Cosa sarebbero le aziende oggi senza dati?

I dati sono al centro di tantissime attività delle imprese che su queste informazioni basano decisioni, strategie, trattative e operazioni routinarie: non c’è aspetto delle aziende oggi che non veda una generazione o utilizzo dei dati  i dati come protagonisti.
La gestione dei dati, soprattutto di dati personali o sensibili è sempre però soggetta a un rischio, che deve essere monitorato e ridotto quanto più possibile.

 

Ma di che rischio stiamo parlando? Il rischio maggiore che un’azienda corre utilizzando i dati è che vi sia una violazione – data breach – dei dati trattati ovvero la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

 

data breach

A preoccupare non è solamente questa violazione, ma anche, e soprattutto, le conseguenze, che non sono solamente economiche, legate ad aspetti di concorrenzialità ma anche giuridiche.

Tra queste lo stesso GDPR (Regolamento UE 2016/679) indica come principali: “i danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica”.

Una volta definito cosa si intende per violazione dei dati personali, è importante definire bene le conseguenze giuridiche che tale violazione porta con sè.

Il presupposto da cui si parte è che una violazione dei dati personali avviene in seguito alla violazione delle misure di sicurezza, le quali devono essere implementate a cura del titolare del trattamento (solitamente l’azienda stessa), in seguito al un processo di accountability, che ha come obiettivo quello di identificare i rischi connessi al trattamento e le conseguenti misure necessarie per la loro mitigazione.

La sanzione per un’eventuale data breach quindi non è determinata in misura fissa ma viene commisurata secondo i fattori contenuti nell’art. 83 del GDPR e può arrivare fino a 10.000.000 di euro o, per le imprese fino al 2% totale annuo (mondiale, se si tratta di multinazionali) dell’esercizio precedente.

Cosa deve fare il titolare che subisce un data breach?

Il titolare deve avvisare senza ingiustificato ritardo e comunque entro 72 ore da quando ne è venuto a conoscenza l’autorità competente. 

La notifica deve, almeno:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali; 
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Quest’obbligo c’è sempre? Cosa succede se non si rispettano le 72 ore? Come si determina la competenza dell’autorità?

L’obbligo della notifica all’Autorità garante viene meno nei casi in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Se il titolare non effettua la notifica entro il termine prescritto dovrà giustificare le ragioni del ritardo.

L’autorità competente è quella dello stato ove si trova la sede del titolare o dove avviene il processo decisionale del trattamento.

Si è detto che non vi è l’obbligo di notificare la violazione se è improbabile che ne consegua un rischio per i soggetti interessati tuttavia, un titolare attento alla protezione dei dati personali provvederà ad annotare l’accaduto in un registro interno delle violazioni. Questo permette di poter migliorare le proprie misure di sicurezza messe in atto e dimostrare la propria responsabilizzazione in merito al trattamento.

Nel caso in cui, al contrario, siano ipotizzabili non solo dei rischi per le libertà e i diritti degli interessati ma questi vengano ritenuti elevati, il titolare è tenuto anche a comunicare l’accaduto agli interessati, senza ingiustificato ritardo. Gli interessati devono essere messi a conoscenza dei dati di contatto del responsabile della protezione dei dati, se nominato, ovvero di un altro punto di contatto; delle possibili conseguenze della violazione e delle  misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Tale comunicazione può non essere effettuata se il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione, in particolare: 

  • crittografare i dati personali per renderli incomprensibili a chiunque non sia autorizzato ad accedervi; 
  • scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati, ovvero se detta comunicazione richiederebbe sforzi sproporzionati. 

In quest’ultimo caso, il titolare non è dispensato dall’effettuare la comunicazione ma è tenuto a cambiare le modalità, adottandone una che gli consenta la comunicazione a dei soggetti indeterminati, tramite la quale gli interessati sono informati con analoga efficacia.

Una volta conclusa la fase della notifica ed eventuale comunicazione, si apre un procedimento in contraddittorio con l’Autorità.  

Cosa succede dopo la notifica di data breach?

