Ormai essere online è quasi imprescindibile per un’azienda: il mondo si è spostato su internet. Molte imprese si affidano quindi a società che si occupano della manutenzione e conservazione dei dati offrendo spazi di hosting.
Questo riduce di gran lunga i costi rispetto a mantenere un proprio sistema informatico sicuro e perfettamente funzionante.
Tuttavia, si è sempre così sicuri che queste società siano ben strutturate ed organizzate che non sempre ci si assicura di leggere attentamente i contratti di hosting che forniscono.
Finché tutto va bene, non ci sono problemi, ma in casi eccezionali, c’è il rischio che le conseguenze siano più pesanti proprio perché non si è tutelati dal contratto firmato.
Questo è il caso che è successo con l’incendio dei data center di OVH.
Il caso OVH
In data mercoledì 10 marzo alle ore 00:46 i datacenter di OVH a Strasburgo sono andati in fiamme a seguito di un incendio scoppiato nei locali per motivi ancora sconosciuti.
Innanzitutto, chiariamo di chi si tratta.
OVH è un’azienda leader del settore tecnologico francese e, da fonti interne alla società, risulta che proprio prima dell’incidente stesse predisponendo la quotazione in Borsa per competere con le altre società leader nel territorio americano, aumentando gli investimenti.
Quindi come è potuto avvenire tutto questo?
L’incidente ha avuto origine dal datacenter SBG2 e si è diffuso su tutte le altre unità SBG1, SBG3 e SGB4. Nonostante l’arrivo tempestivo dei vigili del fuoco, non è stato possibile domare le fiamme all’interno delle unità del datacenter.
Tuttavia, il patron dell’azienda Octave Klaba ha specificato che, seppur tutte le unità siano state chiuse, c’è ancora speranza di salvare i server all’interno delle unità SBG3 e SBG4, poiché ancora intatti. Inoltre, continuano gli sforzi per cercare di ripristinare anche l’unità SBG1, malgrado le condizioni in cui perversa.
L’incendio a Strasburgo ha portato offline siti e servizi in diverse città italiane, tra cui Pavia, Cattolica e Trapani. L’accaduto ha determinato disservizi anche ad alcuni enti pubblici locali in Italia che, nonostante la distanza fisica con Strasburgo, sono molto vicini dal punto di vista informatico.
L’impatto dell’incendio sui dati personali
Al di là dei danni materiali subiti dalla OVH, l’incendio e la distruzione dei server potrebbero avere impatti notevoli sui dati personali in essi conservati.
Qualunque sia la causa di tali eventi, infatti, l’art. 4 del GDPR configura come violazione della sicurezza dei dati personali l’evento che “comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Inoltre, già di per sé la provvisoria inaccessibilità e indisponibilità dei dati contenuti nei server costituisce un’ipotesi di violazione ai sensi del Regolamento UE sulla protezione dei dati personali (GDPR), che risulterebbe ovviamente aggravata nel caso in cui i dati risultassero definitivamente persi e di cui OVH potrà essere tenuta a rispondere.
Verso chi dovrà rispondere OVH come responsabile del trattamento?
In quanto soggetto incaricato della conservazione dei dati personali da parte di altri soggetti, la società francese si qualifica quale responsabile (o sub-responsabile) del trattamento ai sensi dell’art. 28 del GDPR.
E sebbene il danneggiato finale sia sicuramente il singolo interessato a cui si riferiscono i dati personali andati perduti, le eventuali responsabilità della OVH saranno fatte valere prima di tutto dai soggetti che la hanno incaricata della custodia: quindi, o direttamente il titolare del trattamento o altri intermediari, con il ruolo di responsabili del trattamento.
Nello specifico, OVH potrebbe ricadere nella sanzione prevista dall’articolo 83, comma 4, punto a), del GDPR, il quale stabilisce le “Condizioni generali per infliggere sanzioni amministrative pecuniarie” (fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) e prevede, tra le violazioni punibili con tali sanzioni, anche la mancata adozione di adeguate misure di sicurezza a protezione dei dati personali.
