gli avvocati di ecommerce legale spiegano cos'è il data breach e cosa fare per la violazione dei dati

Data breach: cos’è una violazione dei dati e cosa fare

Con oltre 335 segnalazioni quotidiane, il data breach si configura come una delle violazioni del GDPR più frequenti in Europa secondo uno studio di Dla Piper. E questo avviene nonostante le multe per i titolari del trattamento siano elevatissime: parliamo di sanzioni pecuniarie fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. Purtroppo, infatti, spesso, vengono sottovalutati i rischi e, soprattutto, le misure di sicurezza necessarie per prevenire la violazione dei dati personali.

Ma qual è il significato di data breach e quali sono gli obblighi per le aziende in materia di violazione di dati?

Innanzitutto, devi sapere che per data breach o violazione dei dati personali si intende qualsiasi violazione di sicurezza che può avvenire accidentalmente. Anche solo la perdita dei dati, oppure la loro cancellazione, dà vita ad un data breach.

Si ha violazione dei dati personali quando sono intaccati tre aspetti importanti: disponibilità, riservatezza e integrità dei dati personali. Ciò accade quando le informazioni personali vengono trattate, divulgate senza autorizzazione, distrutte, perse, modificate, rese disponibili durante la trasmissione o la conservazione, in maniera accidentale oppure no. 

Si ha data breach anche quando non è possibile accedere ai dati personali da parte del titolare del trattamento per cause accidentali o per attacchi esterni, virus, malware, ecc. Questo è stato il caso per esempio del data breach della Regione Lazio e alla Asl Roma 3 del 2021, per il quale il Garante Privacy di recente ha accertato che si è trattato di un attacco informatico tramite ransomware, introdotto mediante un dispositivo portatile di un dipendente, che ha gravemente compromesso l’accessibilità e la sicurezza dei dati sanitari.

Nel 2023, solo in Italia sono stati segnalati 1.688 casi di data breach, un numero alto ma decisamente inferiore rispetto agli altri stati europei (nello stesso periodo, in Germania, le segnalazioni sono arrivate a 32 mila). È interessante notare che la maggior parte dei data breach avviene internamente alle aziende, per cause riconducibili all’errore umano oppure per fishing o attacchi hacker. 

Dunque, è necessario avere le idee molto chiare in materia di data breach o violazione dei dati personali e preoccuparsi di cosa fare in caso di data breach secondo il GDPR.  Questo è un argomento importante per il settore del commercio elettronico che, per sua natura, implica il trattamento dei dati personali di un numero elevato di utenti e clienti. 

Ecco allora la guida al Data Breach di Ecommerce Legale, in cui ti spiego cosa si intende per data breach, come evitarlo e cosa fare in caso di data breach.  

Cosa significa data breach e cos’è una violazione dei dati

Il significato di Data Breach in italiano è violazione dei dati personali, termine con il quale si fa riferimento a qualsiasi tipo di violazione che implica l’accesso a informazioni sensibili o riservate delle persone fisiche da parte di soggetti non autorizzati.

Il GDPR all’art. 4 punto 12), fornisce la seguente definizione di violazione dei dati personali:

La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

La violazione dei dati personali, dunque, intacca la riservatezza, l’integrità o la disponibilità dei dati personali. 

Ecco alcuni esempi di data breach

  • accesso od ottenimento di dati personali da parte di soggetti non autorizzati;
  • furto o perdita di dispositivi elettronici contenenti dati personali;
  • modifica intenzionale di dati personali;
  • impossibilità di accedere ai dati a seguito di incidenti o attacchi esterni come virus o malware;
  • distruzione o perdita di dati personali dovuta a incidenti, eventi avversi, incendi o altre catastrofi;
  • divulgazione di dati personali senza autorizzazione.

Ma cosa si intende, dunque, per dati personali?

Secondo il Regolamento 2016/679, i dati personali sono quelle informazioni che permettono di identificare una persona fisica, in modo diretto (nome, cognome, fotografie) o indiretto (codice fiscale, numero di targa). 

Rientrano tra i dati personali anche:

  • dati particolari: religione, origine razziale, orientamento politico e orientamento sessuale;
  • dati sanitari;
  • dati relativi a condanne penali e reati;
  • i dati sulle comunicazioni elettroniche: indirizzo email; indirizzo IP;
  • dati che permettono la geolocalizzazione

Un GDPR data breach può riguardare anche i dati aziendali, ossia quelle informazioni che l’azienda raccoglie per le sue attività, ad esempio il registro di dati dei clienti, proprietà, o le informazioni di tipo finanziario.

