Violazione della sicurezza (data breach) e adempimenti connessi

Nel mese di ottobre la nota società statunitense Adobe System inc. ha comunicato che il loro data base aziendale ha subito un accesso abusivo e che soggetti ignoti si sono impossessati dei dati di circa 150 milioni di utenti.

Si tratta dell’ultimo di una lunga serie di episodi tra i quali spiccano l’hacking del 2011 ai danni del Sony PlayStation Network (100 milioni di dati personali comprensivi di nomi, indirizzi, password, e-mail, date di nascita, etc.) e la violazione informatica subita nel 2009 dal Heartland Payment Systems (130 milioni di numeri di carte di credito).
Questa notizia offre lo spunto per un cenno al sempre attuale tema della sicurezza informatica, con particolare riferimento al cosiddetto “data breach” ovvero la violazione di dati personali.

Con tale concetto, introdotto nel Codice della Privacy dal d.lgs. 28 maggio 2012 n. 69 in attuazione alla direttiva 2009/136/CE, si intende la “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”.

Si tratta, quindi, di accadimenti dolosi o colposi che compromettono uno o più dei pilastri della sicurezza informatica (in merito alla definizione si rinvia al Regolamento (CE) 460/2004), vale a dire:
– l’integrità del dato;
– la disponibilità del dato;
– la riservatezza del dato.

Ebbene, fermi restando gli obblighi di prevenzione previsti per legge, qualora capitasse un data breach a un fornitore di servizi di comunicazione elettronica accessibili al pubblico (in primo luogo si pensi a un internet service provider) quest’ultimo -a norma del nuovo art. 32 bis d.lgs. 196/03- deve comunicare detta violazione al Garante per la protezione dei dati personali.
In proposito il Garante, con il provvedimento n. 161 del 4 aprile 2013, ha precisato che esulano dall’applicazione di tale disposizione (e, quindi, non sono obbligati a comunicare le violazioni subite) i seguenti soggetti:
– chi offre direttamente servizi di comunicazione elettronica a gruppi delimitati di persone (per es. le reti aziendali);
– titolari e gestori di esercizi pubblici o privati che si limitano a mettere a disposizione apparecchi terminali ovvero punti di accesso alla rete (per es. gli Internet Point);
– gestori dei siti internet che diffondono contenuti sulla rete (ossia i “content provider”);
– gestori di motori di ricerca.

Per assolvere all’obbligo di comunicazione è necessario utilizzare l’apposito modello reso disponibile sul sito del Garante Privacy: si tratta di un file in formato pdf che dev’essere scaricato, compilato, sottoscritto digitalmente e inviato all’Autority “senza indebiti ritardi”, come espressamente previsto dalla norma.

La comunicazione, da inviarsi entro 24 ore dall’avvenuta conoscenza della violazione, deve obbligatoriamente contenere alcune informazioni sommarie che consentano al Garante di valutare prima facie la gravità della situazione, tra cui:
– i dati identificativi del titolare del trattamento;
– la sintetica descrizione del data breach;
– l’indicazione della data e del luogo della violazione;
– la sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti. 

Possono essere indicati -anche con una successiva integrazione da inviarsi entro tre giorni dalla prima comunicazione sintetica- ulteriori aspetti quali:
– il tipo di violazione (lettura, copia, alterazione, cancellazione, furto, etc.);
– il dispositivo oggetto della violazione (computer, dispositivo mobile, rete, etc.);
– il numero di persone colpite dal data breach;
– la tipologia di dati coinvolti (dati anagrafici, credenziali di autenticazione, dati di pagamento, etc.);
– le misure tecniche e organizzative adottate dal titolare del trattamento.

 L’omessa comunicazione al Garante risulta punita con la sanzione amministrativa del pagamento di una somma da 25.000 a 150.000 euro.
Se il data breach rischia di arrecare pregiudizio ai dati personali o alla riservatezza degli interessati, allora il fornitore deve darne immediata comunicazione anche a questi ultimi, in modo da consentire l’adozione di rimedi per evitare (o limitare) le conseguenze dannose.
In caso contrario quale sanzione viene previsto il pagamento di una somma da 150 a 100 euro per ciascuna persona nei cui confronti venga omessa o ritardata la comunicazione.
Infine i fornitori (a pena di sanzione amministrativa da 20.000 a 120.00 euro) devono tenere un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio.

Tutte le suddette norme introdotte dal d.lgs. 28 maggio 2012 n. 69 riguardano attualmente solo i fornitori di servizi di comunicazione elettronica accessibili al pubblico, quindi non troverebbero applicazione neppure in ipotesi di violazioni molto gravi in danno ad altri soggetti (si pensi ai casi Adobe, Sony, etc.).
Tuttavia, sul presupposto che ogni data breach può, se non affrontato in modo adeguato e tempestivo, provocare un grave danno economico e sociale, la proposta di nuovo regolamento europeo sulla privacy COM(2012) 11 del 25 gennaio 2012 estende l’obbligo di notificazione all’autorità di controllo e all’interessato a tutti i titolari del trattamento.

Si tratta di un radicale cambiamento culturale rispetto alla diffusa prassi di “lavare i panni sporchi in casa” che implica maggiore consapevolezza da parte dei titolari, rinnovate procedure aziendali e nuove figure professionali, tra cui quella del privacy officer (interno o esterno).

(Articolo pubblicato sul sito www.ditedi.it)

David D'Agostini

Avvocato, appassionato di diritto delle nuove tecnologie, proprietà intellettuale e industriale.

Lascia un commento