Data breach

Tecnologia e dati personali, un business crescente. 

La tecnologia ci aiuta a vivere meglio, a organizzare le nostre relazioni, ci fa risparmiare tempo e soldi, ci guida da un punto A a un punto B.

Eccoci qui, quarant’anni dopo la promessa di Bill Gates, con Windows, di portare “un pc in ogni famiglia”, e dieci da quando il suo acerrimo amico Steve Jobs, con l’iPhone, è riuscito a portare “Internet in ogni tasca”.

Google, Amazon, Twitter, ma anche tutti i più normali siti web che tracciano continuamente le attività degli utenti

 Le informazioni sono poi sfruttate economicamente dalle piattaforme, generando ingenti flussi di denaro che consentono la sostenibilità economica e la sopravvivenza delle piattaforme stesse (come anche dei giornali) attraverso i proventi derivanti dalla pubblicità online. I dati sugli utenti costituiscono il vero petrolio dell’era di internet: un’era in cui la pubblicità targetizzata, cioè mirata sui nostri gusti e interessi, si è conquistata un ruolo fondamentale nei modelli di business delle realtà imprenditoriali online e offline.
Il problema non sta tanto nel modello di business, bensì nella condizione degli utenti: la maggior parte di loro, di noi, ritiene di usufruire dei servizi internet gratuitamente.

Internet sarebbe un paradiso in cui è possibile consumare senza pagare. Ma così non è. Come diceva Steve Jobs “se il servizio è gratis, il prodotto sei tu“. Gli esempi, da Facebook a Gmail a Android, sono innumerevoli: comodità in cambio di dati.

Il problema di questo baratto è che i contraenti non trattano alla pari: i consumatori, se da un lato sono perfettamente in grado di apprezzare l’utilità del servizio di cui fruiscono, non hanno la percezione del valore di ciò che offrono in cambio, a differenza delle piattaforme.

Secondo uno studio commissionato da DG Connect, l’organo che si occupa di monitorare (e, di fatto, normare, attraverso la Commissione) il mercato europeo delle comunicazioni, diretto dall’italiano Roberto Viola, nel 2016 il comparto dati nell’Ue ha prodotto quasi 60 miliardi di euro, e nel giro dei prossimi tre anni potrebbe raggiungere quota 100 miliardi.

Quindi il vero business model dei social network siamo noi, le tracce che lasciamo quando navighiamo, consumiamo, visualizziamo o clicchiamo inserzioni.

Senza questi dati verrebbe meno tutto il modello economico.

Tant’è che è possibile dare anche un valore economico ad ogni iscritto: stando ai bilanci 2016 di Facebook, il valore medio di un utente si aggira intorno ai 16 dollari.

Ma nel gran ballo degli affari chi protegge la nostra privacy? È difficile fare una stima del valore dei dati personali che vengono venduti in modo non conforme alle leggi italiane ed europee. Alcuni parametri però possono aiutare a dare un’idea: il nucleo speciale Privacy della Guardia di Finanza, ad esempio, ha comminato sanzioni per circa 20 milioni complessivi di euro dal 2013 al 2016. Una delle più elevate è stata quella inferta a Consodata, che nel nel 2013 ha dovuto pagare 400 mila euro per aver aggregato e raccolto dati personali senza rispettare le norme.

L’articolo 33 del nuovo regolamento sembra essere uno dei temi più critici per le imprese. Si parla infatti dell’obbligo di “notificare” una perdita, un blocco o la corruzione di dati sensibili entro 72 ore dalla rilevazione.

Un tema da sempre sensibile in un Paese funestato, come pochi, da piaghe ricorrenti come Ransomware e pizzo digitale in serie. Piaghe che, appunto, trovano continuo terreno fertile per la mancanza della percezione del rischio nell’uso degli strumenti digitali ma anche, e soprattutto, per una atavica “non” volontà di mettere a fattor comune vulnerabilità, notizie di attacchi e furti di dati.

Questioni di reputazione, competizione… Questioni che ora però il GDPR ridisegna in maniera radicale: vediamo come e perché.

Intanto le definizioni.

Il “Data breach”, termine ormai di uso quasi comune, indica una:

«Violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rielazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità».

Questa la definizione letterale presa direttamente dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo. Proprio Il GDPR, come detto, regolamenta il data breach con un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.