Il procedimento amministrativo è finalizzato ad accertare se il titolare del trattamento è stato responsabile nei confronti dei trattamenti svolti, gestendoli nel rispetto del Regolamento vigente, dei principi in esso contenuti, in particolar modo, quelli di privacy by design e privacy by default, espressi rispettivamente all’art. 25, paragrafo 1 e all’art. 25, paragrafo 2 del GDPR.

In altre parole, il Garante verificherà che il titolare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché del contesto e delle finalità del trattamento, come anche dei rischi aventi, tanto in fase di progettazione del trattamento, quanto all’atto del trattamento stesso, abbia messo in atto misure tecniche e organizzative adeguate e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

Ciò però non basta.

Infatti, il titolare deve altresì garantire che siano trattati, come impostazione predefinita, solamente i dati necessari.

Come viene quantificata l’eventuale sanzione?

La sanzione, come già detto, viene quantificata sulla base dei fattori di cui all’art. 83 GDP.

Si tratta di undici diverse voci che mirano ad analizzare l’entità del danno dal punto di vista del contesto in cui è occorso, del volume di dati coinvolti e la loro natura, l’atteggiamento del titolare sia prima, dunque la sua responsabilizzazione, che dopo la violazione, l’esistenza di eventuali altre sanzioni pregresse, l’adozione di codici di condotta ovvero la presenza di altre circostanze attenuanti o aggravanti.
Una volta concluso il procedimento, non verrà disposta alcuna sanzione se il titolare riuscirà a dimostrare:

  • di aver adottato tutte le misure idonee ad evitare il danno
  • che il rischio concretizzatosi non fosse preventivabile, nonostante una scrupolosa opera di responsabilizzazione, una valutazione dei rischi del trattamento e del loro possibile impatto sui dati personali
  • di aver aver adottato  misure di sicurezza tecniche e organizzative adeguate alla mitigazione dei rischi.

Dimostrare quanto elencato sopra – necessario per non ricevere alcuna sanzione – spesso risulta estremamente difficile, dal momento che richiede conoscenze tecniche specifiche e specialistiche che un titolare dei dati può non possedere.
In questo caso è senza dubbio consigliabile ricorrere alla nomina di un responsabile esterno; si tratta di un’ipotesi prevista e contemplata dallo stesso Regolamento proprio nel caso in cui un trattamento debba essere effettuato per conto del titolare del trattamento.
In questi casi il titolare deve ricorrere a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate al rispetto del regolamento stesso e dei diritti degli interessati.
Queste garanzie riguardo in particolare il know how che consente un’accurata gestione delle operazioni del trattamento una conoscenza approfondita dei possibili rischi connessi al trattamento dei dati e delle misure di sicurezza da attuare.

Per tali ragioni molti titolari decidono di affidarsi a fornitori esterni che curino, ad esempio, la gestione ed il funzionamento del sistema IT,  forniscano software gestionali, ovvero si occupino della conservazione e manutenzione dei supporti di memorizzazione dei dati.
La scelta di un responsabile, tuttavia, deve essere effettuata con lo stesso scrupolo richiesto in fase di progettazione del trattamento.

Questo perché, in primo luogo, una scelta del tutto errata in merito al fornitore potrebbe comportare ugualmente una responsabilità nei termini di un mancato processo di accountability e, poi, perché l’articolo 82 del GDPR dispone che il titolare del trattamento coinvolto risponde del danno, senza possibile prova liberatoria in merito al rapporto con il responsabile.

WEBINAR – Vuoi rendere sicura la tua azienda? Parti dal database!

Hai trovato questo articolo interessante? Ti consigliamo di registrarti al webinar!

Gli attacchi informatici sono sempre più frequenti e pericolosi: sono nel 2020 sono aumentati del 600% rispetto all’anno precedente con un peso economico medio di oltre 3 milioni di dollari per attacco.

Di tutti gli aspetti da considerare per proteggere i propri dati e di quali misure adottare per evitare i data breach parleremo giovedì 11 febbraio durante il nostro webinar dedicata alla sicurezza dei database.

FREE WEBINAR – Giovedì 11 febbraio alle 14.00

sicurezza database