Il 31 dicembre 2023, ho cercato di acquistare un bel maglione di
lana, complice il freddo e il grigiore del fine anno.
Al momento del pagamento, la mia banca ha definito impossibile completare l’operazione. La banca può aver subito un c.d. denial of service, cioè un blocco del servizio erogato dalla banca ai correntisti, finalizzato a renderne inaccessibili i servizi.
A fine 2023, analogo evento ha caratterizzato un’importante struttura sanitaria nazionale, che ha subito un attacco hacker tale da comportare la perdita e la possibile divulgazione dei dati sanitari di centinaia di cittadini.
Si tratta di incidenti digitali e ogni ente, privato o pubblico, dovrebbe
fare tutto quanto è possibile per impedirli, secondo le norme applicabili.
Vediamo come.
Gli enti – pubblici o privati – dovrebbero evitare il c.d. data breach, che rappresenta il primo passo dell’interruzione del servizio. Basti pensare al caso in cui uno sbalzo di temperatura, o l’eccessiva umidità, determinino la distruzione dei supporti di memorizzazione dei dati, dei quali l’ente è titolare.
Si tratta di “una violazione di sicurezza che comporta accidentalmente o in modo illecito, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, trasmessi, conservati o comunque trattati”.
Banalmente anche la perdita di una chiavetta usb, contenente dati dei clienti ad esempio, non criptata, rappresenta un data breach. Con conseguente obbligo di attivazione per il Titolare del trattamento dei dati.
La legge non si sofferma sulla durata. Non è previsto, cioè, che la perdita sia definitiva per esempio. Pensiamo al noto caso di un call center, che ha perso temporaneamente l’accesso ai dati personali dei consumatori, a causa di una problematica relativa all’alimentazione delle infrastrutture. L’elevato numero di ipotesi che possono determinare un data breach può essere riassunto in tre
macro-tipi di violazioni:
1. Riservatezza
Nel caso della riservatezza, il Regolamento n. 679 del 2016 protegge dall’accesso non autorizzato, ma anche dalla divulgazione dei dati personali.
2. Integrità
L’integrità riguarda tutte le variazioni non autorizzate o – comunque – accidentali dei dati personali.
3.Disponibilità
La disponibilità evoca non solo la perdita del dato personale, ma anche l’accesso, la distruzione non autorizzata o comunque accidentale del dato personale.
È particolarmente interessante il caso in cui si verifichino, contestualmente, tutte e tre le violazioni descritte. Ad esempio, il caso in cui ricevessimo via mail un allegato, lo aprissimo e questo contenesse
un virus, idoneo ad intaccare i dati personali contenuti nel nostro pc.
Qui sta il punto: si ritiene comunemente, che un incidente di sicurezza digitale sia rilevante se comporta violazioni della privacy.
In realtà, la sua rilevanza non viene meno se intacca dati non sensibili.
La competenza della consulente, o del consulente, privacy rileva anche in questo caso moltissimo, perché quegli incidenti di sicurezza digitale che non intaccano dati sensibili, possono intaccare la sicurezza dell’identificazione elettronica della persona, il riconoscimento di firme elettroniche oppure i servizi fiduciari correlati.
Basti pensare ad un imprenditore che debba firmare digitalmente
un contratto entro e non oltre un giorno specifico.
Lo scopo del Regolamento UE n. 9102014 è proprio creare fiducia e
quindi prevedibilità negli ambienti on line, per incoraggiare i consumatori e gli enti – sia pubblici che privati – ad operare on-line.
L’“Agenda Digitale Europea”, cioè la comunicazione della Commissione Europea del 26 agosto 2010, ha individuato chiaramente gli ostacoli all’economia digitale. Il Parlamento Europeo ha fatto proprie le conclusioni della Commissione, sottolineando l’importanza della sicurezza dei servizi elettronici, ad esempio insistendo sul riconoscimento dei mezzi di identificazione elettronica impiegati a livello a livello nazionale.
Cosa possiamo fare nel nostro quotidiano, per potenziare gli sforzi di tutela della Istituzioni europee ed impedire incidenti digitali? Per
esempio, evitare il riconoscimento facciale sui nostri smartphone o
creare avatar con le nostre sembianze, poiché significa regalare i nostri dati sensibili a qualcuno, che ne trarrà beneficio economico.
E non sappiamo chi sia.