Roms handelskammare anmälde en personuppgiftsincident till den italienska dataskyddsmyndigheten att de hade blivit utsatta för en cyberattack. Handelskammaren fick kännedom om attacken genom en anonym tweet som nämnde handelskammaren och fördömde attacken på deras webbplats. Därefter informerades Innova Camara – personuppgiftsbiträdet som ansvarar för förvaltningen av handelskammarens webbplats – om en länk till en CSV-fil från vilken det var möjligt att ladda ner en lista över 22 300 användare. De personuppgifter som påverkades inkluderade namn, efternamn, skatteregistreringsnummer, e-postadresser, fasta telefonnummer eller mobilnummer samt åtkomst- och identifieringsdata.
Myndighetens utredning av det anmälda personuppgiftsbrottet avslöjade flera sårbarheter i biträdets säkerhetsåtgärder. Utredningen visade att de berörda personuppgifterna inte hittades på webbplatsen utan i en databas som bestod av en säkerhetskopia av bokningshanteringssystemet. Säkerhetskopian skapades under en systemuppgradering. Kopian raderades inte efter den period som var nödvändig för att verifiera systemets funktion. Handelskammaren medgav att denna kopia skulle ha raderats tidigare eftersom arbetet med systemuppdateringen närmade sig sitt slut. Men på grund av den pågående hälsokrisen var handelskammaren tvungen att omprioritera för att kunna erbjuda tjänster till användarna. Myndigheten konstaterar även att krypteringsalgoritmen som användes för filen inte var kryptografiskt robust.
Dataskyddsmyndigheten konstaterar först att enligt GDPR måste personuppgifter som behandlas hållas i en identifierbar form endast så länge som det är nödvändigt för de ändamål för vilka de behandlas. Efter uppgraderingen av systemet fanns säkerhetskopian med personuppgifter om mer än 22 000 användare fortfarande kvar i systemet. Den personuppgiftsansvarige bekräftade själv att det inte längre var nödvändigt att lagra personuppgifterna relaterade till bokningshanteringstjänsten. Därför konstaterades en överträdelse av principen om lagringsbegränsning. Vidare, baserat på de identifierade sårbarheterna i systemets säkerhetsåtgärder, fann myndigheten en överträdelse av principen om integritet och konfidentialitet samt skyldigheten för säker behandling enligt GDPR.
Myndigheten noterade att på grund av många användares vanor att återanvända samma eller liknande lösenord för olika onlinetjänster måste de höga riskerna som uppstår från obehörig åtkomst beaktas. Därför borde den personuppgiftsansvarige kontinuerligt ha genomfört en bedömning av lämpligheten hos de åtgärder som vidtagits över tid, även med hänsyn till teknisk utveckling. Mot bakgrund av detta fann den italienska dataskyddsmyndigheten att personuppgiftsbiträdets handlande överträdde GDPR. För dessa överträdelser bötfälldes personuppgiftsbiträdet med €25,000.
