Per effettuare ogni genere di attività sul web è diventare necessario fornire molti dettagli sulle proprie informazioni personali, ed è così che potremmo imbatterci senza saperlo in un Data Breach
L’inserimento dei nostri dati riservati è divenuto quasi un’operazione automatica che, magari per la fretta di accedere ad un contenuto oppure ad un servizio, spesso compiamo velocemente senza rivolgere la giusta attenzione alle possibili conseguenze che potrebbero scaturire da questo semplice atto.
La somma di tutti questi dati eterogenei raccolti, i cosiddetti “Big data”, ha un valore strategico ed economico altissimo, di qui la ragione di frequenti attacchi hacker volti a minare la sicurezza dei sistemi di cybersecurity anche più sofisticati scatenando dei pericolosi “Data breach”.
Soprattutto durante il periodo di lockdown causato dall’emergenza Covid-19, gli attacchi informatici si sono moltiplicati facendo sorgere interrogativi circa l’effettiva salvaguardia della privacy da parte di App di videochiamate online, nonché prendendo di mira pubbliche amministrazioni (come nel caso dell’INPS) e, pochissimi giorni fa, anche la grande compagnia aerea EasyJet, causando danni a milioni di utenti.
Per saperne di più circa questi rilevanti episodi si rimanda ai seguenti link:
https://www.ansa.it/sito/notizie/economia/2020/04/03/inps-notificato-il-data-breach-a-garante-privacy_731c3c5b-5427-4547-aa19-2dc8f86feb56.html
https://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-customers-details-credit-card
Ma cos’è effettivamente un Data breach?
Ai sensi dell’art. 4 del GDPR, per violazione dei dati personali o data breach è da intendersi come:
«qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».
Quali obblighi sorgono in capo al titolare del trattamento in caso di violazione dei dati personali?
L’art. 33 del GDPR introduce l’obbligo del titolare del trattamento di notificare la violazione dei dati personali al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza.
Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla legge n. 675/1996, il cui compito è decidere in caso di violazioni del GDPR e delle norme nazionali in materia di protezione dei dati e gestire i reclami che le vengono proposti.
Spetta al responsabile della
protezione dei dati personali informare il titolare del trattamento, senza
ingiustificato ritardo, dell’avvenuta violazione affinchè quest’ultimo possa
procedere alla notifica dinanzi al Garante.
N.B. Il dovere di notifica entro 72 ore è escluso solo quando è improbabile
che la violazione presenti un rischio per i diritti e le libertà delle persone.
Cosa bisogna comunicare tramite la notifica?
• la natura della violazione
dei dati personali compresi, se possibile, le categorie e il numero
approssimativo di interessati in questione;
• il nome e i dati di contatto
del responsabile della protezione dei dati o di altro punto di contatto presso
cui ottenere più informazioni;
• le probabili conseguenze
della violazione dei dati personali;
• le misure adottate o di cui
si propone l’adozione da parte del titolare del trattamento per porre rimedio
alla violazione dei dati personali e anche, se del caso, per attenuarne i
possibili effetti negativi.
Inoltre, come stabilito
dall’art. 34 del GDPR, qualora la violazione dei dati personali sia
suscettibile di presentare un rischio elevato per i diritti e le libertà
fondamentali degli interessati, il titolare del trattamento è obbligato a
comunicare la violazione anche a ciascun interessato senza ingiustificato
ritardo.
Tuttavia, il suddetto obbligo è escluso quando:
• il titolare del trattamento ha messo in atto le misure tecniche e
organizzative adeguate di protezione e tali misure erano state applicate ai
dati personali oggetto della violazione, in particolare quelle destinate a
rendere i dati personali incomprensibili a chiunque non sia autorizzato ad
accedervi, quali la cifratura;
• il titolare del trattamento ha successivamente adottato misure atte
a scongiurare il sopraggiungere di un rischio elevato per i diritti e le
libertà degli interessati;
• la comunicazione richiederebbe sforzi sproporzionati, procedendosi,
in tal caso, ad una comunicazione pubblica o ad una misura simile, tramite la
quale gli interessati sono informati con analoga efficacia.
