[doc. web n. 9903696]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 117 del 13 aprile 2002

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la notifica di violazione dei dati personali trasmessa da Microgame S.p.a. il 9 febbraio 2023 e successivamente integrata, ai sensi dell’art. 33 par. 4 del Regolamento, il 18 febbraio 2023, con la quale il titolare del trattamento ha dichiarato che:

a) tra l’8 febbraio 2023 e il 10 febbraio 2023 è avvenuta una violazione di dati personali di cui il titolare è venuto a conoscenza l’8 febbraio stesso;

b) la violazione ha tratto origine da un “attacco di tipo ransomware […] realizzato attraverso l'introduzione intenzionale dall'esterno [di] un virus malware nella rete aziendale [… che] ha determinato […] limitate esfiltrazioni di dati personali di giocatori […] e dei propri dipendenti”;

c) la violazione ha riguardato circa n. 7000 interessati, dipendenti e “giocatori”, le cui categorie di dati personali oggetto della violazione sono state “in relazione ai giocatori: dati personali di natura comune quali nome e cognome, username per accesso ai conti gioco […] dati di contatto (indirizzi mail), codice fiscale, dati di prelievo e deposito somme di denaro su account di gioco, documenti di riconoscimento e in casi molto limitati dati relativi a carte di credito”, mentre “in relazione ai dipendenti: dati identificativi di natura comune quali ad esempio nome e cognome, codice fiscale, patente di guida, documento di riconoscimento ed in alcuni casi molto limitati dati relativi alla salute forniti alla società per i conseguenti adempimenti di legge”;

d) “in data 15/02/2023 gli hacker informatici hanno provveduto alla pubblicazione fraudolenta sul dark web di alcune informazioni riconducibili agli interessati impattati dalla violazione riscontrata”, “in particolare” sia di “dipendenti” che di “giocatori”;

RILEVATO che nella citata notifica il titolare ha ritenuto che “la violazione [fosse] suscettibile di presentare potenzialmente un rischio elevato per i diritti e le libertà dei propri dipendenti”, ma che “la violazione non [fosse] suscettibile di presentare potenzialmente un rischio elevato per i diritti e le libertà dei giocatori (utenti)”, e di averne effettuato comunicazione ex art. 34 del regolamento (UE) 2016/679 ai soli propri dipendenti, in numero di 143, decidendo di non comunicarla ai “giocatori”, in ragione della “tipologia dei dati impattati, [delle] categorie di soggetti coinvolti dalla violazione e [del] numero limitato di interessati impattati dalla violazione”, “ritenendo sufficiente quanto già reso pubblico da Microgame sul proprio sito istituzionale e sui propri canali social (Linkedin) circa l'attacco informatico subito”, pur mettendosi “a completa disposizione del Garante per adempiere ad ogni ulteriore richiesta o necessità di comunicazione che quest'ultima ritenesse opportuna alla luce dei fatti riscontrati”;

RILEVATA dunque la decisione del titolare di effettuare la comunicazione della violazione dei dati personali ai sensi dell’art. 34 del Regolamento solo ad una parte degli interessati coinvolti escludendo dalla comunicazione i “giocatori”;

VISTE le misure di sicurezza che il titolare del trattamento ha dichiarato fossero in essere al momento della violazione;

VISTE, inoltre, le misure di sicurezza che il titolare ha dichiarato di aver adottato a seguito della violazione, tra cui la “ulteriore segmentazione di rete” e la “[…] estensione MFA per l’accesso all’infrastruttura”;

RITENUTO che l’adozione di tali misure di sicurezza possa efficacemente contribuire a prevenire simili violazioni in futuro;

VISTI i considerando 75 e 76 del Regolamento in relazione alla mancata comunicazione della violazione ai “giocatori”, secondo cui nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva;

VISTE le citate “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” secondo cui i fattori da considerare nella valutazione del rischio presentato da una violazione dei dati personali per i diritti e le libertà delle persone fisiche sono, tra gli altri, il tipo di violazione, la natura e la numerosità dei dati personali violati per ciascun soggetto interessato, la facilità di identificazione, la gravità delle conseguenze per le persone fisiche;

CONSIDERATO che la pubblicazione nel dark web di alcuni dati personali riferiti a “giocatori” ha dimostrato che i criminali informatici hanno avuto accesso ed estratto i dati personali anche di questa categoria di interessati;

CONSIDERATO che la natura e la numerosità dei dati violati espone anche i “giocatori” a danni potenziali di elevata gravità, quali il furto, l’usurpazione di identità o altri danni di natura economica o sociale significativi e, pertanto, configura la violazione occorsa come a rischio elevato anche per tale categoria di interessati;

VISTO l’art. 34, par. 1 del Regolamento che stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”, fatti salvi i casi in cui tale comunicazione non è richiesta in quanto risulta essere soddisfatta una delle condizioni previste al par. 3 del medesimo articolo;

CONSIDERATA l’insussistenza delle condizioni previste dall’art. 34, par. 3, anche con riferimento alla dichiarata pubblicazione di Microgame S.p.a.  “sul proprio sito istituzionale e sui propri canali social (linkedin) circa l'attacco informatico subito”, poiché non può essere dato per certo né per probabile l’accesso a tali canali informativi da parte della pluralità degli interessati coinvolti e, pertanto, tali canali non risultano idonei, nel caso in specie, a soddisfare il requisito di “analoga efficacia” della comunicazione pubblica quale alternativa ad una comunicazione individuale, come invece espresso dalla lettera c) del citato art. 34, par. 3;

CONSIDERATO che, alla luce di un complessivo esame delle circostanze portate all’attenzione dell’Autorità, la violazione dei dati personali in argomento è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche anche nel caso dei “giocatori”, condizione per cui è richiesta la comunicazione anche a tale categoria di interessati;

RAVVISATA, dunque, la necessità di esercitare il potere dell’Autorità di ingiungere al titolare del trattamento, ai sensi del combinato disposto degli artt. 34 par. 4 e 58, par. 2, lett. e) del Regolamento, di comunicare anche ai “giocatori” la violazione dei loro dati personali;

RITENUTO necessario disporre che la predetta comunicazione sia effettuata senza ulteriore ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, onde assicurare un’efficace tutela degli interessati;

TENUTO CONTO che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”;

RITENUTO, altresì, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di ingiungere a Microgame S.p.a. di fornire all’Autorità, con riferimento alla avvenuta comunicazione della violazione dei dati personali a tutti gli interessati, entro i successivi 10 giorni, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione agli interessati;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi del combinato disposto degli artt. 34, par. 4 e 58, par. 2, lett. e), del Regolamento, ingiunge a Microgame S.p.a., P.IVA 01046480628, con sede legale in viale Luca Gaurico, 9/11 00143 Roma, PEC microgame@pec.it, di comunicare la violazione dei dati personali a tutti gli interessati coinvolti senza ulteriore ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento;

2) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge altresì a Microgame S.p.a. di fornire all’Autorità, entro 10 giorni dal completamento delle comunicazioni di cui al precedente punto 1), un riscontro adeguatamente documentato in merito alle iniziative intraprese e alle eventuali ulteriori misure adottate per attenuare i possibili effetti pregiudizievoli della violazione nei confronti degli interessati.

Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa ai sensi del combinato disposto degli artt. 83, par. 5, lett. e), del Regolamento e 166 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152, comma 1 bis del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei