GDPR: come comportarsi in caso di data breach

 

Ora che è scaduto il periodo di grazia relativo alla prima fase di applicazione del GDPR, le verifiche del Garante saranno meno indulgenti e le sanzioni diventeranno più salate. Cosa fare se si è vittime di una violazione dei dati e quali sanzioni si rischiano?

Cosa si intende per data breach

La definizione adottata dal Garante per la privacy è quella di «una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati». Va quindi considerato come data breach ogni evento che possa compromettere la riservatezza, l’integrità o la disponibilità dei dati.  Questo significa che tutti gli scenari in cui terzi non autorizzati ottengono accesso a dati personali, sia tramite furto o smarrimento dei dispositivi contenenti i dati, che tramite la divulgazione non autorizzata, sono da considerarsi delle violazioni. Nella categoria dei data breach rientrano anche gli eventi che compromettono l’integrità dei dati, come la perdita o la distruzione dei supporti, attacchi informatici, incendi e altre calamità.

 

Come comportarsi di fronte a un data breach

Nel caso si verifichi una violazione che metta a rischio i dati acquisiti da un’azienda o da un professionista, il titolare del trattamento deve darne tempestivamente comunicazione al Garante, inviando un’email all’indirizzo indicato sul sito dell’Autorità. La normativa precisa che la notifica deve essere inviata «senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta» del data breach. La comunicazione al Garante deve contenere, oltre alle informazioni sul contatto di riferimento per le comunicazioni con l’Autorità, una descrizione della natura della violazione (attacco informatico, perdita di dispositivo, incendio, ecc.) con una stima delle persone interessate e del volume approssimativo dei dati compromessi. Va inclusa anche una valutazione delle possibili conseguenze dell’avvenuta violazione e una descrizione delle misure adottate per rimediare alla situazione. Se la notifica al Garante viene inviata oltre il termine delle 72 ore, dovrà essere accompagnata da una descrizione dei motivi che hanno causato il ritardo.

Nel caso in cui la violazione comporti un rischio per i diritti delle persone titolari dei dati, il titolare del trattamento è anche tenuto a darne comunicazione a tutti gli interessati, utilizzando i canali più idonei. Infine, tutte i data breach devono essere annotate dai titolari del trattamento dati su un apposito registro, anche per permettere all’Autorità di condurre verifiche sul rispetto della normativa. Maggiori informazioni si trovano nella Guida all’applicazione del regolamento UE 2016/679 redatta dal Garante e disponibile sul sito ufficiale.

 

I rischi e le possibili sanzioni

Le disposizioni contenute nel GDPR prevedono che le sanzioni siano calcolate dall’Autorità garante di ciascuno Stato membro, in base al principio di proporzionalità per cui più grave è la violazione e maggiore è l’importo della sanzione. Il GDPR fornisce infatti soltanto indicazioni sugli importi massimi delle ammende e non chiarisce ulteriormente i parametri della loro applicazione. Il regolamento prevede sanzioni amministrative fino a un massimo di 10 milioni di euro o 2% del fatturato mondiale dell’anno precedente per le imprese che non comunichino tempestivamente eventuali data breach all’Autorità competente, ma l’applicazione di eventuali sanzioni penali viene lasciata alla discrezione di ciascuno Stato. Le sanzioni finora comminate dai garanti europei sono oscillate fra i 50 milioni di euro contestati dall’autorità francese Commission Nationale de l’Informatique et des Libértes al gigante americano Google e i soli 20.000 euro di multa inflitti al sito Knuddels.de dal Garante tedesco, una sanzione benevola che ha tenuto conto della disponibilità dell’azienda a collaborare con le autorità e intervenire tempestivamente per aumentare il livello di sicurezza.

Tuttavia, è importante sottolineare che il pagamento della sanzione amministrativa non rappresenta la conclusione delle ripercussioni legali di un data breach, ma piuttosto un punto di partenza: l’ammenda infatti non solleva in alcun modo il titolare del trattamento dalle sue responsabilità nei confronti delle persone i cui dati sono stati compromessi o distrutti. L’art. 82 del regolamento chiarisce infatti che  “Chiunque subisca un danno materiale o immateriale causato da una violazione ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Questo significa che le persone i cui dati sono stati compromessi da un data breach possono esigere un risarcimento dal titolare del trattamento per eventuali danni collaterali dovuti alla violazione. Di quale tipo di danni collaterali parliamo? Il furto di identità, ad esempio, che secondo le stime IDC interesserà nel 2020 oltre 1,5 miliardi di persone, pari a un quarto della popolazione mondiale. I dati personali compromessi nei data breach vengono infatti spesso rivenduti sul mercato nero per essere utilizzati a fini di spam, phishing e spear-phishing o per creare identità fittizie tramite le quali compiere attività illecite.