Segretario                                 logo                                 Folco

Home     Redazione     Msoi Torino     Archivio



Another breach in the wall La minaccia dei Data Breach

Cybersecurity e Data Protection sono espressioni che riecheggiano sempre più frequentemente. Altrettanto ricorrenti sono gli eventi di Data Breach, ovvero di violazione e “fuoriuscita” di dati. Dati spesso personali e sensibili, dal momento che, in una società che utilizza i dati in maniera costante e continua, i rischi sono molteplici e tutt’altro che remoti.

Il nuovo Regolamento europeo sulla protezione dei dati (GDPR) si fonda su un approccio basato sul rischio e prevede un’adeguata valutazione del rischio di cui all’art. 24, sancendo il dovere per il titolare del trattamento, colui che determina le finalità di utilizzo dei dati, di definire in maniera preliminare a ogni trattamento tutte le misure di sicurezza tecniche e organizzative. Si tratta di un’accurata valutazione degli impatti, da analizzare tenendo conto, da un lato, di tutti i possibili rischi e, dall’altro, delle misure da adottare per fronteggiare e minimizzare l’eventualità degli stessi. Ad esempio, l’adozione di registri dei trattamenti (previsti dall’art. 30, GDPR) ha lo scopo di stimolare una vigilanza costante, consentendo all’Autorità di controllo di conoscere gli utilizzi in atto.

Relativamente ai rischi legati al Data Breach, rilevano l’art. 32, GDPR sulla sicurezza del trattamento, e gli artt. 33 e 34, che riguardano rispettivamente la notifica all’Autorità di controllo di una violazione dei dati personali entro 72 ore dall’evento e l’eventuale comunicazione della violazione all’interessato, nel caso in cui possa esserci un rischio elevato per i diritti e le libertà della persona fisica.

In particolare, il contenuto dell’art. 32 esprime il bisogno di mettere in sicurezza direttamente i servizi e le tecnologie utilizzate, andando ben al di là della tutela dei singoli trattamenti. Dal canto suo, anche l’art. 34 va oltre il dovere di comunicare la violazione del dato solamente all’autorità di controllo, sancendo il dovere di informare dell’eventuale Data Breach anche all’individuo.

L’art. 34 è tuttavia portatore di un bilanciamento tale per cui, se da un lato risulta sempre necessaria la comunicazione tempestiva all’Autorità di controllo, in modo da salvaguardare la società nel suo complesso, dall’altro, onde evitare la diffusione massiccia dell’informazione negativa, sussiste l’obbligatorietà della comunicazione al diretto interessato solo qualora vi sia stretta necessità di scongiurare un grave pericolo per i diritti e le libertà delle persone fisiche. Inoltre, tale comunicazione non è richiesta nel caso in cui, pur essendo presente l’elemento dell’‘high risk’, il titolare abbia dimostrato di aver già provveduto a porre in essere misure volte a contrastarne l’emergere.

Il GDPR cerca di garantire sicurezza alla circolazione dei dati. Allo stesso tempo, però, le minacce e i rischi nel cyberspazio sono sempre più elevati (e costantemente aggiornati). Basteranno, dunque, le multe salate previste dal GDPR a incentivare controlli più efficienti e maggiori responsabilità nel trattamento dei dati nell’ambito dell’Unione Europea? L’attacco hacker di pochi giorni fa che ha consentito la pubblicazione di dati sensibili di politici tedeschi su una piattaforma social è solo uno dei tanti eventi che rivelano la vulnerabilità di numeri di telefono, indirizzi e-mail e dettagli personali, usati come nuovi bersagli da colpire ed esporre come trofei digitali, magari per scopi politici.