Data breach: vediamo quali sono gli adempimenti a carico di OVH
Alla luce di quanto detto finora, anche i danni causati dall’incendio subito dalla OVH rappresentano un data breach soggetto agli adempimenti previsti dagli articoli 33 (notifica all’autorità) e 34 (comunicazione agli interessati) del GDPR, in materia di violazione dei dati personali.
In particolare, queste disposizioni prevedono l’obbligo per il titolare del trattamento di notificare l’accaduto all’autorità di controllo competente entro 72 ore dal momento in cui è venuto a conoscenza della violazione.
Le violazioni che devono essere comunicate al Garante sono tutte quelle che possono avere effetti negativi sui soggetti coinvolti – ovvero i soggetti a cui si riferiscono i dati personali – ad esempio, determinando il mancato controllo sui propri dati personali ovvero la perdita di riservatezza degli stessi. Si può ritenere, quindi, che i titolari dei dati contenuti nel datacenter di OVH debbano rendere nota la vicenda alla relativa autorità di controllo.
Per questo, OVH, in qualità di responsabile del trattamento, avrà dovuto informare tutti i soggetti che quei dati le hanno affidato, spiegando con più dettagli possibili le caratteristiche dell’evento, le misure adottate per ripristinare la situazione e i danni prevedibili.
C’è un piano di Business Continuity e di disaster Recovery?
La vicenda di OVH ha messo di nuovo in luce l’importanza del tema di avere sempre pronto un Business Continuity Plan. Infatti, OVH non aveva previsto un piano generale di Data Recovery da utilizzare in situazioni di questo tipo.Ciò significa che i dati contenuti nei server distrutti potrebbero essere andati persi, forse per sempre, se il titolare non ha provveduto ad effettuare dei backup dei dati o ad applicare per conto suo un recovery plan efficace.
Nel caso di OVH, infatti, il servizio di Recovery Plan era previsto come servizio a parte per i clienti, così come il servizio di backup, che poteva essere acquistato in aggiunta ai servizi di base.
Ma anche aver espressamente richiesto la fornitura di questi servizi aggiuntivi alla OVH non può lasciare del tutto tranquilli.
L’azienda, infatti, nelle proprie condizioni generali di contratto, declina ogni responsabilità circa la buona esecuzione del backup, lasciando al cliente il compito di verificare il backup realizzato e quali siano le cause di un eventuale fallimento della procedura.
Tuttavia, ciò potrebbe non esimere da responsabilità OVH, in quanto non si esclude che quest’ultima potrebbe essere comunque tenuta a risarcire i danni derivanti dalla distruzione dei dati e dalle ore e giornate operative perse per le aziende clienti.
Cosa prevede il contratto con OVH
La disposizione più rilevante prevista dal contratto di OVH è quella relativa al concetto di “forza maggiore”.
Infatti, l’art. 5.7 del contratto stabilisce che per “evento di forza maggiore” si deve intendere l’evento il cui verificarsi è al di fuori del ragionevole controllo della parte interessata. E al suo interno vi si farebbe rientrare anche l’ipotesi di un incendio.
Bisogna, tuttavia, considerare che sarebbe da escludere la forza maggiore nel caso in cui l’incendio fosse stato provocato da un fatto connesso a dolo o colpa grave di OVH.
Dunque, se dagli accertamenti che verranno effettuati nelle prossime settimane dovesse emergere che l’incendio poteva essere evitato e che è stato causato da negligenza di OVH, quest’ultima potrebbe veder cadere l’esonero di responsabilità previsto in suo favore ed essere tenuta al risarcimento danni provocati da ciò ai propri clienti.
Inoltre, la validità delle clausole di limitazione della responsabilità di OVH previste dal contratto potrebbe essere contestata, trattandosi di clausole vessatorie, e OVH potrebbe dover trovare un’altra strada per difendersi dalle richieste risarcitorie che presumibilmente le arriveranno.
