Prof. Avv. Gianluigi Fioriglio - Dott.ssa Francesca Gattarello
Grazie all’evoluzione digitale e alla maggiore sensibilizzazione da parte dei privati e delle imprese nei confronti della tutela dei dati personali si è posta sempre più attenzione nei confronti degli episodi di furto o smarrimento di dati personali (e a tal proposito vi consigliamo questo articolo), nonché alla tutela risarcitoria in capo all’ interessato, nel caso in cui il fenomeno dovesse verificarsi.
Data Breach: definizione e conseguenze
emi Il termine “data breach” è comunemente associato al furto di dati ai danni di un’azienda; si verifica, ad esempio, quando un criminale si infiltra nei sistemi informatici e sottrae un database con i dati degli utenti. Se la vittima è un grande fornitore di servizi, dunque, il danno potrebbe riguardare anche decine di migliaia di persone con un solo attacco - casi del genere si sono verificati diverse volte nel corso degli anni passati.
I dati in questione possono essere diversi e molto dipende da quanto bene ha lavorato il fornitore nel proteggerli: nome, indirizzo, estremi del documento e della residenza, indirizzo email, password, persino numero di carta di credito potrebbero finire “nel mucchio”.
In generale si definisce Data Breach come tale una violazione di sicurezza che comporta - accidentalmente o illecitamente - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
In seguito ad un episodio di Data Breach rischiano di essere minate la riservatezza, l’integrità, la disponibilità e la sicurezza dei dati personali, con conseguente danno in capo all’interessato, ossia la persona a cui si riferiscono i dati personali.
Il diritto al risarcimento del danno per le vittime di Data Breach
Dunque, se io sono un abbonato al servizio XYZ, e quest’ultimo subisce un Data Breach, allora i criminali avranno accesso ai miei dati personali. Potrei subirne un danno in molti molti ed è lecito domandarsi se sia possibile ottenere un risarcimento.
In effetti lo stesso art. 82 del GDPR prevede che nelle ipotesi di violazione del Regolamento, l’interessato che abbia subito un danno materiale o immateriale abbia diritto ad ottenere il risarcimento del danno da parte del titolare o dal responsabile del trattamento. Quindi, se è chiaro che la perdita di dati personali vada risarcita, è necessario comprendere quali sono le condizioni affinché possa essere domandato un risarcimento, soprattutto nelle ipotesi in cui una volta verificatosi il furto di dati, l’autore del fatto non utilizza per alcuno scopo i dati rubati.
Sul punto sono state ipotizzate 3 condizioni possibili che devono passare al vaglio della Corte di Giustizia, ovvero:
- Gli interessati devono avere il controllo sui dati personali che li riguardano;
- Agli interessati deve essere inibito l’esercizio del controllo dei dati personali;
- Gli interessati devono perdere il controllo sui propri dati personali.
Sta comunque di fatto che, secondo quanto previsto sia dal Codice Civile, che da quello Penale, per ottenere il risarcimento del danno è necessario dare prova del nesso di causalità tra l’evento e la conseguenza negativa subita dal privato o dall’azienda ed essere in grado di quantificare il danno.
In altre parole il solo Data Breach non dà diritto al risarcimento; in una fase successiva bisogna dimostrare che si è subito un danno quantificabile.
Misure di prevenzione per contrastare i Data Breach
Per prevenire fenomeni di Data Breach i titolari del trattamento, soprattutto le imprese - che sono i soggetti che più di tutti hanno a che fare con una grande mole di dati personali - devono adottare e dimostrare di aver adottato tutte le misure possibili atte a evitare il danno.
Sul punto potrebbero essere necessario individuare a priori tutte le tipologie di rischi connessi al trattamento mediante una valutazione di impatto, eventualmente affidandosi a consulenti esterni che eseguano test di penetrazione (pentest), prevedere misure di anonimizzazione dei dati nonché l’uso dei migliori strumenti di crittografia (ne avevamo parlato anche qui). Soprattutto, sarà fondamentale affidarsi ai giusti professionisti per individuare le misure di sicurezza più adeguate da adottare ogni volta in cui viene svolto un trattamento di dati personali.
Gli sviluppi futuri della tutela risarcitoria per il Data Breach
In conclusione, si può affermare che nelle ipotesi in cui si verifichi un furto di dati, in ogni caso, la sicurezza dei medesimi subisce una compromissione e pertanto spetterebbe un risarcimento del danno all’interessato. Per definire concretamente quelli che saranno presupposti specifici per domandare il risarcimento sarà necessario attendere che la Corte di Giustizia Europea si pronunci su due casi attualmente in discussione, sullo sviluppo dei quali vi terremo sicuramente aggiornati.
Se hai bisogno di una consulenza legale informatica per comprendere come tutelarsi per un attacco informatico oppure hai già subito una violazione e vuoi tutelare i tuoi diritti, e soprattutto i tuoi dati, affidati a professionisti qualificati, come i nostri partner dello Studio Legale FCLEX.