Data breach: oltre 1 milione i dati violati dal momento della piena operatività del GDPR

MILANO - Sono trascorsi oltre quattro mesi dalla piena operatività del Regolamento Generale per la Protezione dei Dati (Gdpr) e in Europa è già iniziata la corsa alle segnalazioni che riguardano casi di violazioni dei dati personali.

In Italia avviene lo stesso. Dal 25 maggio scorso a oggi, sono almeno un milione i cittadini i cui dati sono stati persi, modificati o divulgati senza autorizzazione. La cifra, che fa riferimento solo alla metà delle 305 notificazioni ricevute dall’ufficio del Garante per la protezione dei dati, Antonello Soro, è però ampiamente sottostimata. Non vi è infatti obbligo da parte dei titolari di un trattamento di dati di informare l’Autorità sulla quantità di profili coinvolti (informazione che in alcuni casi non sono loro stessi in grado di conoscere).

Le notifiche, che devono essere inviate dal titolare di un trattamento di dati entro 72 ore dalla scoperta di un data breach, hanno riguardato in primo luogo il furto o lo smarrimento di dispositivi che contengono informazioni. Seguono quelle dovute all’esposizione accidentale di dati sensibili, che può avvenire sia su una pagina web sia tramite l’invio di una mail i cui destinatari non sono in copia nascosta e sono quindi visibili a tutti gli altri. Si sono infine registrati attacchi anche dolosi da parte di hacker, inferiori come frequenza, ma che possono riguardare un maggiore numero di soggetti coinvolti.

In alcuni casi si tratta di attacchi ransomware, ovvero quel tipo di software malevoli che cifrano il contenuto di un archivio e chiedono un riscatto per renderlo nuovamente accessibile. Così la memoria torna a Wannacry, software malevolo che nel 2017 è stato protagonista di un’ampia propagazione e che ha danneggiato aziende e pubbliche amministrazioni in tutto il mondo, e dietro il quale si sospetta la presenza della Corea del Nord.

Per una maggiore sicurezza informatica

È importante che il Gdpr funzioni da stimolo per gli investimenti sul rafforzamento della sicurezza informatica - spiega il Garante europeo della protezione dei dati, Giovanni Buttarelli -, anche perché un sistema sicuro oltre ogni dubbio non può esistere e l’aggiornamento deve essere costante. Per questo è bene non badare solo alle intrusioni informatiche, ma anche all’integrità degli archivi di dati: pensare che si spende moltissimo per raccogliere i dati e poco per proteggerli è sciocco, oltre che dannoso".

In Italia ci sono state più di due notifiche al giorno, di cui 34 a luglio e 58 ad agosto, ma in Francia, dal 25 maggio a oggi, sono state 3.767. Nel Regno Unito si sono avute 1.750 notifiche solo nel mese di luglio. Anche se la raccolta dei dati non è stata uniforme e diversi Paesi (come nel caso della Francia) hanno incluso nei loro report anche altri tipi di segnalazioni, è possibile ipotizzare che "in molti casi i data breach non vengano segnalati, soprattutto da parte di aziende o professionisti che hanno subito una qualche violazione di dati personali - spiega Francesco Paolo Micozzi, avvocato esperto di diritto dell’informatica e membro del Circolo dei Giuristi Telematici -. Per loro il costo nel caso di una violazione sarebbe altissimo soprattutto dal punto di vista reputazionale, anche perché nei casi più gravi, ossia quelli in cui la violazione rappresenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche, sarebbe necessario inviare una notifica a tutti i soggetti coinvolti (ossia agli interessati al trattamento) e sarebbe alta la possibilità di perdere affidabilità agli occhi della clientela». Ma il problema, come sottolinea Micozzi, è che "se il Garante scopre il data breach senza che gli sia stata inviata notifica come previsto dalla normativa, può applicare sanzioni ancora più severe".

Nel caso in cui un’organizzazione trascuri di notificare una violazione all’Autorità infatti, questa può incorrere in sanzioni fino a dieci milioni di euro (o fino al 2% del fatturato annuo totale se superiore a dieci milioni di euro). Ben più impegnative sarebbero le sanzioni amministrative pecuniarie nel caso in cui l’organizzazione non rispetti altre norme del regolamento alla cui violazione potrebbero conseguire sanzioni amministrative pecuniarie fino a venti milioni di euro (o fino al 4% del fatturato annuo mondiale se superiore a 20 milioni di euro). Oltre alle responsabilità penali introdotte o modificate ultimamente con il decreto legislativo entrato in vigore lo scorso 19 settembre e che armonizza l’ordinamento interno alla disciplina del Gdpr.

 "La violazione recidiva delle disposizioni del Gdpr - continua Micozzi -, rappresenta uno degli elementi che il Garante utilizza nella valutazione della gravità della violazione e, di conseguenza, nell’irrogazione della sanzione». Ma c’è anche da considerare che «il Gdpr è un’evoluzione, non una rivoluzione. E chi rispettava le normative previgenti non ha avuto grossi problemi nell’adeguarsi".

Per prime le società delle telecomunicazioni e le Pubbliche Amministrazioni, per le quali l’obbligo di notificare al Garante una fuga di dati era già previsto e le cui segnalazioni sono state venti dal 1 gennaio al 25 maggio. Ma l’obbligo è previsto anche per le violazioni informatiche che non coinvolgono dati personali, che in questo caso non devono essere inviate al Garante ma solo all’Agenzia per l’Italia Digitale (Agid) e che solo nel mese di luglio sono state 724.

"Anche se l’impatto non è stato particolarmente sentito dal punto di vista tecnologico, servono maggiori investimenti nel settore soprattutto dal punto di vista della formazione", aggiunge Mario Grasso, dirigente del sindacato Networkers della Uil, dedicato in modo particolare al mondo dell’Information Technology, che in Italia contava nel 2016 325 mila dipendenti.

Articolo a cura di Nicola Bernardi, presidente di Federprivacy