DATA BREACH: DI NUOVO SANZIONI DA PARTE DEL GARANTE PRIVACY
Avv. Martina Vancini
Il Garante Privacy ha applicato una sanzione amministrativa di importo pari ad Euro 80.000,00 a Poste Vita S.p.A., la società di investimenti e assicurazioni di Poste Italiane, per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati e per aver tardivamente comunicato all’Autorità Garante l’avvenuto data breach.
Il procedimento ha preso avvio dal reclamo effettuato da una cliente di Poste Vita S.p.A. la quale scopriva che vi era stata una illecita comunicazione dei propri dati personali, riferiti a tre polizze vita, ad un soggetto terzo non autorizzato il quale ha poi utilizzato tali dati nell’ambito di un procedimento giudiziario.
Nel corso dell’istruttoria emergeva che il data breach era avvenuto a causa di errori commessi dagli operatori della società i quali avevano fornito informazioni facendo affidamento sulla genuinità delle richieste ricevute, sia per via degli specifici dati ottenuti e che solo il contraente avrebbe potuto conoscere, sia per via del fatto che la richiesta riportava la firma autografa dell’interessata.
Le procedure aziendali della società prevedono ora che le richieste informative inerenti ai rapporti contrattuali possano essere evase solo nel caso in cui la richiesta provenga da recapiti certificati, cioè coincidenti con quelli registrati nell’Area Riservata accessibile online dai clienti, oppure, previa allegazione di un documento di identità.
Nel caso di specie, le richieste della sedicente cliente sono pervenute proprio nella fase di implementazione delle sopramenzionate procedure aziendali.
In ogni caso, Poste Vita S.p.A., non appena ricevuta la comunicazione da parte dell’interessata in data 22 settembre 2024, ha immediatamente sospeso l’invio di ogni comunicazione all’indirizzo e-mail disconosciuto e avviato le opportune attività istruttorie interne, giunte a conclusione solamente in data 17 gennaio 2025.
Successivamente, il 20 gennaio 2025, la società notificava all’Autorità Garante il data breach connesso alla vicenda.
Il Garante Privacy, intervenuto sulla questione con provvedimento del 10 luglio 2025, ha sottolineato che Poste Vita S.p.A., prima di inviare tramite e-mail documentazione e informazioni riferite all’interessata, avrebbe dovuto porre in atto ogni misura idonea a verificare l’effettiva rispondenza dell’indirizzo di posta elettronica in questione all’identità della cliente. Inoltre, ha rilevato come la notifica di violazione di dati personali resa all’Autorità ai sensi dell’art. 33 par. 1 del GDPR sia stata fatta senza rispettare le tempistiche previste dal Regolamento. Infatti, già dal momento del disconoscimento della casella e-mail da parte dell’interessata, la società aveva la “ragionevole” evidenza dell’invio di dati a un soggetto estraneo, con conseguente obbligo di provvedere alla notifica all’Autorità Garante, senza ingiustificato ritardo, entro 72 ore.
La notifica è stata invece effettuata quasi quattro mesi dopo e senza alcuna indicazione circa i motivi del ritardo.
Le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD”, adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023 (che hanno sostituito le precedenti “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” adottate dal Gruppo di Lavoro Articolo 29 per la Protezione dei Dati, da ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018), chiariscono che “il titolare del trattamento debba considerarsi “a conoscenza” nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali”. In ogni caso “il momento esatto in cui il titolare del trattamento può considerarsi “a conoscenza” di una particolare violazione dipenderà dalle circostanze della violazione. In alcuni casi sarà relativamente evidente fin dall’inizio che c’è stata una violazione, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi. Tuttavia, l’accento dovrebbe essere posto sulla tempestività dell’azione per indagare su un incidente per stabilire se i dati personali sono stati effettivamente violati e, in caso affermativo, prendere misure correttive ed effettuare la notifica, se necessario”.
Il presente articolo non intende fornire un parere legale e, per l’effetto, non può essere considerato sostitutivo di una consulenza legale specifica.