Chi viene colpito dal DATA BREACH e non si è adeguato o non rispetta i termini di notifica (a tal proposito si ricordi che la notifica va comunicata entro e non oltre le 72 ore) della nuova normativa, va incontro ad un forte danno reputazionale, una perdita di produttività compromettendo il fatturato e si espone al rischio di forti sanzioni (Fino a € 10 milioni o fino al 2% del fatturato totale annuo dell’esercizio precedente)

Le linee guida del WP29, a tal proposito, forniscono indicazioni sulla gerarchia delle responsabilità di reazione al data breach, attribuendo al Responsabile del trattamento un ruolo subordinato, ma comunque attivo, a quello del Titolare e analizzando in concreto le varie modalità di violazione del dato richiamate dal Regolamento.
Secondo il GDPR queste possono essere, infatti, di tre tipi:

Violazione di riservatezza
una divulgazione o un accesso a dati personali non autorizzato o accidentale.

Violazione di integrità
un’alterazione di dati personali non autorizzata o accidentale.

Violazione di disponibilità
perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati personali.

In uno qualsiasi di questi tre scenari, compito di accertare il data breach è del Titolare, o se presente anche del Responsabile, che ha l’obbligo di avvisare tempestivamente il Titolare stesso. Questi, qualora si verifichino particolari situazioni che ledono i diritti e la libertà degli individui (artt. 33 e 34 del Regolamento), ha a sua volta l’obbligo di notificare l’avvenuta violazione -con i relativi dettagli- alle autorità garanti e ai cosiddetti Interessati (gli utenti del cui dato si tratta). Le linee guida in discorso ricordano come sia possibile prendere determinate precauzioni perché si possa superare l’obbligo di notifica: per esempio lo stesso GDPR descrive (Art. 34) la cifratura dei dati come una buona pratica che faccia venir meno la necessità di comunicazione all’Interessato, tuttavia la decisione sulle azioni da intraprendere -nel rispetto del principio di accountability- è rimessa al Titolare.

Obiettivi di sicurezza

Disponibilità
Garantire l’accesso alle informazioni e ai servizi di rete da parte del personale incaricato

Integrità
garantire che le informazioni non siano state alterate da incidenti o abusi

Riservatezza
garantire la prevenzione di accessi abusivi o non autorizzati alle informazioni, ai servizi e ai sistemi

Resilenza
la capacità di un sistema di adattarsi ai cambiamenti

La comunicazione all’interessato deve essere chiara, inequivocabile e richiamare l’attenzione dell’interessato. Non deve essere confusa con altre comunicazioni o contenuti che usualmente sono inviati all’interessato (es. reportistica, newsletter, promozioni, etc).

In qualsiasi caso i titolari dovranno opportunamente documentare le violazioni di dati personali subite, tramite un apposito registro delle violazioni, anche se non comunicate alle autorità di controllo, nonché le conseguenze e i provvedimenti adottati.

In caso di mancato rispetto delle procedure di notifica della violazione si applica la sanzione amministrativa fino ad un importo di 10 milioni di euro oppure il 2% del fatturato dell’intera società.

In caso di mancata notifica si configura anche l’assenza di adeguate misure di sicurezza, per cui si cumulano due distinte sanzioni.

SE SEI INTERESSATO AD APPROFONDIRE L’ARGOMENTO SEGUICI SULLE NOSTRE PAGINE SOCIAL O ISCRIVITI ALLA NOSTRA NEWSLETTER.
COMMENTA PER FARCI SAPERE QUALI SONO LE TUE PERPLESSITÀ ED OPINIONI A RIGUARDO. OPPURE COMPILA IL QUESTIONARIO AL SEGUENTE LINK PER OTTENERE UN REPORT GRATUITO SULLO STATO DELLA TUA AZIENDA : TEST AZIENDA

Il 25 Maggio sta per arrivare, il nostro obiettivo è di rendervi consapevoli sulle novità ed adempimenti introdotti dalla normativa.

2018-05-09T11:09:13+00:00

Leave A Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Iscriviti alla Newsletter

Resta sempre informato su le ultime novità. Inserisci la tua email per ricevere aggiornamenti utili alla tua attività.

Newsletter mensile

 

contrast_data_protection_officer_uk

Inserendo l’email dichiari di accettare la nostra privacy policy