GDPR e Data Breach, come si muovono i Big della Rete. L’intervista alla Prof.ssa Giusella Finocchiaro

Nei giorni scorsi, Facebook è stata colpita da un imponente data breach che ha riguardato oltre 50 milioni di account. Si tratta del primo caso di vaste proporzioni dopo la piena entrata in vigore del GDPR. Quali misure prevede il GDPR per prevenire il data breach? E a cosa si va incontro?

Il nuovo Regolamento europeo 2016/679 ha imposto specifici adempimenti in capo al titolare del trattamento nelle ipotesi in cui venga a conoscenza o gli venga segnalata una violazione di dati personali.

In primo luogo, ove tale violazione presenti un rischio e sia idoneo a ledere diritti e libertà degli interessati, il titolare dovrà notificare tempestivamente (entro 72 ore) la violazione al Garante per la protezione dei dati personali, corredando tale notifica di una serie di informazioni che permettano al Garante di valutare l’evento occorso (ad esempio, la natura della violazione, la tipologia di dati coinvolti, la categoria e il numero di soggetti interessati, i rimedi attuati per arginare le conseguenze pregiudizievoli, ecc.).

Qualora poi il rischio risulti particolarmente elevato, il titolare del trattamento dovrà comunicare la violazione anche ai diretti interessati. In quest’ultimo caso, il titolare si trova a dover fare i conti con un difficile trade-off: da un lato, infatti, la comunicazione agli interessati (che quindi implica il riconoscimento di una falla nella propria organizzazione) potrebbe comportare un danno, talvolta anche significativo, all’immagine e alla reputazione  del titolare; dall’altro, l’eventuale omessa comunicazione potrebbe esporre il titolare a pesanti sanzioni, dal momento che anche la comunicazione, al ricorrere di determinate circostanze, configura un obbligo di legge.

Si ricorda, infatti, che l’omissione della notifica o della comunicazione è sanzionata con pene pecuniarie fino a 10.000.000 euro o, per le imprese, fino al 2% del fatturato mondiale annuo.

Occorre poi tenere presente che la nuova normativa in materia di protezione dei dati personali non è la sola ad imporre obblighi di notifica: anche il Regolamento 910/2014 (“e-IDAS”) in materia di identificazione elettronica prevede la notifica di ogni violazione di sicurezza o perdita di integrità all’organismo di vigilanza; analogamente, la Direttiva (UE) 2016/1148 relativa alla sicurezza delle reti e dei sistemi informativi impone la notifica delle eventuali violazioni al CSIRT, ossia al Gruppo di intervento per la sicurezza informatica in caso di incidente. Ancora, nel settore bancario, ogni incidente di sicurezza deve essere notificato alla Banca Centrale europea e alla Banca d’Italia.

Attenzione, però: in ambito di protezione di dati personali, la violazione può derivare non solo da vulnerabilità tecnologiche o problemi tecnici, un data breach può essere anche di tipo organizzativo e derivare da fattori umani, come ad esempio nel caso di un furto di documenti oppure dell’invio di una e-mail, contenente dati personali, a un erroneo destinatario.

I grandi della rete come si stanno muovendo dopo l’entrata in vigore del GDPR?

Anche i big della Rete stanno provvedendo ad un adeguamento alla nuova normativa, attraverso ad esempio revisioni e aggiornamenti delle privacy policy. Viene inoltre dedicata grande attenzione al rapporto con gli utenti, ma anche alle misure di sicurezza che costituiscono un fattore rilevante in tema di accountability.

Certamente le criticità maggiori per questi soggetti derivano dal trasferimento all’estero dei dati, tema assai complesso nella normativa vigente.