Il fenomeno della violazione dei dati personali è in pieno boom, complice una società sempre più tecnologica. Nessuno è al sicuro, avvertono gli esperti, perché il mondo di oggi è iper-connesso e presenta innumerevoli occasioni di trasferimento di dati in Paesi in cui la loro sicurezza non è protetta come in Europa. «Il data breach – spiega Jacopo Liguori, responsabile dell’Ip, technology e privacy team in Withers – è un fenomeno purtroppo frequente, in parte dovuto al grado di obsolescenza molto rapido dei sistemi informatici e, per altro verso, spesso causato da un errore umano, imprevedibile per definizione, come nei casi di phishing». Si tratta, infatti, di una truffa informatica che colpisce i dipendenti delle aziende. Con tale pratica i malintenzionati indirizzano email al personale aziendale, facendogli credere che sia necessario, per ragioni tecniche, inserire i codici di accesso in pagine che sembrano del tutto identiche a quelle abituali. Una volta sottratte le credenziali, l'attaccante opera al posto del dipendente, ignaro di tutto, anche per diverso tempo, entrando in possesso dei dati personali conservati in azienda per compiere illeciti.
«Non si deve pensare però che la violazione sia unicamente legata ai dispositivi tecnologici» avverte Rocco Panetta, managing partner dell’omonimo studio Panetta. «Certamente – prosegue Panetta – i consulenti legali che operano in questo settore devono avere una solida formazione in materia informatica, poiché il 60% dei data breach sono digitali, ma non sottovalutiamo la violazione di dati su supporto analogico». Il furto di una cartella o di un faldone con documenti cartacei rappresenta una violazione del dato non meno rischiosa e frequente, che può coinvolgere sia dati personali sia informazioni strategiche di proprietà dell’azienda.
Quali sono dunque i servizi legali utili per contrastare le violazioni di dati? Innanzitutto, occorre suddividere le azioni di contrasto in due fasi: una di prevenzione e l’altra emergenziale, che si attiva in caso di attacco. Complice il Gdpr, e le sanzioni salate che prevede in caso di violazione dei dati, sempre più aziende predispongono strutture organizzative volte a prevenire gli attacchi. «Generalmente – rivela Giangiacomo Olivi, responsabile europeo del team data privacy and cybersecurity di Dentons – veniamo coinvolti anche in fase preventiva per predisporre una data governance che consenta di rispondere a tutte le ipotesi di violazione». Nell’ipotesi emergenziale, invece, occorre fin da subito capire quando notificare il data breach all’autorità e all’interessato, con particolare attenzione alle tempistiche previste dal Gdpr, nonché prendere tutte le misure di sicurezza necessarie per arginare il danno. In entrambe le fasi, segnalano gli esperti, occorre flessibilità e disponibilità a lavorare in un team composito che comprenda anche competenze non legali, come informatici e ingegneri, affinché possa comprendersi pienamente la reale entità del problema e porvi rimedio.
Per quanto riguarda le sfide che busseranno alle porte degli studi nei prossimi mesi, tutti gli intervistati segnalano l’avvento delle sanzioni, più rigorose e ingenti, previste dal Gdpr ma che per ora in Italia tardano ad arrivare. L’applicazione concreta delle multe darà una misura reale dei rischi che corrono le aziende in caso di data breach, aprendo il vaso di pandora dei contenziosi. «Le impugnazioni delle sanzioni – rivela Panetta dell’omonimo studio – saranno sia a livello nazionale che internazionale; un incastro di più giurisdizioni rimasto inesploso, su ci saranno grandi posizionamenti degli studi legali».
Si prevede anche l’arrivo di mandati volti ad aiutare le aziende a costruire piattaforme di gestione del personale per la mappatura dei trattamenti. Infatti, il primo passo per avere consapevolezza di quanto si sta facendo è sapere chi fa il trattamento e come. «Un altro tema di sicuro rilievo nell'assistenza legale – spiega Liguori di Withers – è il trattamento dei dati tramite le nuove tecnologie, che comporterà per le imprese l'obbligo di redigere valutazioni di impatto, ovvero documenti che riassumono il trattamento e i rischi che comporta, con indicazione delle misure di sicurezza poste in essere per evitarli».
Tutti gli interpellati, inoltre, segnalano come nonostante sia passato molto tempo dal maggio 2018 (data di entrata in vigore del Gdpr), le aziende siano tuttora in una fase di “compliance” alla normativa, lungi dall’essere effettivamente applicata in modo rigoroso. Nel frattempo, però, la società si evolve e l’intelligenza artificiale è ormai una presenza inevitabile nella vita delle aziende. «Credo che nel prossimo futuro – racconta Olivi di Dentons – assisteremo alla costituzione di grandi data base sempre più in interazione con strumenti di Ai. Questo porterà a una consulenza più ampia che non si limiterà al Gdpr, ma si allargherà ad altre norme: dall’Eu Cyber Security Act al perimetro di sicurezza cibernetica nazionale, passando per la normativa che regola l’impianto di difesa nazionale».
Infine, su un’ultima cosa sono concordi gli esperti: una corretta tutela della privacy crea un circolo virtuoso per l’azienda, che ne usufruisce in termini di clienti e di opportunità commerciali.
TAGS
Withers, Dentons, Panetta GiangiacomoOlivi, RoccoPanetta, JacopoLiguori