Quali danni chiedere a OVH: danno emergente e lucro cessante
Qualora venga accertata la responsabilità di OVH, questa sarebbe tenuta ad un risarcimento comprendente tanto il danno emergente (danni subiti dalla sospensione dei servizi) quanto il lucro cessante (danni economici successivi).
All’interno del danno emergente dovrebbe poi essere computato il tempo effettivo utilizzato dall’azienda per trovare soluzioni alternative per esercitare l’attività aziendale durante il periodo di crisi.
Diversamente, all’interno del lucro cessante può essere computato il danno economico subito dal mancato esercizio delle attività aziendali.
Infine, bisogna considerare il possibile risarcimento “da rimbalzo” che le aziende potrebbero subire da parte dei loro clienti che a loro volta sono stati danneggiati.
Alla luce degli eventi accaduti, i fatti dimostrano come ogni azienda dovrebbe essere preparata ad ogni emergenza ed è importante provvedere alla stesura e applicazione di un piano di Business Continuity
Infatti, i danni che ha subito OVH ricadono poi sulle singole aziende, ma se queste sono preparate ad affrontarli, le conseguenze saranno meno gravose. Non si parla solo di sanzioni pecuniarie, ma anche di rallentamenti o sospensioni delle attività che portano alla diminuzione delle entrate, in aggiunta alla perdita di reputazione dell’impresa.
Per chi volesse ricevere assistenza in relazione al data breach occorso può trovare qui maggiori informazioni.
https://www.fclex.it/servizi/gdpr-assistenza-alla-compliance/
Ecco una possibile ipotesi di “danno da rimbalzo”
La vicenda mette così in luce una catena di obblighi e responsabilità, che spesso non viene adeguatamente considerata dalle società coinvolte.
Si pensi al “danno da rimbalzo” che può aver coinvolto, ad esempio, i detentori dei dati personali contenuti all’interno del server.
Infatti, se i primi soggetti ad essere stati danneggiati sono le aziende clienti di OVH che detenevano dei server all’interno delle unità del data center di Strasburgo, non si può certo escludere che i clienti di queste aziende siano stati a loro volta danneggiati.
Dunque, in questa situazione si può supporre che il danno si sia propagato dalle aziende clienti di OVH ai clienti delle aziende stesse, a cui appartengono i dati conservati nei server.
Un’ulteriore ipotesi di “danno da rimbalzo” si potrebbe sostenere nei confronti dei soggetti fruitori dei servizi forniti dal data center, i quali sono stati impossibilitati a svolgere le proprie attività e, probabilmente, continueranno ad essere limitati nello svolgimento delle stesse.
Ad ogni modo, per poter parlare di eventuali risarcimenti, bisognerà capire se sussiste la responsabilità del data center per la mancata adozione delle necessarie misure di sicurezza volte a proteggere i dati.
Conclusioni
È evidente che un evento di questo tipo determina conseguenze e implicazioni diversificate, sia dal punto di vista delle responsabilità contrattuali ed extra-contrattuali a carico di OVH sia dal punto di vista della protezione dei dati andati distrutti o dispersi.
Per avere una visione più chiara dei profili di responsabilità di OVH bisognerà attendere ancora, ma, certamente, i clienti di OVH dovrebbero iniziare fin da ora a adoperarsi nel senso di tutelare al meglio i propri diritti (e, eventualmente, a loro volta, quelli dei propri clienti).
Tutela che dovrebbe essere prevista sia in termini di protezione dei dati personali, sia, dal punto di vista contrattuale, in relazione alla perdita del business aziendale per tutto il periodo in cui non sia stato possibile svolgere le attività all’interno dell’azienda.
Staremo a vedere quali saranno gli sviluppi della vicenda, ma certo è che la risonanza di questo evento potrebbe essere presa come campanello d’allarme per chi ancora non ha adottato delle misure di sicurezza ed organizzative adeguate.
Infatti, è sempre fondamentale valutare bene la scelta del cloud provider a cui affidarsi: quest’ultimo deve essere affidabile e deve adottare tutte le misure necessarie al fine di tutelare l’organizzazione del business aziendale.
Redazione Diritto dell’Informatica