Privacy e GDPR: Misure di sicurezza e cautele da adottare per la gestione della propria azienda

Con un provvedimento del 26 Giugno scorso, il Garante Privacy   ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach. causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. La banca stessa, a fine luglio 2017, aveva comunicato all’Autorità, la violazione subita.  E proprio a seguito di questa segnalazione   che il Garante ha accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy ed una inidonea valutazione del rischio.

Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato  molteplici informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

Il Garante quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca. Nel determinare l’ammontare dell’importo in 600mila euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca – che non ha subito precedenti provvedimenti sanzionatori del Garante – a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici quanto pare inidonee.

Alla luce di quanto esposto, viene spontaneo chiedersi  :”Come possiamo scegliere misure di sicurezza idonee”?

Innanzitutto bisogno prendere  atto del valore delle informazioni da proteggere e delle conseguenze derivanti da un evento avverso ,  come sancito dall’art 32 del GDPR  si deve tener “conto dello stato  dell’arte  ed dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”

Appare evidente che la scelta delle misure di sicurezza da adottare varia in funzione del contesto e deve essere proporzionata al rischio insito nel trattamento ed è indispensabile che si abbia un’approfondita analisi dei sistemi e di tutta l’organizzazione. A tal proposito si segnala che IL Gdpr pone in capo al titolare del trattamento la responsabilità dell’individuazione dei rischi attraverso la valutazione sulla protezione dei dati, è dunque   lapallissimo evidenziare che è indispensabile adottare delle misure di sicurezza  per tutti i trattamenti con e senza dispositivi elettronici.

Puntare su una corretta analisi del rischio e scegliere adeguate misure di sicurezza  è la chiave per evitare di paralizzare la propria attività  che rischia di essere non solo sanzionata ma anche bloccata e rallentata. Lo Studio Mandico & Partners grazie alle sue competenze, fornisce un primo  supporto alle aziende, per attuare  le misure di sicurezza più idonee al fine di rendere sicura l’attività aziendale.