Accountability = il titolare dei trattamenti è sempre responsabile.

Il termine "accountability" è ricorrente nel GDPR e rappresenta uno dei principi fondanti del Regolamento. Infatti, in diversi articoli del Regolamento, in particolare nel 24 e nel 32, si fa riferimento al dovere del titolare dei trattamenti di adottare tutte le "misure tecniche e organizzative" che devono garantire la protezione e la tutela dei dati personali trattati. Il titolare dei trattamenti è la persona o l'entità giuridica che definisce le tipologie di dati da trattare e le loro finalità. Nel caso di "entità giuridica", la responsabilità ricade automaticamente sul legale rappresentante, che può essere anche un direttore generale, in caso di ente pubblico, o un amministratore delegato. 

Ricordiamo che le misure tecniche, raggruppate nella precedente normativa nell' "Allegato B", devono rispettare lo stato dell'arte della tecnologia e degli strumenti di comunicazione utilizzati. Aggiungo che va tenuto conto anche dello stato dell'arte delle minacce e dei rischi possibili. Nel 2003, anno di entrata in vigore del D.lgs. 196, non esisteva Facebook; non si sentiva parlare di Cryptolocker (una tipologia di ransomware che cripta i dati di un sistema e li rende nuovamente disponibili dietro il pagamento di un riscatto), anche se il primo ransomware fu scritto nel 1989; non esistevano le app e gli smartphone (almeno come li conosciamo oggi).

Un esempio di misura tecnica può essere l'impiego di un firewall collegato alla rete, un antivirus, un sistema di log management, l'aggiornamento del software, etc. Le misure organizzative, invece, sono tutto quell'insieme di regole (policy), disposizioni aziendali, processi, gestione dei consensi, formazione e buone pratiche che determinano il corretto trattamento dei dati in azienda.

Le caratteristiche essenziali di un dato sono: la riservatezza; la disponibilità; l'integrità. L'analisi dei rischi privacy, passaggio obbligato per un corretto GDPR assessment, deve determinare il livello di rischio rappresentato dalla perdita di una o più di queste tre caratteristiche. Le misure tecniche e organizzative, che il titolare dei trattamenti deve mettere in atto, devono essere tali da prevenire, nei limiti del possibile, qualsiasi minaccia ai dati trattati.

Tuttavia, nonostante le misure adottate, comportamenti errati o illeciti, piuttosto che nuove vulnerabilità ("zero date") scoperte nei dispositivi informatici, il rischio di subire un data breach (violazione dei dati) è sempre possibile.

La normativa impone che l'incidente, se rappresenta un rischio per le libertà e i diritti fondamentali dei soggetti coinvolti, debba essere denunciato all'ufficio dell'Autorità Garante per la privacy entro 72 ore. Il titolare dei trattamenti potrebbe ritrovarsi "esposto" nei confronti di una probabile ispezione, non solo per l'autodenuncia dovuta al Garante, ma perchè segnalato o denunciato da uno dei soggetti interessati titolari dei dati oggetto di violazione.

Che la violazione abbia avuto origine dal comportamento scorretto di un collaboratore, piuttosto che da un attacco informatico dall'esterno, la responsabilità ricade in ogni caso sul titolare dei trattamenti, che diventa passibile di sanzionamento e di risarcimento danni.

Di seguito, un articolo tratto da Federprivacy, di un evento che riguarda una società polacca di e-commerce:

Il Garante per la privacy polacco (UODO) ha inflitto una multa per un importo corrispondente a circa 660mila euro alla società Morele.net, perchè quest'ultima non aveva adottato misure organizzative e tecniche adeguate al rischio connesso al trattamento dei dati personali di oltre due milioni di utenti.

Nel dicembre del 2018 la Morele.net aveva infatti comunicato di essere stata vittima di un crimine informatico in cui il proprio database di 2,2 milioni di clienti era stato oggetto di una violazione, a seguito della quale gli hacker avevano usato i dati rubati in un attacco di phishing in cui era stata inviata ai clienti una email con un link ad una falsa pagina web dello shop online di Morele.net, nella quale veniva richiesta una presunta somma residua da pagare su un precedente acquisto sul sito di e-commerce.

I dati trafugati includevano in particolare nomi e cognomi degli interessati, numeri di telefono, e-mail, indirizzi di consegna, e nel caso di circa 35.000 persone le informazioni riguardavano anche richieste di finanziamenti per pagamenti rateali. Fra questi dati vi erano il numero di identificazione personale (PESEL), la serie e il numero del documento di identità, il titolo di studio, la fonte e l'importo di reddito, i conti del bilancio familiare, lo stato civile, nonché gli importi relativi alle posizioni debitorie o ad obbligazioni per assegni di mantenimento dovuti dagli interessati ad ex coniugi.

Secondo quanto affermato dal presidente dell'UODO Jan Nowak, la Morele.net ha violato, tra l'altro, il principio di riservatezza, come stabilito all'articolo 5, paragrafo 1, lettera f) ) del GDPR, e a causa di ciò si è verificato un accesso non autorizzato con l'ottenimento dei dati dei clienti.

Le conclusioni dell'Autorità polacca sono state che la Morele.net non è stata in grado di dimostrare di disporre di adeguate procedure per monitorare e gestire efficacemente le potenziali minacce informatiche, in particolare quelle relative agli insoliti comportamenti online che si erano verificati nel caso dell'attacco di phishing, e peraltro la società aveva implementato le proprie misure di sicurezza tecniche solo dopo aver la violazione.

Nell'imporre la sanzione, l'autorità di controllo ha sottolineato che la violazione verificatasi in questo caso era di notevole gravità, anche per l'elevato numero di persone coinvolte, sulle quali ricade un'ulteriore rischio di ripercussioni negative come quelle legate al furto di identità.

__________________________________________________________________________________________________

Questo non è l'unico caso in cui le autorità di garanzia hanno valutato insufficienti le misure intraprese dal titolare dei trattamenti. Ciò è capitato anche in assenza di eventi di violazione. Un esempio sono le sanzioni comminate all'Associazione Russeau per non aver implementato misure tecniche ritenute sufficienti o sanzioni comminate a società che conservavano i dati di ex clienti senza una motivazione e senza seguire procedure di protezione adeguate.

In sintesi, come già affermato in precedenza, non è sufficiente il classico "pezzo di carta" a giustificazione delle misure applicate, ma è indispensabile dimostrare con i fatti di aver adottato tutti i mezzi disponibili per la protezione ed il corretto trattamento dei dati. 

 

Daniele Spano

 

 

 


CONDIVIDI: