[doc. web n. 9941763]

Provvedimento del 3 agosto 2023

Registro dei provvedimenti
n. 351 del 3 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dati, di seguito, “Regolamento”);

VISTI in particolare gli articoli 33 e 34 del Regolamento rubricati, rispettivamente, “Notifica di una violazione dei dati personali all’autorità di controllo” e “Comunicazione di una violazione dei dati personali all’interessato”, e l’art. 32 rubricato “Sicurezza del trattamento”;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, come modificato dal d.lgs. 10 agosto 2018, n. 101 (di seguito, “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (di seguito, “regolamento 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante per la protezione dei dati personali;

RELATORE il prof. Pasquale Stanzione;

***

VISTE la notifica di violazione dei dati personali di Onlinestore S.r.l. (di seguito, Onlinestore o la “società”) del 14 marzo 2023, le note integrative del 18 aprile 2023, del 03 maggio 2023, del 19 maggio 2023, del 22 maggio 2023, e la risposta del 05 giugno 2023 alla richiesta di informazioni formulata dall’Ufficio, da cui complessivamente si desume che:

a) Onlinestore opera il sito web di commercio elettronico www.onlinestore.it

b) l’11 marzo 2023 Onlinestore ha ricevuto da un proprio cliente una segnalazione circa la presenza nel dark web di un “leak [di] dati”

c) le analisi conseguentemente condotte dalla società hanno consentito di accertare che la violazione ha tratto origine da un “hack del CMS […] Prestashop 1.7.6.5 […] con accesso del database e esportazione e pubblicazione” che ha interessato “un Backup-Server dei ns. Sistemi CMS, il quale al momento della violazione si trovava presso l'abitazione di un ns. dipendente informatico senza adeguato sistema di sicurezza a tale data”

d) i dati oggetto di violazione sono stati il “nome, cognome, indirizzo (Via e n° civico se indicato), CAP, città, indirizzo email, data nascita, storico ordini (con prodotti acquistati), password criptato del user-account” di un numero di utenti del sito web che il titolare ha valutato come “non determinabile”, per un totale di “284.000” registrazioni di dati personali

e) Onlinestore ha disattivato tale server dopo aver avuto contezza che era stato violato

f) Onlinestore non ha comunicato la violazione agli interessati ai sensi dell’art. 34 del Regolamento (UE) 2016/679, ritenendola non suscettibile di presentare un rischio elevato per gli interessati

g) Onlinestore non ha fornito all’Ufficio dettagli sulle eventuali misure di sicurezza adottate a seguito della violazione al fine di prevenire ulteriori violazioni di dati personali, limitandosi a rappresentare di aver “immediatamente contattato un specialista (perito informatico) per individuare il problema”;

***

CONSIDERATO che l’Ufficio del Garante ha condotto vari accessi online volti ad acquisire ulteriori elementi utili all’inquadramento della violazione e alla valutazione del rischio derivante per gli interessati, con particolare riguardo (cfr. verbale delle operazioni compiute del 6 luglio 2023 in atti):

1. alle categorie di prodotti commercializzati sul sito www.onlinestore.it

2. alla possibilità, o meno, di rinvenire nella rete Internet i dati personali illecitamente sottratti alla società

3. alle misure di sicurezza in esercizio, con particolare riguardo alle eventuali vulnerabilità del software adoperato dalla società al momento della violazione;

RILEVATO, all’esito delle summenzionate verifiche, che:

1. Onlinestore commercializza mediante il proprio sito web, tra gli altri, articoli suscettibili di rivelare le attitudini e le preferenze sessuali degli acquirenti

2. sono tuttora reperibili nel web porzioni dei dati personali illecitamente estratti dai sistemi informatici del titolare ed è possibile entrare in possesso, a pagamento, anche della restante parte di dati illecitamente estratti, per un volume totale di 1.8 GB contente i dati personali di novecentomila utenti del sito web di Onlinestore

3. la versione del software PrestaShop adoperata dal titolare sui propri sistemi informatici al momento della violazione, è affetta da vulnerabilità di sicurezza note sin dal 2 luglio 2020, data in cui il produttore del software aveva rilasciato un aggiornamento di sicurezza;

***

TENUTO CONTO, pertanto, sia delle dichiarazioni rese dal titolare che degli elementi autonomamente acquisiti dall’Ufficio;

VISTE, con riguardo alla mancata comunicazione della violazione agli interessati, le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” secondo cui i fattori da considerare nella valutazione del rischio presentato da una violazione dei dati personali per i diritti e le libertà delle persone fisiche sono, tra gli altri, il tipo di violazione, la natura e la numerosità dei dati personali violati per ciascun soggetto interessato, la facilità di identificazione, la gravità delle conseguenze per le persone fisiche;

