MONDOGOMMA
Data breach: le responsabilità amministrative e legali In caso di furto di dati sensibili che cosa bisogna fare? Può essere necessaria una notifica al Garante della Privacy e può esserci il rischio di sanzioni amministrative e civili. Ma se ci si protegge e lo si può dimostrare i rischi sono inferiori. Due esperti dello Studio CDR Tax Legal di Bergamo inquadrano la materia
I
n caso di data breach, di sottrazione di dati personali, quali sono le responsabilità in carico all’azienda che ha subito l’attacco? A rispondere è Serena Somenzi, dottore commercialista ed esperta in temi organizzativi legati alla privacy dello Studio CDR Tax Legal di Bergamo, una realtà che riunisce una novantina di commercialisti e legali specializzati su tutte le tematiche del diritto d’impresa e del lavoro. «Il data breach», spiega Somenzi, «è una particolare tipologia di attacco che porta a un furto di dati, alla violazione della sicurezza informatica di un 30
L’INDUSTRIA DELLA GOMMA MAGGIO 2021
particolare dato, quello personale. Secondo il Regolamento Europeo noto come GDPR, il data breach può essere anche accidentale, per esempio dovuto allo smarrimento di una chiavetta usb, oppure un illecito compiuto con dolo che consiste nella perdita, distruzione, divulgazione o accesso non autorizzato di dato personale». DATI INDIVIDUALI E PARTICOLARI Parliamo quindi di dati che riguardano individui, persone fisiche e non giuridiche, e quindi non di aziende, ma delle persone che fanno parte
dell’impresa colpita o anche di fornitori e clienti. «Inoltre va fatta un’ulteriore distinzione», dice Somenzi. «La sottrazione di dati identificativi di una persona, relativi alla sua identità e codice fiscale per esempio, comporta certamente un rischio per le imprese, ma non così grave come nel caso di furto dei dati che una volta venivano definiti “sensibili”, e che il GDPR definisce “particolari”. Informazioni, cioè, che riguardano aspetti come la salute, l’orientamento politico o religioso, l’appartenenza sindacale. Dati di questo genere sono comunque diffusi nella rete aziendale, perché si possono evincere dai CUD o dalle buste paga, o anche dalle certificazioni su vaccini o tamponi nel caso del Covid-19. Questi dati possono essere relativi anche a dipendenti di fornitori, nei casi di appalti o subappalti. Una terza categoria di dati, residuali, ma che possono essere conservati in azienda, sono infine quelli relativi aeventuali condanne penali subite dal personale, o anche soltanto i certificati di carichi pendenti o provvedimenti di sospensione della patente». DOTARSI DI UN MODELLO ORGANIZZATIVO Al di là della tipologia di dato, il data breach richiede per legge la notifica al Garante della Privacy ed espone l’azienda ad altre possibili conseguenze. Spiega infatti Serena Somenzi: «L’autorità garante apre un’istruttoria in seguito alla notifica di data breach e verifica il tipo di danno. Possono scattare in questo caso sanzioni. È quindi molto importante ca-
