Nella notte del 10 marzo scorso, a Strasburgo, alcuni data center di OVH -uno dei principali fornitori di hosting in Europa con 32 data center presenti in 19 paesi- sono stati coinvolti in un grosso incendio causando notevoli disagi e criticità a molte società.
![](https://www.claudialupo.it/wp-content/uploads/2021/04/server-concept-illustration_114360-287.jpg)
I server di OVH erano ospitati in quattro grosse strutture: SBG1, SBG2 SBG3 e SBG4. L’incendio è divampato all’interno di SBG2 che è andato totalmente distrutto e si è poi diffuso sulle ulteriori unità (alcune delle quali dovrebbero essere state ripristinate), portando offline diversi siti web anche di Comuni e Imprese italiane. In particolare, secondo quanto emerso da un report di OVH, la quasi totalità dei servizi e dei dati contenuti nel data center dell’edificio SBG2 sono da considerarsi, per la maggior parte, irrecuperabili.
![](https://www.claudialupo.it/wp-content/uploads/2021/04/3805090-1024x1024.jpg)
L’impatto dell’incidente sui dati personali conservati sui data center coinvolti potrebbe aver comportato una violazione di dati personali come definita dall’art. 4 del Regolamento (UE) 2016/679 sulla protezione dei dati personali che i clienti di OVH sono ora tenuti a valutare e gestire, anche ai fini di un eventuale obbligo di notifica all’Autorità Garante e agli interessati.
Al fine di raccogliere informazioni necessarie all’analisi dell’incidente, i clienti possono accedere alla propria area riservata del sito web di OVH per verificare quali servizi e dati siano stati impattati dall’incendio; ulteriori informazioni possono essere acquisite dai comunicati e dalle FAQ messe a disposizione da OVH.
Gestione del data breach da parte dei clienti di OVH
Le aziende che per il servizio di hosting si sono affidate a OVH devono quindi verificare:
- quali dati siano stati coinvolti nell’incidente
- a quali categorie di soggetti interessati siano riferiti
- il numero -anche approssimativo- dei soggetti coinvolti
- se sui dati oggetto di incidente sia stato correttamente svolto un backup che abbia permesso di ripristinarne l’integrità
- se sia stato attivato il piano di business continuity che abbia permesso di ripristinare la disponibilità e
- quale tipo di violazione si sia, dunque, concretamente verificata.
Queste verifiche sono necessarie per valutare se, a seguito dell’evento, si sia verificato un impatto significativo sui diritti e sulle libertà degli interessati.
In ogni caso, a prescindere dall’obbligo di notifica, è necessario documentare la violazione dell’incidente e le relative valutazioni per consentire all‘Autorità di controllo di verificare il rispetto della normativa.
![](https://www.claudialupo.it/wp-content/uploads/2021/04/OVH-1024x555.jpg)
Anche l’Autorità Data Protection francese (CNIL), nel comunicato del 22 marzo 2020, ha ribadito l’obbligo, per i titolari del trattamento di dati personali conservati all’interno delle infrastrutture interessate dall’incendio, di documentare la violazione in un registro tenuto internamente.
La CNIL ha, inoltre, individuato a monte l’obbligo di notifica nei casi in cui:
- i dati personali siano stati persi in modo permanente; o
- non siano stati disponibili per un tempo sufficientemente lungo da creare un rischio per gli interessati; o
- non siano più disponibili e ciò possa creare un rischio per gli interessati (si pensi ad una perdita permanente dei dati sanitari di un paziente).