Quindi, si verifica un data breach quando i dati personali vengono violati in maniera illecita o accidentale. Un tipico esempio di data breach nell’ecommerce è l’accesso non autorizzato agli account degli utenti con indirizzi email reperiti dal dark web.

Quali sono i tre tipi di data breach

Abbiamo visto che una violazione dei dati è quella che compromette la sicurezza dei dati personali attraverso accessi non autorizzati, perdite o furti di dispositivi, alterazioni intenzionali, incidenti o rivelazioni indebite.

Il data breach, dunque, comprende una serie di casi di violazione, come il ransomware, il phishing, il malware, il furto fisico o anche violazioni dovute all’errore umano.

Per farti capire, uno dei più comuni casi di violazione dei dati è provocata dalla perdita o dal furto di computer o tablet contenenti dati personali. Allo stesso modo, nell’ecommerce capita di frequente che terzi non autorizzati accedano o acquisiscano i dati senza consenso dai CRM o dai database di email. A marzo 2024 è arrivata la notizia del data breach che ha coinvolto Coinsquare Coin, la piattaforma canadese di trading di criptovalute vittima di una significativa violazione dei dati per l’esposizione del proprio database a malintenzionati.

Per semplificare la classificazione delle possibili violazioni dei dati, il WP29 ha distinto tre macro-categorie di data breach nella sua Opinion 3/2014:

  • Confidentiality Breach o Violazione della riservatezza: nel quale si verifica un accesso o una divulgazione illeciti o accidentali dei dati personali;
  • Availability Breach o Violazione della disponibilità: dovuto alla perdita accidentale o non autorizzata oppure alla distruzione dei dati personali;
  • Integrity Breach o Violazione dell’integrità: che implica l’alterazione dei dati, accidentale o non autorizzata.

Capire come avviene la violazione dei dati è importante per avere un’idea degli effetti negativi che ne potrebbero derivare.

Quali sono le conseguenze del data breach sulle aziende

La violazione dei dati è un evento che impatta in modo significativo sulle aziende, soprattutto dal punto di vista economico e d’immagine.

Per quanto riguarda le spese, le conseguenze della violazione dei dati comprendono:

  • il risarcimento danni ai clienti interessati dalla violazione;
  • eventuali azioni correttive;
  • costi dell’indagine;
  • implementazione delle misure di sicurezza;
  • spese legali;
  • sanzioni.

Chiaramente le sanzioni rappresentano il rischio maggiore perché per la violazione dei dati il GDPR prevede sanzioni fino al 4% del fatturato mondiale annuo o fino a 20 milioni di euro. A queste, tuttavia, potrebbe accompagnarsi una svalutazione finanziaria della società che, per alcune aziende, risulterebbe ancora più pesante.

Il danno di immagine è tra le conseguenze peggiori per un brand e si verifica di frequente nelle violazioni GDPR. Con la velocità a cui viaggiano le notizie nella società attuale, basta pochissimo per diffondere informazioni negative e danneggiare irrimediabilmente la reputazione di un’azienda. 

Sono sempre più numerose, infatti, le persone consapevoli del valore dei propri dati personali e attente a che vengano trattati nel modo corretto. E le conseguenze sono prevedibili: perdita dei clienti acquisiti, riduzione del fatturato, difficoltà a intercettare nuovi clienti.

Non dimenticare che ripristinare le attività, avere un’azienda GDPR compliant e mettere in atto le misure necessarie per ridurre l’impatto della violazione dei dati richiede tempo e risorse. Inoltre, è importante rivolgersi a uno studio legale specializzato in privacy e GDPR per affrontare eventuali azioni legali dei consumatori.

Quali sono le conseguenze del data breach sui dati personali

Oltre ai danni descritti nel precedente paragrafo, un’azienda che subisce un data breach dovrebbe valutare anche le conseguenze della violazione dei dati personali sulle persone interessate, per comprendere pienamente come comportarsi in caso di data breach.

Infatti, quando si verifica un data breach è necessario fare una valutazione delle “probabili conseguenze” dell’incidente. Ciò significa che si devono analizzare i rischi, per i diritti e le libertà degli individui, determinati dalla violazione dei dati personali.

In questo contesto, le conseguenze delle violazioni possono essere considerate dannose nel momento in cui la violazione (accesso indesiderato, perdita, modifica dei dati personali o altro) può determinare danni alla reputazione, discriminazioni, rischi di furto d’identità, perdite finanziarie. Nei casi ancora più gravi possono esserci rischi di danni fisici o psicologici oppure svantaggi economici e sociali, oltre all’impossibilità di esercitare diritti, accedere a servizi o opportunità a causa del compromesso dei dati personali.

Questa analisi è imprescindibile per comprendere quali azioni mettere in campo per tutelare i dati personali e rispettare il GDPR.

