Per le aziende il rischio di una violazione dei dati è un grosso problema. Esistono strategie al positivo, ma anche al negativo. Tra risolvere la questione con il pagamento di una multa e un impatto relativamente minore sulla reputazione oppure sostenere un cospiscuo investimento per ottemperare il rispetto delle imposizioni previste della legge per la sicurezza delle informazioni molte aziende scelgono la seconda strategia.
Il fatto è che il rispetto di alcune leggi e l’attuazione di alcune delle attività necessarie a dimostrare la conformità rispetto alla protezione delle informazioni, di fatto non contribuiscono in modo totale alla sicurezza di un’azienda. Non esiste una soluzione che metta al riparo al 100% un’organizzazione dal subire un attacco e quindi una violazione dei dati gestiti.
Nel caso le aziende non rispettino i requisiti e le policy imposte dalla legge quali sono le sanzioni?
Non rispettate le leggi? Potreste finire in carcere
Coloro che non rispettano i regolamenti e leggi vanno incontro a sanzioni importanti, che possono essere multe molto salate o, peggio a procedimenti penali. I commercianti che non rispettano le policy e le procedure definite dal PCI DSS (Payment Card Industry Data Security Standard), ad esempio, rischiano pesanti sanzioni finanziarie e, nel peggiore dei casi, vengono escluse dalla possibilità di utilizzare carte di credito nei loro negozi, sia fisici sia online. Negli Stati Uniti d’America, le aziende e gli individui che commettono violazioni intenzionali dei procedimenti dettati dall’HIPPA (Healthcare Information Portability and Privacy Act) per le protezione di dati sensibili dei pazienti possono anche finire in carcere per la loro negligenza. Le misure minime di protezione obbligatorie, in Italia sono fissate con una norma regolamentare (un DPR che viene emanarto ogni due anni ai sensi dell’art. 15 della legge). All’entrata in vigore del DPR, peraltro, le norme transitorie (articolo 41) prevedono che i dati siano “custoditi in maniera tale da evitare un incremento dei rischi di cui al all’articolo 15 comma 1, e cioè in modo da ridurre al minimo “in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento” i rischi di perdita anche accidentale dei dati o di intrusione non autorizzata nel sistema informativo automatizzata.
Questo significa che un obbligo preciso di adottare misure di sicurezza adeguate alla protezione dei dati sussiste in capo al responsabile del centro di elaborazione sin dal momento di emanazione del regolamento.
A livello comunitario, del resto, la direttiva sul trattamento dei dati personali prevede che gli Stati membri dispongano, nelle rispettive legislazioni, per un diritto al risarcimento del danno “per chiunque subisca nocumento da un trattamento illecito di dati personali o dalla violazione delle norme che disciplinano le banche-dati”, oltre a “misure appropriate” per garantire la piena applicazione della legge.
La legge 675 ha scelto, a questo proposito, la più grave delle sanzioni, quella penale e una disciplina sanzionatoria che, nel complesso, si presta a non poche critiche.
Innanzitutto, l’articolo 18 della legge prevede che “chiunque cagiona un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. Ciò significa che la legge presume la colpa del gestore della banca di dati e, invertendo l’onere della prova, pone a suo carico ogni possibile conseguenza dei danni cagionati a terzi, se egli non prova di avere adottato tutte le misure idonee ad evitare il danno.
In Italia a quanto ammontano le sanzioni per la mancata protezione dei dati sensibili?
Caso 1) sanzioni in ambito clinico-ospedaliero. Prendiamo, ad esempio, il caso di un’azienda di servizi tratta dati sanitari di pazienti che crede di rendere anonimi con procedure informatiche, invece tali dati risultano facilmente ricostruibili con banali accorgimenti, così da permettere la facile identificazione dell’interessato. Se un paziente se ne accorge e chiama in causa il Garante della Privacy che accerta la violazione, parte un procedimento di notifica. In questo caso la sanzione amministrativa si attesta nell’ordine dei 20.000 euro, fino a un massimale di 120.000 euro ma, in caso di molteplici violazioni del CDP, si potrà applicare l’art. 164bis che comporta, nei casi più gravi, il raddoppio delle sanzioni, oppure un aumento fino al quadruplo se sono inefficaci rispetto alle condizioni economiche del contravventore; o ancora la sanzione da 50.000 euro a 300.000 euro in caso di violazioni plurime verso banche dati di particolare rilevanza o dimensioni.
Caso 2) sanzioni in ambito aziendale. Un’organizzazione subisce un attacco informatico da parte di alcuni hacker che riescono ad accedere ai dati sensibili e a diffonderli via web. Se gli interessati fanno ricorso al Garante della Privacy e si scopre che il titolare del trattamento (l’azienda) non aveva adottato le misure minime di sicurezza per la protezione dei dati, prescritte all’art. 33 CDP, la sanzione amministrativa ammonta a 10.000 euro come minimo, fino ad un massimo di 120.000 euro, comminati dal Garante e senza nemmeno passare dall’autorità giudiziaria, ex art. 162 c. 2-bis CDP. La sanzione penale che va a sommarsi? Ex art. 169 CDP c’è l’arresto fino a 2 anni, in sede di giudizio penale.
Caso 3) sanzioni nell’ambito dell’email marketing. Un’impresa, dopo aver fornito l’informativa ai destinatari, invia comunicazioni pubblicitarie via e-mail a vari professionisti, promuovendo le proprie attività. Se l’informativa riguardava solo i servizi richiesti a suo tempo e i clienti non avevano dato l’assenso specifico per comunicazioni commerciali ulteriori e relative a servizi non richiesti, diversi da quelli passati l’azione è sanzionabile. La mancanza di consenso e informativa specifica al trattamento per fini di marketing, punita sia con sanzione penale (ex art. 167 CDP) della reclusione che con sanzione amministrativa (ingiunta dal Garante Privacy), con somme a partire da 10.000 euro.
In sostanza, il rispetto di leggi e regolamenti che sono stati promulgati per garantire la sicurezza della informazioni, non è un optional. Le aziende soggette a queste leggi dovrebbero investire il tempo e l’energia necessario per adeguarsi alle varie conformità e rispettare quindi tali obblighi.