A quali sanzioni si va incontro in caso di mancata notifica?
Qualora la notifica non sia effettuata entro 72 ore, senza
giustificati motivi di ritardo da comunicarsi al Garante, il titolare del
trattamento dei dati personali è soggetto all’applicazione delle sanzioni
previste dal GDPR consistenti in sanzioni amministrative pecuniarie fino a
dieci milioni di Euro o fino al 2% del fatturato mondiale annuo dell’esercizio
precedente se superiore.
Quali rimedi può azionare il danneggiato nei casi di la violazione dei dati personali?
Il Capo VIII del GDPR, agli artt. 77, 78 e 79 predispone i mezzi di ricorso, che il danneggiato può esperire per far valere i suoi diritti.
In particolare, sono tre le modalità attraverso cui costui può scegliere di agire:
1. mediante reclamo all’autorità di controllo dello Stato membro in
cui risiede o lavora abitualmente, o dello Stato in cui si è verificata la
presunta violazione;
2. attraverso ricorso giurisdizionale effettivo avverso una decisione
giuridicamente vincolante dell’autorità di controllo che la riguarda;
3. con ricorso giurisdizionale effettivo qualora ritenga che i diritti
di cui gode, a norma del GDPR, siano stati violati a seguito di un trattamento.
Le azioni devono essere promosse
nei confronti del titolare e/o del responsabile del trattamento dei dati
personali dinanzi alle autorità giurisdizionali dello Stato in cui titolare e/o
il responsabile hanno uno stabilimento, o a quelle dello Stato membro in cui
risiede abitualmente l’interessato.
Come prevenire un Data breach?
Dato l’impatto fortemente negativo del Data breach nei confronti degli
interessati coinvolti e della brand reputation aziendale, è necessario
attuare tutte le contromisure necessarie per prevenire la sua realizzazione.
Una prima forma di tutela è rappresentata
dalla costituzione di un “comitato per il data breach” i cui membri dovrebbero
esser dotati di competenze trasversali in tema di GDPR, IT, Marketing e
Comunicazione, Finance al fine di valutare, in via preventiva, i possibili
rischi nell’ambito del trattamento dei dati personali e stabilire le giuste
contromisure in caso di violazioni.
A tale comitato è affidato il processo di valutazione del Data breach mediante cui:
• si identifica una scala di valori di criticità associata alle differenti tipologie di dati personali trattati dai sistemi e dalle infrastrutture informatiche aziendali;
• si identificano i punti di vulnerabilità a cui gli stessi potrebbero essere esposti;
• si valuta il rischio e impatti in caso di occorrenza del Data breach, considerando lo stato delle misure e delle soluzioni di sicurezza in essere;
• si stabilisce una soglia di accettazione del rischio;
• si stabiliscono le contromisure in funzione delle tipologie di Data breach, della soglia di rischio e delle risorse necessarie per investire nelle contromisure stesse.
Qualora si verifichi il Data
breach, una volta segnalato l’evento al Garante, come specificato nei paragrafi
precedenti, il comitato eseguirà, in collaborazione con il DPO, se
presente, la procedura di valutazione del Data breach e ne analizzerà i
risultati, in funzione del rischio e delle possibilità di mitigazione e rimedi
perseguibili dall’azienda o dagli interessati.
Le conseguenze derivanti la perdita dei dati sono molto gravi e rappresentano, inoltre, un gravissimo costo anche in termini di danni reputazionali.
Investire nella prevenzione non è più un semplice suggerimento, ma una vera e propria necessità, considerato che eventi di Data breach si verificano, oramai, con una frequenza elevatissima comportando conseguenze molto pesanti.
Articolo a cura della Dott.ssa Camilla Marotta