al trattamento dei dati dei loro clienti, e tali inadeguatezze hanno comportato l’accesso non autorizzato.
Più precisamente, nella decisione sono state identificate tre infrazioni base:
Il mancato rispetto del principio di integraty and confidentiality secondo cui il GDPR afferma che i dati personali devono essere “elaborati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illegale e contro la perdita accidentale, la distruzione o il danno, utilizzando adeguate misure tecniche o organizzative”.
Non sono state monitorate in modo efficace la potenziali minacce, in particolare quelle relative a comportamenti on line insoliti; dalle indagini effettuate risulta infatti che la società vittima dell’attacco informatico non ha reagito tempestivamente quando si è accorta della grande quantità di dati che venivano scaricati
Assenza del consenso richiesto in ordine alla elaborazione dei dati
A causa delle tre infrazioni contestate e dell’elevato rischio di effetti negativi cui sono stati esposti oltre due milioni di persone, alla Morele.net è stata inflitta un’ammenda di oltre 2,8 milioni di PLN (660.000 euro) per insufficiente protezione dei dati personali.
La società ha annunciato ricorso contro tale decisione, ma la stessa deve fungere da serio monito a tutti coloro che trattano dati personali e che sono tenuti all’osservanza del Regolamento europeo.
Si ribadisce infatti ancora una volta come sia di estrema importanza un’attenta e adeguata valutazione dei rischi e una conseguente consapevole adozione di misure di sicurezza efficaci a limitare o eliminare i rischi correttamente considerati. Non solo: l’episodio descritto impone una seria riflessione su come sia importante anche il monitoraggio costante dell’efficacia delle misure di sicurezza adottate, al fine di poter intervenire tempestivamente ove le stesse si dimostrassero non adeguate alla protezione dei dati trattati.
In altre parole, nel rispetto dei principi ispiratori del GDPR, occorre sempre e comunque – anche nelle realtà imprenditoriali minori – predisporre un valido sistema di protezione dati, valutare con obiettività eventuali possibili mancanze nello stesso, valutare i rischi di sottrazione illecita dei dati trattati e le relative conseguenze, oltre a predisporre misure di sicurezza adeguate alle valutazioni effettuate.