Cosa fare in caso di violazione dei dati personali

Molti imprenditori si rivolgono agli avvocati Ecommerce Legale quando si rendono conto di dover affrontare una violazione dei dati. E la domanda è sempre la stessa: “Cosa bisogna fare in caso di data breach?”

Il principale obbligo previsto dal GDPR in caso di data breach consiste nella segnalazione della violazione dei dati al Garante della privacy. Questa va fatta entro 72 ore dal momento in cui si viene a conoscenza della violazione.

Qualora l’azienda abbia nominato un responsabile del trattamento, egli ha l’obbligo di informare immediatamente il titolare del trattamento dell’avvenuto data breach. Sarà poi il titolare del trattamento ad inviare la notifica.

Non tutti i casi di violazione dei dati personali richiedono la notifica al Garante Privacy. 

L’art. 33, par. 1 del GDPR recita: 

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.”

Ciò implica che solo nel momento in cui “la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” il titolare del trattamento deve notificare l’autorità di controllo. Questo rischio è valutato in base alla natura, alla gravità e alle conseguenze potenziali della violazione. Ad esempio, una violazione che riguarda dati personali particolari o che può portare a frodi o danni alla reputazione probabilmente sarà considerata a rischio.

Oltre alla notifica al Garante, quando la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone, il titolare deve informare gli interessati dell’avvenuto data breach, senza ingiustificato ritardo. Questa attività prende il nome di “notifica all’interessato”. 

In ultimo, le violazioni dei dati vanno documentate nel registro delle violazione dei dati personali (registro dei data breach). 

Come inviare la notifica di violazione al Garante

L’obbligo di notifica è previsto dall’articolo 33 del GDPR, dove sono indicate le informazioni da inserire nel documento:

  • natura della violazione dei dati, categorie di dati e numero di interessati;
  • contatti del responsabile della protezione dei dati;
  • eventuali conseguenze del data breach;
  • misure correttive previste dal titolare per ridurre l’impatto della violazione.

È necessario che a compilare la notifica sia un avvocato specializzato nella privacy, così da poter spiegare al meglio la natura della violazione, le circostanze del data breach e le misure messe in atto per ridurre l’impatto della violazione sulla vita degli interessati. 

Quando inviare la notifica di data breach agli interessati dal trattamento

Ma l’interessato deve essere informato della violazione dei dati?

Non sempre!

Il Regolamento europeo per la protezione dei dati personali dice che il titolare è tenuto a comunicare la violazione all’interessato “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Al contrario, la notifica non è necessaria se i dati risultano tutelati da misure tecniche e organizzative di protezione adeguate, oppure se il titolare ha messo in atto misure di protezione idonee a evitare il rischio elevato. Allo stesso modo, la notifica agli interessati non è necessaria se richiede un impegno troppo grande per l’azienda.

Anche in questo caso, occorre una valutazione attenta per ogni caso specifico, per comprendere a pieno quali sono gli obblighi conseguenti al data breach.

Come evitare il rischio di data breach o ridurre l’impatto della violazione dei dati

Come avrai capito, le violazioni del GDPR possono costarti caro, sia dal punto di vista economico che reputazionale. Le sanzioni in caso di data breach sono davvero elevate e prevenire le violazioni o ridurne la portata è di certo la scelta più sana per un imprenditore. Tanto più che i costi non si limitano a quelli, ma includono le spese legali per difendersi dalle denunce degli interessati, il danno di immagine, la perdita di clienti e di fatturato. A ciò si aggiungano eventuali risarcimenti dei danni determinati dal data breach.

Il data breach è una delle violazioni dei dati più frequenti e, purtroppo, la maggior parte delle organizzazioni può subirlo più di una volta. Tra l’altro si tratta di una violazione che interessa aziende di ogni dimensione o genere: piccole, medie e grandi imprese, negozi ecommerce, aziende di tipo pubblico o privato.

In linea generale, per evitare perdite ingenti, è necessario adottare le adeguate misure di sicurezza in azienda. Queste includono software, sistemi di backup ma anche una formazione giusta per i dipendenti. 

Se hai subito un data breach e vuoi mettere al riparo la tua azienda dai rischi legati al data breach, prenota una consulenza con gli avvocati di Ecommerce Legale. Ti aiuteremo con la compliance al GDPR e saremo al tuo fianco in caso di violazione dei dati. Ricorda che ciò che non può essere evitato può essere risolto al meglio con la competenza e la professionalità di legali esperti. 

Floriana Capone

L’Avvocato dell’Ecommerce

POTREBBE INTERESSARTI LEGGERE ANCHE

Menu
error: Content is protected !!