4 minute read
DATA BREACH: LE RESPONISABILITÀ AMMINISTRATIVE E LEGALI
Data breach: le responsabilità amministrative e legali
In caso di furto di dati sensibili che cosa bisogna fare? Può essere necessaria una notifica al Garante della Privacy e può esserci il rischio di sanzioni amministrative e civili. Ma se ci si protegge e lo si può dimostrare i rischi sono inferiori. Due esperti dello Studio CDR Tax Legal di Bergamo inquadrano la materia
In caso di data breach, di sottrazione di dati personali, quali sono le responsabilità in carico all’azienda che ha subito l’attacco? A rispondere è Serena Somenzi, dottore commercialista ed esperta in temi organizzativi legati alla privacy dello Studio CDR Tax Legal di Bergamo, una realtà che riunisce una novantina di commercialisti e legali specializzati su tutte le tematiche del diritto d’impresa e del lavoro. «Il data breach», spiega Somenzi, «è una particolare tipologia di attacco che porta a un furto di dati, alla violazione della sicurezza informatica di un particolare dato, quello personale. Secondo il Regolamento Europeo noto come GDPR, il data breach può essere anche accidentale, per esempio dovuto allo smarrimento di una chiavetta usb, oppure un illecito compiuto con dolo che consiste nella perdita, distruzione, divulgazione o accesso non autorizzato di dato personale».
DATI INDIVIDUALI E PARTICOLARI Parliamo quindi di dati che riguardano individui, persone fisiche e non giuridiche, e quindi non di aziende, ma delle persone che fanno parte dell’impresa colpita o anche di fornitori e clienti. «Inoltre va fatta un’ulteriore distinzione», dice Somenzi. «La sottrazione di dati identificativi di una persona, relativi alla sua identità e codice fiscale per esempio, comporta certamente un rischio per le imprese, ma non così grave come nel caso di furto dei dati che una volta venivano definiti “sensibili”, e che il GDPR definisce “particolari”. Informazioni, cioè, che riguardano aspetti come la salute, l’orientamento politico o religioso, l’appartenenza sindacale. Dati di questo genere sono comunque diffusi nella rete aziendale, perché si possono evincere dai CUD o dalle buste paga, o anche dalle certificazioni su vaccini o tamponi nel caso del Covid-19. Questi dati possono essere relativi anche a dipendenti di fornitori, nei casi di appalti o subappalti. Una terza categoria di dati, residuali, ma che possono essere conservati in azienda, sono infine quelli relativi aeventuali condanne penali subite dal personale, o anche soltanto i certificati di carichi pendenti o provvedimenti di sospensione della patente».
DOTARSI DI UN MODELLO ORGANIZZATIVO Al di là della tipologia di dato, il data breach richiede per legge la notifica al Garante della Privacy ed espone l’azienda ad altre possibili conseguenze. Spiega infatti Serena Somenzi: «L’autorità garante apre un’istruttoria in seguito alla notifica di data breach e verifica il tipo di danno. Possono scattare in questo caso sanzioni. È quindi molto importante ca-
pire subito, in caso di attacco informatico, se questo abbia portato a un data breach. Ciò è possibile attraverso strumenti informatici che indicano gli apparati colpiti, i tipi di dati interessati dall’intrusione e la probabilità che ci sia stata effettivamente una fuga di dati. Occorre quindi, per essere in grado di realizzare questo tipo di analisi, dotarsi di modelli organizzativi che devono agire su tre diversi livelli per minimizzare i rischi connessi al furto di dati. Il primo livello, già evidenziato, è il risk assessment, che serve a indicare gli strumenti tecnici utili a ridurre il rischio. Intervengono poi anche figure con competenze più organizzative e legali per individuare, per esempio, quali sono per ogni singola funzione le figure in azienda con una visione più completa del trattamento dei dati. Analisi di tipo legale esaminano poi i contratti in essere per verificare le obbligazioni assunte tra le parti, per esempio con dipendenti e collaboratori, e assicurarsi gli aspetti legati al trattamento dei dati siano definiti in modo corretto. I modelli organizzativi devono essere commisurati alle realtà aziendali e investire per realizzarli ha una finalità anche nel rendere più competitive le imprese».
SANZIONI AMMINISTRATIVE CIVILI Stefano Bettoni, esperto in diritto del lavoro anch’egli in forza allo Studio CDR Tax Legal illustra le tipologie di sanzione previste. «La violazione dei dati e il mancato adeguamento anche dal punto di vista informatico», spiega, «possono comportare sanzioni amministrative e civili. Le prime sono irrogate dall’autorità garante e ammontano fino a 10 milioni di euro o fino al 2% del fatturato globale annuo dell’azienda. Sono quindi molto elevate, anche se sono ovviamente commisurate all’entità del danno. Per quanto riguarda le azioni civili possono presentarsi in forma di azioni risarcitorie richieste da figure che si ritengono danneggiate dal furto di dati. Questi possono riguardare clienti, fornitori e dipendenti, i quali potrebbero lamentare violazione e furto di dati, mancato adeguamento del datore di lavoro. Il danno deve essere serio, ma è comunque un rischio da prendere in considerazione».
QUANDO VA FATTA LA NOTIFICA La notifica al Garante, infine, non deve necessariamente essere fatta di default, ma in seguito a un iter valutativo. «È necessaria», spiega Somenzi, «quando si ha la certezza che l’hacker sia entrato effettivamente in possesso dei dati e quindi soprattutto nel caso in cui l’azienda non abbia predisposto misure di protezione dei propri sistemi o della propria rete. Se queste non sono state adottate, infatti, il Garante ha motivo di predisporre un controllo per verificare il grado di compliance dell’azienda alle norme di tutela dei dati». u
Un trattamento così non si era mai visto prima!
Polimerizzazione: Lipocer con HMDSO, Carbon Coating, Fluorurazione Trattamenti lubrificanti trasparenti e colorati con resine + PTFE Lavaggio ad alta pressione sotto flusso laminare (Cleanliness) Trattamenti al plasma: Micropulizia, Etching, Grafting
