Coinvolte oltre 61mila persone, password non protette e comunicazione tardiva agli interessati…
Una sanzione di 85mila euro è stata irrogata dal Garante per la protezione dei dati personali a The European House – Ambrosetti spa, società di consulenza strategica e think tank, per carenze nelle misure di sicurezza. Le criticità sono emerse a seguito di un data breach che ha coinvolto 61.670 persone, tra cui dipendenti di aziende clienti e personale interno che utilizzavano i servizi online. Tardiva anche la comunicazione della violazione agli interessati, avvenuta solo dopo l’intervento dell’Autorità.
L’attacco informatico, riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica, ha comportato l’esfiltrazione di nomi, cognomi, indirizzi email, username e password. Dagli accertamenti del Garante sono emerse diverse violazioni della normativa privacy. In particolare, la società conservava una parte delle password in chiaro e un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati. Conservava inoltre credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati.
L’Autorità ha anche accertato che la società, pur avendo notificato il data breach entro le 72 ore previste dalla normativa, non ha informato tempestivamente gli interessati, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e libertà. La comunicazione agli utenti è avvenuta a distanza di circa due mesi dalla scoperta dell’incidente, solo dopo un provvedimento correttivo del Garante.
Con il provvedimento, il Garante ribadisce la necessità per i titolari del trattamento di adottare misure tecniche e organizzative adeguate e di assicurare una gestione tempestiva e trasparente delle violazioni dei dati personali. Le esigenze reputazionali rappresentate dalla società non possono prevalere sui diritti delle persone coinvolte.
