Violazione dei dati personali, cosa succede con il nuovo regolamento?

Violazione dei dati personali, cosa succede con il nuovo regolamento?

Ai primi di settembre 2018 si è avuta notizia che nello scorso mese di agosto sono stati violati gli archivi dati della British Airways, compagnia aerea del Regno Unito.

Gli hacker hanno avuto accesso a 380.000 transazioni finanziarie, cioè sono stati trafugati i dati personali e le carte di credito di chi ha effettuato una prenotazione attraverso il sito o l’app della compagnia nel periodo dal 21 agosto al 5 settembre 2018.

I dati violati, inerenti ai numeri di carte di credito, contenevano pure i codici di sicurezza (CVV) necessari per completare le operazioni economiche di acquisto di beni.

Le cronache riportano che l’incidente è complessivamente durato due settimane, un periodo di tempo enorme in cui i clienti non sono stati messi al corrente dei rischi a cui erano esposti.

Per meglio comprendere, i soggetti non etici hanno tenuto aperta la “porta” d’accesso ai sistemi di British Airways dal 21 agosto 2018 fino a che non sono stati scoperti, e cioè il 5 settembre 2018. In questo lasso di tempo hanno potuto selezionare dati, informazioni e quant’altro volessero della compagnia aerea. Nello stesso periodo le carte di credito e i conti dei clienti erano a rischio di perdite rilevanti.

Al momento dell’annuncio, avvenuto il 7 settembre, la compagnia si è limitata a dichiarare che chiunque avesse effettuato nel periodo indicato, dal sito o tramite l’app, le operazioni di prenotazione e imbarco contattasse la propria banca al fine di evitare spiacevoli sorprese (sic!).

Avviso diramato utilizzando gli indirizzi Twitter e posta elettronica lasciati dai clienti [vedi Data breach in British Airways: hackerati i dati di 380 mila passeggeri].

British Airways ha provveduto comunque a notificare dell’attacco anche l’Authority britannica garante per la privacy, ritenendo così di adempiere a un atto formale consono a quanto avvenuto.

Molte figure pubbliche, e alcuni organi di stampa, hanno elogiato la correttezza espressa, sottolineato che l’accaduto può incidere sulla reputazione della compagnia aerea ponendola alle dure sanzioni previste dal nuovo Regolamento, una multa che potrebbe arrivare al 4% del fatturato globale annuo mondiale.

Pochi hanno osservato che due settimane per accorgersi di essere sotto attacco sono un tempo smisurato se commisurato all’importanza che riveste la compagnia.

Un numero limitato di osservatori ha considerato che il Regolamento europeo pone tempi di accertamento e comunicazione verso il Garante, e verso gli utenti interessati alla violazione, nettamente inferiori alle due settimane.

Il nuovo Regolamento europeo, noto come GDPR, indica che gli eventi che portano alla perdita di dati personali devono essere comunicati al massimo entro le 72 ore dalla data della scoperta della violazione (in inglese Data Breach). Esso recita “nelle prime 72 ore” dall’individuazione dell’incidente.

Immediata deve essere la comunicazione dei rischi sui dati personali trafugati dei clienti o dipendenti, i così detti interessati.

La comunicazione deve essere inoltrata sempre alle autorità nazionali Garanti della protezione dati personali, e agli utenti qualora si ravveda un rischio per i dati delle persone fisiche.

Se i dati violati e quindi trafugati sono anonimizzati, cioè conservati in archivi crittografati, il Titolare della società può considerare di non avvisare gli interessati qualora non ravveda un rischio.

L’ingiunzione di comunicazione rappresenta un formidabile strumento di trasparenza sugli incidenti che coinvolgono i dati personali. Esso costringe i signori della rete a gestire con maggiore attenzione i dati dei loro utenti proteggendoli con misure adeguate al fine di evitare incidenti. Incidenti che quando sono comunicati incidono sulla reputazione dell’azienda.

A quattro mesi dalla piena operatività del Regolamento (25 maggio 2018) è già iniziata la corsa alle segnalazioni che riguardano casi di violazioni dei dati personali, anche perché la non segnalazione inasprisce le sanzioni e le multe che il Garante potrebbe somministrare durante una ispezione.

Dal 25 maggio a oggi il Garante italiano indica che sono almeno un milione i cittadini i cui dati sono stati persi, modificati o divulgati senza autorizzazione. Si pensi che prima del 25 maggio l’Italia sembrava un paese felice dove era raro il verificarsi di un Data Breach. Cioè poche erano le aziende e le pubbliche amministrazioni che segnalavano la violazione.

Il Garante italiano, al fine di rimarcare l’efficacia del Regolamento, ha pubblicato una infografica con i primi mesi di applicazione del GDPR; dati aggiornati al 28 settembre 2018.  Alcuni dati sono stati comparati con quelli del 2017.

Ovviamente i Data Breach non sono stati comparati mancando i valori del 2017 a conferma della bontà dell’obbligo di notifica imposto dal Regolamento.

Vi sono più di 300 notificazioni di Data Breach accadute in circa 4 mesi, è un numero indicativo di una situazione non felice se si pensa che si parla di mesi estivi in cui l’attività lavorativa è ridotta. Il dato comunque non espone il numero di interessati coinvolti.

Seguitando la lettura si apprende che dal 25 maggio scorso i reclami e le segnalazioni giunte al Garante per trattamenti di dati personali non conformi con il Regolamento sono state 2.547, circa 1000 in più di quelle dello scorso anno.

Altro dato positivo è quello riferito al numero di DPO (data Protection Officer), in italiano RDP (Responsabile della Protezione dei Dati), cioè la nuova figura introdotta dal Regolamento e nominata dal Titolare, Il DPO affianca il Titolare per assolvere all’applicazione del Regolamento. Qualora designato il nominativo del DPO deve essere comunicato al Garante che provvederà ad inserirlo in apposito elenco.

A fine settembre il Garante indica che sono stati comunicati i dati di contatto di 40.738 DPO. Premettendo che tutte le pubbliche amministrazioni sono tenute ad avere un DPO per Regolamento e che solo alcune aziende sono tenute a nominarlo, è un numero incoraggiante.

Questi dati evidenziano che si sta creando un’attenzione positiva sull’argomento e che le aziende e pubbliche amministrazioni debbono non sottovalutare gli utenti interessati i quali vigilano e vigileranno sull’applicazione del nuovo quadro giuridico.

Scritto da: Marcello Pistilli