Incendio a Strasburgo: va a fuoco il datacenter di OVH

Quando un incendio tanto improbabile quanto impossibile accade realmente

Il recente incendio che ha colpito i data center di Strasburgo di OVH, una delle più note società francese di web hosting ha davvero portato alla luce il fatto che certi fatti sono imprevedibili ma non impossibili.

Ed invero, a seguito del rogo che ha letteralmente raso al suolo la struttura societaria, i server presenti al suo interno e quindi milioni di dati personali negli stessi conservati, molti siti web piattaforme e applicativi sono entrati in modalità off-line.

D più; alcuni clienti che hanno sottoscritto il contratto con la società OVH hanno riscontrato, nell’immediato dell’accaduto, la mancanza di back up e l’impossibilità di accedere ai propri dati personali.

Ecco che davvero, legato a questo episodio, tanto di gravi conseguenze quanto impensabile nel suo verificarsi, si pone non solo la questione della responsabilità del provider ma anche il profilo di come gestire il data breach in commento.

L’approfondimento circa il profilo dell’assenza o meno di responsabilità della società francese ruota intorno all’analisi dell clausole vessatorie e la loro validità. Nello specifico, il contratto della società francese non richiede l’accettazione espressa di predette clausole, contrariamente a quanto previsto dalla legge italiana.

A fronte di ciò e bene comprendere se la clausola di esclusione della responsabilità per danno incidentale sia nulla o sia valida per le parti che hanno sottoscritto detto contratto, tenendo in considerazione che una di queste è straniera.

Se è vero che per un primo orientamento, qualora tale tipo di clausola non sia ratificata, non si possa ritenere valida anche in caso di controparte straniera; per una diversa posizione dottrinale, la stessa deve ritenersi valida proprio perché il contratto non è stipulato tra Pari contrattuali di nazionalità italiana.

Nello specifico, per quanto concerne le web agency o i webmaster che offrono il servizio di hosting o back-up, è importante verificare se le stesse società si siano protette stabilendo delle condizioni contrattuali differenti, poiché il contratto con il provider non è negoziabile. Questo aspetto è rilevante, a tal punto da implicare un possibile risarcimento danni da parte dei OVH nei confronti dei propri clienti.

Non solo; in linea di principio, OVH potrebbe ricadere nella sanzione prevista dall’art.83 comma 4 lett. a) del GDPR, il quale stabilisce le sanzioni in caso di violazioni.

A prescindere dalla causa degli eventi, è bene ricordare al lettore che l’art. 4 , n.12 del GDPR configura un DATA BREACH come la violazione dei dati personali che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. In tale ipotesi si annovera certamente la provvisoria inaccessibilità ed indisponibilità dei dati contenuti nel server, che diviene maggiormente grave qualora la perdita risultasse avere carattere definitivo.

Altra norma da tenere in considerazione è l’art. 33 GDPR, a mente del quale “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55  senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.

Il seguente art .34 GDPR invece disciplina la comunicazione agli interessati, che devono essere messi a conoscenza della violazione mediante una descrizione semplice e chiara della natura della violazione dei dati personali che li ha coinvolti.

Se Infatti, il titolare del trattamento ha l’obbligo di notificare l’evento all’autorità Garante entro 72 ore dal suo verificarsi non si dimentichi che deve procedersi anche alla comunicazione verso i soggetti interessati al trattamento che potrebbero subire una lesione dei propri diritti e delle proprie libertà  a seguito dell’incidente.

Tornando al caso OVH; qualora i dati non fossero contenuti in un sito web, ma nello spazio hosting della società, la perdita dei dati potrebbe coinvolgere la società stessa e seguente controllo dell’autorità Garante per verificare se il suo operato, in qualità di responsabile esterno del trattamento, sia conforme al Regolamento UE 679/16.

La società francese, in quanto soggetto incaricato della conservazione dei dati personali, si qualificherebbe infatti come responsabile del trattamento ex art.28 GDPR e il responsabile del trattamento in ossequio all’art.31 GDPR deve cooperare con il titolare per l’esecuzione dei compiti.

Cosa ci insegna questa vicenda? E’ evidente che ogni società dovrebbe dotarsi di un Business Continuity Plan.

Nel caso che ci occupa, la società OVH non aveva previsto un piano generale di data recovery, offrendo solo un servizio aggiuntivo di backup da acquistarsi ulteriormente rispetto al cd “pacchetto base”.

La società francese ha pertanto declinato la propria responsabilità nelle condizioni generali prevendendo che la buona esecuzione del backup sia demandata al cliente.

La verifica del backup però non potrebbe esimere la società dal risarcimento dei danni derivanti dalla distruzione dei dati e dalle ore e/o giornate perse per le aziende clienti.

Non resta che seguire con attenzione l’evolversi di questa improbabile vicenda.

Eleonora Mataloni

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.