GLI ASPETTI LEGALI DI UN DATABREACH
Nell’Unione europea, non è solo il Gdpr per la protezione dei dati personali, il regolamento che disciplina la casistica ed eventuali risarcimenti danni, ma anche la direttiva NIS 2 emanata ad aprile 2023, che ha aumentato la responsabilità degli amministratori
Gli attacchi informatici possono causare la perdita di informazioni personali e dati sensibili dei clienti e degli utenti di un servizio o di una funzionalità. Nello specifico, in caso di databreach, le implicazioni legali per le aziende sono notevoli, sia dal punto di vista legale che assicurativo.
Nel caso dei databreach, il Gdpr delinea una definizione di questo tipo di attacchi e incidenti: ovvero una violazione nei sistemi di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Nel caso in cui le organizzazioni non rispettino gli obblighi previsti, il regolamento prevede sanzioni fino a 10.000.000 euro o al 2% del fatturato se superiore a questa cifra o fino a 20.000.000 euro o al 4% del fatturato dell’esercizio precedente, se superiore a questa cifra.
La direttiva NIS2
Una breccia nella sicurezza
La prima accezione di data breach è ovviamente quella della “breccia”, non autorizzata, all’interno di un sistema o di una banca dati che impatta negativamente sul dato personale. Allo stesso tempo, le possibili sfaccettature si spingono fino al furto di un dispositivo o al salvataggio dei dati personali e la loro duplicazione su sistemi e server esterni.
Un databreach si verifica proprio perchè le misure di sicurezza non sono state sufficienti ad evitare il verificarsi dell’incidente, che influisce su tre aspetti identificati dalla normativa: riservatezza, ovvero quando si intende garantire l’accesso alle informazioni esclusivamente ai soggetti che ne hanno effettivo diritto. Integrità, quando ci si riferisce alla caratteristica dell’informazione a non essere in alcun modo alterata o corrotta. Disponibilità, l’informazione deve essere disponibile in caso di necessità.
In particolare poi, la violazione dei dati personali di un individuo può assumere connotazioni diverse une dalle altre: si può concretizzare nella “perdita del controllo dei dati personali” oppure nella limitazione dei diritti dell’interessato o ancora nella “discriminazione, furto o usurpazione d’identità o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
Interrompere gli effetti negativi dell’attacco
Ovviamente, il primo obiettivo che si deve porre un’organizzazione è quello di interrompere e alleviare gli effetti negativi dell’attacco, sia in forma temporanea che definitiva. Allo stesso tempo, occorre ripristinare il prima possibile gli eventuali dati e le informazioni compromesse. Nello specifico poi, se il dato è stato corrotto o è andato perso perchè sottratto, le modalità di intervento sono completamente differenti. Nel primo, si possono recuperare le informazioni, se si è provveduto a fare un backup dei dati. Nel secondo caso invece, le possibilità di recupero sono ridotte, anche se è possibile rintracciare le informazioni nel dark web, ad esempio.
Come operare, secondo la normativa
Secondo il GDPR, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della violazione. A meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, l’eventuale ritardo dovrà essere motivato.
Insomma, è necessario che l’organizzazione o l’azienda diano adeguata comunicazione dell’avvenuta violazione dei dati. Allo stesso tempo, consci del fatto che in alcuni casi, senza notifica, le organizzazioni non avranno conseguenze, molte aziende scelgono di non comunicare le violazioni. Allo stesso tempo però, se la mancata comunicazione viene denunciata, l’organizzazione potrebbe incorrere in una sanzione ancora più pesante della precedente. Se invece si effettua la notifica e i soggetti coinvolti hanno adempiuto ai loro obblighi non ci saranno sanzioni. Nel caso invece di errori nella gestione e nella preservazione delle informazioni sensibili, le organizzazioni possono incorrere in pene pecuniarie molto importanti.
Vuoi saperne di più, contattaci!
E la tua azienda, è protetta dai rischi online? Prenota un colloquio con il nostro team specializzato: scrivici su info@apogeoits.com e parliamone!
Forniamo ai Clienti un supporto tecnico efficiente, qualificato, flessibile ed economicamente conveniente, per tutto il life-cycle delle loro apparecchiature informatiche.
APOGEO ITS S.r.l. — Via G.A. Resti 63 – 00143 Roma
Tel: +39.06.45427835
Tel: +39.06 99709828
info@apogeoits.com/apogeoits@legalmail.it
Copyright © 2023 ApogeoITS - R.E.A. Roma N. 1306693 - Registro Imprese Roma N. 03662420235 - Partita IVA / CF: 03662420235
Via G.A. Resti 63 – 00143 Roma (RM)
Tel: +39.06.45427835
+39.06 99709828
info@apogeoits.com/apogeoits@legalmail.it
Copyright © 2023 ApogeoITS - R.E.A. Roma N. 1306693 - Registro Imprese Roma N. 03662420235 - Partita IVA / CF: 03662420235
Certificati ISO 9001:2015