Per effettuare ogni genere di attività sul web è diventare necessario fornire molti dettagli sulle proprie informazioni personali, ed è così che potremmo imbatterci senza saperlo in un Data Breach
L’inserimento dei nostri dati riservati è divenuto quasi un’operazione automatica che, magari per la fretta di accedere ad un contenuto oppure ad un servizio, spesso compiamo velocemente senza rivolgere la giusta attenzione alle possibili conseguenze che potrebbero scaturire da questo semplice atto.
La somma di tutti questi dati eterogenei raccolti, i cosiddetti “Big data”, ha un valore strategico ed economico altissimo, di qui la ragione di frequenti attacchi hacker volti a minare la sicurezza dei sistemi di cybersecurity anche più sofisticati scatenando dei pericolosi “Data breach”.
Soprattutto durante il periodo di lockdown causato dall’emergenza Covid-19, gli attacchi informatici si sono moltiplicati facendo sorgere interrogativi circa l’effettiva salvaguardia della privacy da parte di App di videochiamate online, nonché prendendo di mira pubbliche amministrazioni (come nel caso dell’INPS) e, pochissimi giorni fa, anche la grande compagnia aerea EasyJet, causando danni a milioni di utenti.
Per saperne di più circa questi rilevanti episodi si rimanda ai seguenti link:
https://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-customers-details-credit-card
Ma cos’è effettivamente un Data breach?
Ai sensi dell’art. 4 del GDPR, per violazione dei dati personali o data breach è da intendersi come:
«qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».
Quali obblighi sorgono in capo al titolare del trattamento in caso di violazione dei dati personali?
L’art. 33 del GDPR introduce l’obbligo del titolare del trattamento di notificare la violazione dei dati personali al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza.
Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla legge n. 675/1996, il cui compito è decidere in caso di violazioni del GDPR e delle norme nazionali in materia di protezione dei dati e gestire i reclami che le vengono proposti.
Spetta al responsabile della protezione dei dati personali informare il titolare del trattamento, senza ingiustificato ritardo, dell’avvenuta violazione affinchè quest’ultimo possa procedere alla notifica dinanzi al Garante.
N.B. Il dovere di notifica entro 72 ore è escluso solo quando è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone.
Cosa bisogna comunicare tramite la notifica?
• la natura della violazione dei dati personali compresi, se possibile, le categorie e il numero approssimativo di interessati in questione;
• il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• le probabili conseguenze della violazione dei dati personali;
• le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Inoltre, come stabilito dall’art. 34 del GDPR, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, il titolare del trattamento è obbligato a comunicare la violazione anche a ciascun interessato senza ingiustificato ritardo.
Tuttavia, il suddetto obbligo è escluso quando:
• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
• la comunicazione richiederebbe sforzi sproporzionati, procedendosi, in tal caso, ad una comunicazione pubblica o ad una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
A quali sanzioni si va incontro in caso di mancata notifica?
Qualora la notifica non sia effettuata entro 72 ore, senza giustificati motivi di ritardo da comunicarsi al Garante, il titolare del trattamento dei dati personali è soggetto all’applicazione delle sanzioni previste dal GDPR consistenti in sanzioni amministrative pecuniarie fino a dieci milioni di Euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente se superiore.
Quali rimedi può azionare il danneggiato nei casi di la violazione dei dati personali?
Il Capo VIII del GDPR, agli artt. 77, 78 e 79 predispone i mezzi di ricorso, che il danneggiato può esperire per far valere i suoi diritti.
In particolare, sono tre le modalità attraverso cui costui può scegliere di agire:
1. mediante reclamo all’autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, o dello Stato in cui si è verificata la presunta violazione;
2. attraverso ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda;
3. con ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode, a norma del GDPR, siano stati violati a seguito di un trattamento.
Le azioni devono essere promosse nei confronti del titolare e/o del responsabile del trattamento dei dati personali dinanzi alle autorità giurisdizionali dello Stato in cui titolare e/o il responsabile hanno uno stabilimento, o a quelle dello Stato membro in cui risiede abitualmente l’interessato.
Come prevenire un Data breach?
Dato l’impatto fortemente negativo del Data breach nei confronti degli interessati coinvolti e della brand reputation aziendale, è necessario attuare tutte le contromisure necessarie per prevenire la sua realizzazione.
Una prima forma di tutela è rappresentata dalla costituzione di un “comitato per il data breach” i cui membri dovrebbero esser dotati di competenze trasversali in tema di GDPR, IT, Marketing e Comunicazione, Finance al fine di valutare, in via preventiva, i possibili rischi nell’ambito del trattamento dei dati personali e stabilire le giuste contromisure in caso di violazioni.
A tale comitato è affidato il processo di valutazione del Data breach mediante cui:
• si identifica una scala di valori di criticità associata alle differenti tipologie di dati personali trattati dai sistemi e dalle infrastrutture informatiche aziendali;
• si identificano i punti di vulnerabilità a cui gli stessi potrebbero essere esposti;
• si valuta il rischio e impatti in caso di occorrenza del Data breach, considerando lo stato delle misure e delle soluzioni di sicurezza in essere;
• si stabilisce una soglia di accettazione del rischio;
• si stabiliscono le contromisure in funzione delle tipologie di Data breach, della soglia di rischio e delle risorse necessarie per investire nelle contromisure stesse.
Qualora si verifichi il Data breach, una volta segnalato l’evento al Garante, come specificato nei paragrafi precedenti, il comitato eseguirà, in collaborazione con il DPO, se presente, la procedura di valutazione del Data breach e ne analizzerà i risultati, in funzione del rischio e delle possibilità di mitigazione e rimedi perseguibili dall’azienda o dagli interessati.
Le conseguenze derivanti la perdita dei dati sono molto gravi e rappresentano, inoltre, un gravissimo costo anche in termini di danni reputazionali.
Investire nella prevenzione non è più un semplice suggerimento, ma una vera e propria necessità, considerato che eventi di Data breach si verificano, oramai, con una frequenza elevatissima comportando conseguenze molto pesanti.
Articolo a cura della Dott.ssa Camilla Marotta