Federprivacy, finita nell’occhio del ciclone per aver subito un attacco informatico che ha portato alla pubblicazione di circa 15 GB di dati sensibili, coinvolgendo 26.000 utenti, è stata accusata, in via definitiva, di gravi irregolarità dal Garante per la protezione dei dati personali.
Il GPDP ha, infatti, concluso la lunga istruttoria nei confronti dell’Associazione dei professionisti della privacy, accertando la sussistenza di tre gravi violazioni in materia di trattamento dei dati personali. Tra queste, figurano la tardiva comunicazione del data breach del 2023, l’uso di tecniche crittografiche obsolete e la conservazione illecita di documenti di identità.
In sintesi, Federprivacy ha violato il GDPR. È questo il verdetto emerso dal provvedimento, che a distanza di un anno chiude una vicenda a dir poco spiacevole. Soprattutto perché ad esserne protagonisti sono proprio gli “esperti” della protezione dei dati personali.
Sanzione in arrivo
Pur riconoscendo che, nel corso del procedimento, Federprivacy abbia adottato misure tecniche correttive per migliorare la sicurezza dei dati e ridurre il rischio di nuove violazioni, il Garante ha ritenuto che le infrazioni precedentemente commesse giustifichino l’adozione di una sanzione amministrativa pecuniaria.
In base all’art. 83 del GDPR, l’ammontare sarà commisurato alla gravità, la durata e il numero di soggetti coinvolti. Sono, infatti, risultati direttamente esposti oltre 4.200 utenti.
Tre violazioni accertate
Le conclusioni del Garante sono dunque nette: il trattamento dei dati effettuato dall’Associazione è risultato illecito, oltre che inadeguato, con conseguente avvio di un provvedimento sanzionatorio.
Nel dettaglio, le condotte contestate a Federprivacy sono:
- Tardiva comunicazione della violazione dei dati personali agli interessati, in violazione dell’art. 34 del GDPR. Solo il 26 marzo 2024, infatti, ben oltre tre mesi dalla scoperta della violazione, Federprivacy ha informato in modo conforme gli utenti le cui password erano protette da funzioni crittografiche considerate non più sicure.
- Mancata adozione di misure adeguate per proteggere le credenziali di accesso, violando così gli artt. 5, par. 1, lett. f), e 32 del Regolamento. Le password di oltre 4.200 utenti erano, infatti, conservate utilizzando l’algoritmo MD5, notoriamente obsoleto e vulnerabile.
- Conservazione illecita dei documenti di identità di 529 professionisti associati, in violazione dell’art. 5, par. 1, lett. e) del GDPR, a causa di un’errata configurazione del sistema informatico utilizzato per la raccolta delle richieste di attestato di qualità.
A rischio diritti e libertà fondamentali
L’analisi condotta dall’Autorità ha evidenziato come la violazione abbia esposto a un rischio elevato diritti e libertà fondamentali degli interessati. In particolare, la diffusione in rete delle credenziali compromesse avrebbe potuto consentire accessi non autorizzati a servizi online, sfruttando la tendenza diffusa a riutilizzare le stesse password su più piattaforme.
Preoccupante anche la conservazione indebita dei documenti di identità, che, in caso di accesso illecito, può facilitare gravi reati come il furto d’identità.
Le giustificazioni dell’Associazione non convincono
Nel corso del procedimento, Federprivacy ha più volte sostenuto di aver agito progressivamente per informare gli utenti e adeguarsi alle richieste dell’Autorità. Tuttavia, il Garante ha ritenuto tali dichiarazioni insufficienti a giustificare la gravità dei ritardi e delle carenze emerse.
La comunicazione del data breach, inviata a novembre 2023, e quella successiva dell’8 marzo 2024 sono state giudicate incomplete e non conformi all’art. 34 del Regolamento, poiché non fornivano informazioni sufficienti per consentire agli utenti di adottare tempestive misure di protezione.
Il provvedimento definitivo dell’Autorità, con la quantificazione della sanzione economica, è atteso nelle prossime settimane.