Dettaglio news
Cosa fare in caso di Data breach?


venerdì 10 gennaio 2020
Avv. Gianni Dell’Aiuto





E’ accaduto e ormai non possiamo fare altro che prenderne atto e attuare le misure e le procedure che speravamo restassero inutilizzate nel cassetto. Sia nel caso si fosse reso la nostra azienda totalmente compliant con il GDPR, sia nella più frequente ipotesi che nulla (o poco sia stato fatto), un data breach può sempre accadere, magari nel modo in cui uno meno se lo aspetta. Una segretaria che incautamente ha scaricato la mail con un virus o un ransomware; il nostro socio che se ne è andato con la lista dei clienti e dei fornitori, ma anche un collaboratore che si è creato un archivio personale con i dati di tutti i contatti di una mailing list per attivare un’attività concorrenziale. Le ipotesi possono moltiplicarsi e non si limitano solamente alla criptazione dei dati o alla perdita, ma anche allo smarrimento di un cellulare o il furto del computer.

E’ una perdita di dati e il GDPR su questo punto non solo è abbastanza rigoroso, ma anche il Garante sembra avere adottato una linea non proprio soft. Ne sa qualcosa Italiaonline, l’erede di Pagine Gialle, che, dopo aver subito la violazione di oltre un milione e mezzo di credenziali account, si è vista obbligata a rinnovare la comunicazione di violazione a tutti gli interessati con una serie di indicazioni estremamente puntuali. Un costo che potrebbe essere già una forma di sanzione.

Da qui potrebbe derivare l’atteggiamento di molte aziende che sembrano molto poco inclini a compiere un atto dovuto, la cui omissione è allo stesso modo sanzionabile. Una simile ritrosia potrebbe essere giustificata dal timore di sanzioni, perdita di immagine, il successivo obbligo di notifica agli interessati. In ogni caso un grave atteggiamento di irresponsabilità, in quanto chi aveva il dovere di proteggere dati, forse anche sensibili, non solo è venuto meno al proprio compito, ma lascia anche gli interessati privi della possibilità di tutelarsi. Uno degli esempi più chiari di come la cultura della protezione del dato sia ancora argomento ostico e osteggiato.

Nel tentativo di agevolare i titolari già vittime del Data Breach, il Garante ha predisposto sul proprio sito il modello per la comunicazione con tutte le indicazioni e gli elementi da inserire ed è comprensibile come ci si possa spaventare a fronte di dover indicare, oltre alle normali indicazioni relative al Data Breach, le ragioni di un eventuale ritardo nella comunicazione che, ricordiamolo, deve avvenire senza ritardo e comunque entro 72 ore dalla sua rilevazione. Allo stesso modo deve essere senza ingiustificato ritardo la comunicazione ad ogni interessato, a cui è necessario portare a conoscenza l’entità della violazione, i dati smarriti o sottratti e, forse l’aspetto più delicato, le probabili conseguenze che potrebbero danneggiarlo, oltre alle misure adottate o che saranno poste in essere dal Titolare. Si tratta di una policy che è bene sia già prevista quantomeno per aziende strutturate, banche e altre situazioni sensibili quali, ad esempio, studi medici o laboratori clinici, ma anche studi legali e tributari di non piccole dimensioni dovrebbero cautelarsi.

Si deve dire che, anche per le modalità di effettuare questa comunicazione, trova applicazione il principio generale di Privacy by Design che permea l’intero impianto del GDPR, in quanto è lasciata massima libertà di forma al Titolare. In ogni caso sono state date, già in fase di redazione del Regolamento, indicazioni sugli strumenti di comunicazione: sì alla messaggistica diretta e alle mail no ai semplici comunicati stampa o ad un avviso su una pagina o un blog aziendale.

Su questo il Garante è stato chiarissimo, come nell’ipotesi di Italiaonline cui prima si era accennato: anche nel caso di un istituto di credito che aveva visto un accesso abusivo ai dati di circa 700.000 clienti e aveva deciso di contattare solo quella minima parte cui era stata sottratta la password e comunicare il Data Breach sul proprio sito con una breve nota, il Garante si è dimostrato rigoroso ed ha imposto non solo di contattare tutti gli interessati, ma anche suggerire i possibili rimedi a fronte dei rischi che correvano. Sicuramente un’attività che ha rappresentato un costo non proprio indifferente cui si devono aggiungere quelli per ovviare al Data Breach e le probabilissime sanzioni economiche che saranno emanate dallo stesso Garante.




CONDIVIDI QUESTA PAGINA!