VALUTATA la violazione in esame come a rischio elevato per gli interessati, in ragione della natura e numerosità dei dati violati, del fatto che la perdita di riservatezza dei domicili e dei recapiti espone tutti gli interessati a danni materiali e immateriali di potenziale significativa gravità, e del fatto che la reperibilità online dello storico degli ordini effettuati può comportare rischi di pregiudizio alla reputazione degli interessati o di discriminazione, soprattutto laddove consti di articoli atti a rivelare informazioni sulla vita sessuale degli acquirenti;

VISTO l’art. 34, par. 1, del Regolamento che stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”, fatti salvi i casi in cui tale comunicazione non è richiesta in quanto risulta essere soddisfatta una delle condizioni previste al par. 3 del medesimo articolo, non applicabile al caso in specie;

RITENUTO, dunque, che il titolare del trattamento è tenuto a comunicare la violazione agli interessati;

VISTO l’art. 34, par. 4, del Regolamento, secondo cui “nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda”;

RAVVISATA, dunque, la necessità di esercitare il potere dell’Autorità di ingiungere al titolare del trattamento, ai sensi del combinato disposto degli artt. 34, par. 4, e 58, par. 2, lett. e) del Regolamento, di comunicare la violazione agli interessati, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento, “senza ingiustificato ritardo” e, in ogni caso, entro dieci giorni dalla data di ricezione del presente provvedimento, al fine di assicurare un’efficace tutela agli interessati;

CONSIDERATO, con riguardo alle misure di sicurezza, che al momento della violazione erano in uso modalità di trattamento dei dati personali “senza [un] adeguato sistema di sicurezza” “presso l'abitazione di un ns. dipendente”; era adoperata una versione del software PrestaShop risalente e affetta da vulnerabilità di sicurezza note, sebbene fossero da tempo disponibili delle versioni più sicure di tale software; la Società non ha puntualmente indicato all’Ufficio quali misure di sicurezza correttive e preventive abbia adottato o avesse intenzione di adottare a seguito della violazione subita;

RITENUTO necessario ingiungere a Onlinestore, pertanto, ai sensi del combinato disposto degli artt. 32 e 58, par. 2, lett. d) del Regolamento, di adottare misure di sicurezza adeguate ai rischi presentati dai trattamenti di dati personali svolti, ivi incluse la predisposizione di un programma di formazione del personale in materia di sicurezza informatica e di protezione dei dati personali, l’adozione di software privi di vulnerabilità note, e la periodica e tempestiva applicazione degli eventuali aggiornamenti di sicurezza successivamente resi disponibili dai produttori di tali software;

RITENUTO, inoltre, ai sensi del combinato disposto degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, che il titolare del trattamento debba dimostrare all’Autorità di aver adempiuto alle prescrizioni impartite mediante la trasmissione di documentati riscontri, secondo le seguenti tempistiche: entro dieci giorni per quanto riguarda la comunicazione agli interessati, ed entro venti giorni in merito alle misure di sicurezza impartite;

RILEVATO che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”;

RISERVATA, con autonomo procedimento, ogni ulteriore valutazione in merito ad eventuali profili sanzionatori collegati alla fattispecie in esame;

TENUTO CONTO che, in ogni caso, ai sensi dell’art. 19, comma 6 del regolamento 1/2019, è fatta salva l’attività di controllo in caso di sopravvenuti elementi di fatto o di diritto ovvero di diversa e ulteriore valutazione del Garante;

***

TUTTO CIÒ PREMESSO IL GARANTE
ingiunge a Onlinestore S.r.l., P.IVA 02652600210, con sede legale in Via della Palude 15, 39020 Bolzano, PEC onlinestore@pec.bz.it

1) ai sensi del combinato disposto degli artt. 34, par. 4 e 58, par. 2, lett. e) del Regolamento, di comunicare la violazione dei dati personali a tutti gli interessati coinvolti senza ulteriore ritardo, e, comunque, entro dieci giorni dalla data di ricezione del presente provvedimento, fornendo agli interessati almeno le informazioni di cui all’art. 34, par. 2, del Regolamento;

2) ai sensi del combinato disposto degli artt. 32 e 58, par. 2, lett. d) del Regolamento, di adottare misure di sicurezza adeguate ai rischi presentati dai trattamenti di dati personali svolti, ivi incluse:

a. la predisposizione di un programma di formazione del personale in materia di sicurezza informatica e di protezione dei dati personali;

b. l’adozione di software privi di vulnerabilità note e di un programma per la periodica e tempestiva applicazione degli eventuali aggiornamenti di sicurezza successivamente resi disponibili dai produttori di tali software;

3) ai sensi del combinato disposto degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, di trasmettere all’Autorità:

a. un documentato riscontro riguardo alla comunicazione agli interessati di cui al punto 1), entro dieci giorni dal ricevimento del presente provvedimento;

b. un documentato riscontro in merito alle prescrizioni di cui al punto 2), entro venti giorni dal ricevimento del presente provvedimento.

Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa ai sensi del combinato disposto degli artt. 83, par. 5, lett. e) del Regolamento e 166 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152, comma 1 bis del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 3 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei