Siete qui: Oggi sulla stampa
Oggi sulla stampa

Dal 2018 scatta l’obbligo di informare Garante e utenti

Ammettere di aver subito un attacco hacker può essere dannoso a livello reputazionale per una società. Eppure si tratta di un atto necessario per monitorare i casi di cyber crime. Per questo a maggio 2018 scatterà l’obbligo di notifica delle violazioni sia al Garante per la privacy sia ai titolari dei dati personali violati. La comunicazione all’autorità dovrà contenere la descrizione della violazione e il numero approssimativo degli interessati, oltre alla descrizione delle probabili conseguenze dell’attacco e quella relativa alle misure adottate per porre rimedio alla violazione o per attenuarne gli effetti negativi. «Quando l’hackeraggio può rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà informare anche gli interessati» spiega Stefano Mele, avvocato dello studio Carnelutti ed esperto di diritto delle tecnologie, privacy e cyber security. «Questo perché – aggiunge – attaccare un database significa entrare in possesso di enormi quantità di dati personali altamente profilati che potrebbero essere usati, ad esempio, per una sostituzione di persona». Nei casi come quello di Unicredit, in sostanza, il rischio non è che i pirati informatici svuotino i conti correnti, ma che utilizzino le informazioni sui correntisti (dati anagrafici, sui redditi, sui consumi, eccetera) per mettere in atto truffe.
«La comunicazione al Garante – sottolinea però Massimiliano Masnada, avvocato del team di data protection di Hogan Lovells – può non essere effettuata se gli attacchi non comportano rischi per la privacy. Ogni titolare del trattamento dati dovrà a questo proposito fare una valutazione sul rischio dell’attacco subito, e a questo proposito si attendono ancora le linee guida del Garante». Anche l’informativa alle persone presenti nei database violati può essere evitata «se l’azienda prova di aver adottato misure di sicurezza idonee a rendere “incomprensibili” i dati rubati, come nel caso di dati cifrati».
Oltre al regolamento europeo sulla privacy (n. 679/2016), a maggio 2018 diventerà operativa anche la direttiva Ue 2016/1148 sulla sicurezza delle reti e dei sistemi informativi. «Questa direttiva, chiamata Nis, network and information security – spiega Mele – obbliga tutti gli operatori di servizi essenziali a comunicare all’autorità competente, che in Italia deve ancora essere identificata, gli incidenti informatici». Anche in questo caso la notifica dovrà contenere una serie di informazioni, tra cui la diffusione geografica dell’attacco. «Se l’hackeraggio ha un impatto transfrontaliero – specifica Mele – va notificato anche alle autorità degli altri Paesi interessati».
Sia il regolamento privacy sia la direttiva Nis saranno operative dal maggio 2018. «Già adesso, però – ricorda Marco Berliri dello studio Hogan Lovells – le banche devono sottostare a un obbligo in vigore dal 2011: quello di informare i correntisti nel caso in cui un “data breach” sia stato causato da dipendenti interni all’istituto di credito».
Gli attacchi hacker sempre più frequenti stanno spingendo le multinazionali a correre ai ripari: oltre alle sanzioni previste dal Garante, c’è il rischio legato alla responsabilità civile. «A questo proposito – aggiunge Berliri – è sempre più necessaria una valutazione preventiva del rischio, anche per scongiurare class action».

Francesca Milano

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Un passetto alla volta. Niente di clamoroso, ma abbastanza per arrivare all’11% tondo, dopo una se...

Oggi sulla stampa

Oggi sulla stampa

Non sempre il vino corrisponde al giudizio del venditore. Ma le cifre che giovedì Mediobanca — co...

Oggi sulla stampa

Oggi sulla stampa

Rush finale e già scontro sui nomi dei manager che dovranno guidare il Recovery plan e sui progetti...

Oggi sulla stampa