L’impossibilità di identificare rapidamente la minaccia e rimuoverla ha portato ID Finance Poland a perdere i dati. Pertanto, il presidente dell’Ufficio per la protezione dei dati personali ha deciso che la società non aveva implementato misure tecniche e organizzative adeguate, il che ha comportato una violazione del principio della riservatezza dei dati e ha imposto alla società un’ammenda per un importo di oltre 1 milione di PLN.

L’azienda sanzionata (proprietaria del portale di prestito MoneyMan.pl) non ha reagito adeguatamente al segnale di lacune nella sua sicurezza. Non ha controllato rapidamente le informazioni che i dati dei suoi clienti erano disponibili su uno dei suoi server. Non ha preso sul serio tale avviso, quindi pochi giorni dopo il segnale ricevuto dall’azienda, una persona non autorizzata ha copiato i dati e poi li ha cancellati dal server. Ha chiesto un riscatto per aver restituito le informazioni rubate. Solo allora l’azienda ha iniziato ad analizzare le funzionalità di sicurezza sui propri server e contestualmente ha segnalato la violazione della protezione dei dati all’autorità di controllo .

Nel corso del procedimento, l’Ufficio per la protezione dei dati personali ha stabilito che la violazione è avvenuta dopo il riavvio di uno dei server gestiti dal soggetto del trattamento (società di hosting), non è stata ripristinata la configurazione di sicurezza appropriata. L’amministratore è stato informato in merito da uno degli specialisti della sicurezza informatica, che ha rilevato la vulnerabilità e indicato informazioni di esempio pubblicamente disponibili. 

Il responsabile del trattamento, invece di controllare diligentemente le sue segnalazioni e monitorare il responsabile del trattamento se avesse debitamente trattato il caso in termini di controlli di sicurezza, aveva dubbi sul fatto che si trattasse di un tentativo di estorcergli altri dati, che ha indicato nella sua corrispondenza al responsabile. Di conseguenza, le vulnerabilità indicate nel sistema non sono state verificate immediatamente e, pochi giorni dopo, i dati sono stati rubati da questo server.

Questa violazione non si sarebbe verificata se l’amministratore avesse reagito immediatamente in modo appropriato alle informazioni che i dati sul suo server non sono protetti. A parere dell’Ufficio per la protezione dei dati personali, il responsabile del trattamento dovrebbe mantenere la capacità di identificare rapidamente ed efficacemente eventuali violazioni al fine di poter intraprendere le azioni appropriate. Inoltre, il responsabile del trattamento dovrebbe essere in grado di indagare rapidamente sull’incidente per verificare se si è verificata una violazione della protezione dei dati e adottare le misure correttive appropriate.

L’autorità di controllo ha inoltre deciso che la mancanza di una risposta sufficientemente rapida da parte del responsabile del trattamento alla notifica di una vulnerabilità nel sistema non esclude la responsabilità del titolare del trattamento per una violazione della protezione dei dati. È l’amministratore che deve essere in grado di rilevare, porre rimedio e segnalare le violazioni: questo è un elemento chiave delle misure tecniche e organizzative.

A giudizio dell’Ufficio per la protezione dei dati personali, la società, nonostante abbia fornito tempestivamente al responsabile del trattamento le informazioni su una potenziale vulnerabilità nella sicurezza del server, non ha intrapreso azioni sufficienti. L’indagine ha dimostrato che il responsabile del trattamento ha analizzato brevemente il segnale ricevuto, non l’ha preso sul serio e non ha obbligato il responsabile del trattamento a trattare adeguatamente il caso.

Nell’imporre una sanzione per la violazione della riservatezza dei dati personali a seguito di una serie di negligenze da parte del responsabile del trattamento, l’Ufficio per la protezione dei dati personali ha tenuto conto dell’entità della violazione e della portata dei dati rubati. Inoltre, a causa del fatto che sono trapelate anche password non crittografate, è possibile utilizzare questi dati per accedere a diversi account cliente, se hanno utilizzato lo stesso login (es. E-mail) e password su altri siti web. Nell’imporre l’importo dell’ammenda, l’autorità ha anche tenuto conto del ritardo dell’amministratore nell’adozione di misure preventive.

L’importo della sanzione dovrebbe svolgere sia una funzione repressiva che preventiva. Secondo l’autorità, dovrebbe prevenire simili violazioni in futuro sia nell’azienda sanzionata che in altri amministratori.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO