GDPR e Data Breach: le ripercussioni in azienda

  • GDPR e Data Breach

Sanzioni ma non solo: la violazione del GDPR ha ripercussioni significative sia per le aziende che per i singoli individui.

Il 25 Maggio 2018 è entrata in vigore la normativa relativa al trattamento dei dati personali , l’argomento del GDPR è stato già ampiamente trattato da  molteplici angolazioni ed ormai circa l’80% di Enti ed Aziende (pubbliche o private che siano) risultano essere aggiornate a riguardo.

I dati sono desunti dalla prima indagine sweep (a tappeto) condotta a meno di un anno di distanza dall’emanazione della norma e delineano per l’Italia una situazione di lento aggiornamento, in linea con il resto dell’Europa.

Che cosa può spingere allora la restante percentuale delle aziende a rispettare le linee guida della normativa? E cosa può accelerare e migliorare  il processo di aggiornamento delle Aziende già avviate su questo cammino?

I primi casi di data breach, seguiti dalle prime sanzioni, possono rappresentare una chiave di svolta rivelando in maniera inequivocabile quali sono i danni diretti e collaterali di una cattiva organizzazione.

 

Data Breach: che cosa è e come può verificarsi

Il significato di data breach è letteralmente “violazione dei dati”, questo termine indica perciò la violazione di sicurezza che può compromettere l’integrità, la riservatezza o la disponibilità dei dati personali.

Generalmente i data breach, soprattutto quelli di entità elevata, sono di natura dolosa e quindi rappresentano un illecito compiuto da singoli o gruppi di esperti definiti hackers, ma possono anche registrarsi casi accidentali.

Questa tipologia di illecito è strettamente collegata a tematiche sempre più rilevanti come la cyber security e  può compiersi a seguito di differenti azioni:

  • divulgazione non autorizzata dei dati personali,
  • accesso o acquisizione dei dati da parte di terzi non autorizzati (attività di vendita di data base) ancora piuttosta diffusa,
  • furto o la perdita di dispositivi informatici contenenti dati personali;
  • perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • deliberata alterazione di dati personali;
  • impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware

Risulta evidente che alcuni dei casi sopra citati, siano più difficilmente prevedibili rispetto ad altri e che le conseguenze possano variare di caso in caso. Non è detto infatti che tutti i data breach possano avere effetti avversi di grave entità sugli individui.

 

Sicurezza dei dati personali: ecco la procedura da seguire in caso di violazione

Solamente nel caso in cui un data breach comporti effetti gravi e negativi sull’individuo (furto di personalità, perdita di reputazione, frode,  limitazione di taluni diritti, danni finanziario o sociali) il titolare del trattamento dei dati ha fino ad un massimo di 72 ore per notificare al Garante per la Privacy la violazione.

Il garante procederà quindi  a valutare il danno ed attuare le misure correttive necessarie in base all’entità dello stesso.

L’art.166 del codice sulla Privacy prevede due fasce sanzionatorie: la prima con sanzioni pecuniarie, che possono arrivare fino a 10 milioni di Euro o fino al 2% del fatturato totale annuo nel caso di imprese; la seconda, che presentando la stessa logica, prevede sanzioni fino ai 20 milioni e la percentuale al 4%.

La semplice sanzione, per quanto elevata possa essere, non sembra però essere stata sufficiente a sensibilizzare le aziende.

L’aumento della quantità e dell’esposizione di informazioni e dati sul web ha comportato  l’incremento del numero e della forza degli attacchi informatici e delle tecniche di intrusione nei sistemi, tanto da registrare i primi Data Breach anche per società dai grandi volumi.

E’ il caso della società di messaggistica tedesca Knuddels.de che è stata multata per un totale di 20.000€ con l’attenuante di “spirito di collaborazione e trasparenza dell’azienda nei confronti delle autorità”.

 

Data Breach: le reali conseguenze della violazione

Il caso Knuddels è stato significativo per dimostrare come la sanzione rappresenti solo la prima, e non peggiore, conseguenza di una violazione di dati.
Le conseguenze più gravi hanno un impatto di lungo termine e lasciano effetti sull’intera attività dell’azienda.

Per comprendere meglio questo tipo di conseguenze basti analizzare due casi che sono balzati all’onore della cronaca proprio per recenti data breach: la compagnia di bandiera Inglese British Airways e la catena di Alberghi francese Marriott.

