Nella notte del 10 marzo scorso, a Strasburgo, alcuni data center di OVH -uno dei principali fornitori di hosting in Europa con 32 data center presenti in 19 paesi- sono stati coinvolti in un grosso incendio causando notevoli disagi e criticità a molte società.
I server di OVH erano ospitati in quattro grosse strutture: SBG1, SBG2 SBG3 e SBG4. L’incendio è divampato all’interno di SBG2 che è andato totalmente distrutto e si è poi diffuso sulle ulteriori unità (alcune delle quali dovrebbero essere state ripristinate), portando offline diversi siti web anche di Comuni e Imprese italiane. In particolare, secondo quanto emerso da un report di OVH, la quasi totalità dei servizi e dei dati contenuti nel data center dell’edificio SBG2 sono da considerarsi, per la maggior parte, irrecuperabili.
L’impatto dell’incidente sui dati personali conservati sui data center coinvolti potrebbe aver comportato una violazione di dati personali come definita dall’art. 4 del Regolamento (UE) 2016/679 sulla protezione dei dati personali che i clienti di OVH sono ora tenuti a valutare e gestire, anche ai fini di un eventuale obbligo di notifica all’Autorità Garante e agli interessati.
Al fine di raccogliere informazioni necessarie all’analisi dell’incidente, i clienti possono accedere alla propria area riservata del sito web di OVH per verificare quali servizi e dati siano stati impattati dall’incendio; ulteriori informazioni possono essere acquisite dai comunicati e dalle FAQ messe a disposizione da OVH.
Gestione del data breach da parte dei clienti di OVH
Le aziende che per il servizio di hosting si sono affidate a OVH devono quindi verificare:
- quali dati siano stati coinvolti nell’incidente
- a quali categorie di soggetti interessati siano riferiti
- il numero -anche approssimativo- dei soggetti coinvolti
- se sui dati oggetto di incidente sia stato correttamente svolto un backup che abbia permesso di ripristinarne l’integrità
- se sia stato attivato il piano di business continuity che abbia permesso di ripristinare la disponibilità e
- quale tipo di violazione si sia, dunque, concretamente verificata.
Queste verifiche sono necessarie per valutare se, a seguito dell’evento, si sia verificato un impatto significativo sui diritti e sulle libertà degli interessati.
In ogni caso, a prescindere dall’obbligo di notifica, è necessario documentare la violazione dell’incidente e le relative valutazioni per consentire all‘Autorità di controllo di verificare il rispetto della normativa.
Anche l’Autorità Data Protection francese (CNIL), nel comunicato del 22 marzo 2020, ha ribadito l’obbligo, per i titolari del trattamento di dati personali conservati all’interno delle infrastrutture interessate dall’incendio, di documentare la violazione in un registro tenuto internamente.
La CNIL ha, inoltre, individuato a monte l’obbligo di notifica nei casi in cui:
- i dati personali siano stati persi in modo permanente; o
- non siano stati disponibili per un tempo sufficientemente lungo da creare un rischio per gli interessati; o
- non siano più disponibili e ciò possa creare un rischio per gli interessati (si pensi ad una perdita permanente dei dati sanitari di un paziente).