Il 7 Settembre scorso la compagnia aerea Inglese ha comunicato al garante per la Privacy un attacco malevolo alla sua banca dati che ha portato al furto di 380.000 transazioni finanziarie contenenti dati sensibili (numero di conti bancari, carte di crediti, indirizzi e recapiti), perpetrato ai danni della British Airways sin dal 21 Agosto.
Si tratta di un’attività illecita di grandissima entità che potrebbe costare alla compagnia una multa fino al 4% del fatturato totale.

Oltre a questo, la compagnia si è trovata di fronte anche ad altri rilevanti problemi: dal punto di vista finanziario il risarcimento di tutti i 380.000 clienti violati, e dal punto di vista reputazionale la minaccia di essere marchiata come “agenzia non sicura” per le transazioni ed una conseguente perdita di clientela.

Il colosso aereo ha inoltre attuato un piano di sensibilizzazione e recupero della clientela:

  • ha offerto un anno di abbonamento al servizio di “credit rating” di Experian più un monitoraggio sul furto d’identità;
  • tutte le transazioni misconosciute dai clienti, successive e riconducibili all’evento saranno rimborsate;
  • verranno rimborsati i costi di disattivazione della vecchia carta ed attivazione della nuova carta di credito in quanto questo è il modo più sicuro per evitare che anche in futuro vengano compiute azioni illecite utilizzando i dati violati.

Se British Airways è riuscita a  gestire la crisi di fronte ai clienti, senza riportare danni reputazionali evidenti, ma con una spesa da capogiro, il caso di Marriott è ancora più cocente.

L’azienda francese ha comunicato al garante per la Privacy nazionale un furto di dati che perdurava fin dal 2014 ai danni di oltre 500.000 utenti. Non sono ben chiare le tempistiche con cui l’illecito sia stato segnalato, se entro le 72 ore o dopo,  ma è certo che un’attività di questo tipo ha trovato terreno fertile nella mancata organizzazione dell’azienda.

Anche in questo caso l’azienda ha cercato di risolvere la crisi offrendo il rimborso agli utenti violati,  attivato un call center e un centro di crisi a cui è possibile rivolgersi per chiedere informazioni sulla possibile violazione dei propri dati personali.

Le spese sostenute da Marriott non possono però essere equiparate al danno registrato sul fronte reputazionale: gli analisti hanno letto una diretta conseguenza a livello finanziario con il crollo dei titoli del Brand alla Borsa di New York, segno evidente della mancanza di fiducia accordata. La stessa sfiducia deve aver raggiunto la clientela internazionali in seguito alla fuga di informazioni.

La conseguenza del Data Breach si è registrata sul lungo periodo portando ad oggi,  6 mesi dopo l’avvenimento, un’impennata del 3.400% delle ricerche on line relative alla query “Marriott data breach” che si colloca al 4°posto tra le parole correlate alla ricerca generica Marriott, il che significa che il terzo argomento collegato alla catena di alberghi è proprio il furto di dati personali.
Questi dati sono utili a comprendere quanto l’avvenimento abbia interessato e turbato il pubblico e quanto la notizia possa influire sul sentimento del consumatore.

 

Conclusioni

Ad un anno di distanza dall’entrata in vigore del GDPR, si sono registrati i primi casi di data breach, ovvero di violazione dei dati, per i quali Aziende ed Enti hanno dovuto rendere conto al Garante della Privacy.

Sanzioni pecuniarie significative ma non solo, il danno in caso di violazione per Aziende o Enti si ripercuote anche in termini reputazionali.

Ecco perché diventa importante, per aziende ed enti, affrontare in modo strutturato il processo di adeguamento normativo in materia di trattamento dei dati personali senza tralasciare elementi fondamentali come valutazione del rischio, organizzazione aziendale, sicurezza informatica.

 

Vuoi maggiori informazioni su come prevenire e gestire un data breach in azienda? Contattaci!

Iscriviti alla newsletter per rimanere aggiornato sui prossimi eventi

Resta sempre aggiornato sui prossimi workshop sul GDPR Privacy e scopri quello più vicino a te!



Scopri i nostri servizi in materia di GDPR e Privacy

Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.

GDPR e principio di accountability