Violazione dei dati sensibili, di cosa parliamo?

La violazione dei dati sensibili è, in parole povere, il mancato rispetto delle normative sul trattamento dei dati personali. Le più a rischio sono spesso le aziende, per le quali non esiste una forma di protezione che possa tutelarle completamente da un attacco e quindi garantire la protezione dei dati acquisiti degli utenti. Capita che la questione, in tal senso, possa essere risolta attraverso il pagamento di una multa intaccando quanto meno possibile la propria reputazione o con un investimento per garantire il rispetto delle leggi previste in materia.

Ma cosa accade quando l’azienda stessa non rispetta le normative?
Il peggiore dei casi può prevedere il procedimento penale: negli Stati uniti d’America, ad esempio, aziende o privati che commettono violazioni intenzionali possono finire in carcere oppure ai commercianti che non rispettano le policy e le procedure definite dal PCI DSS (Payment Card Industry Data Security Standard), oltre a pesanti sanzioni finanziarie, può essere impedito di far utilizzare carte di credito nei propri negozi, che siano fisici o online.

In Italia le misure minime di protezione obbligatorie sono fissate con un DPR che viene emanato ogni due anni ai sensi dell’art. 15 della legge. All’entrata in vigore della norma regolamentare, quelle transitorie (articolo 41) prevedono che i dati siano custoditi in maniera tale da ridurre al minimo i rischi di perdita anche accidentale o di intrusione non autorizzata nel sistema informativo. L’articolo 18 della legge prevede, in più, che «chiunque cagiona un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile»: fino a prova contraria, la legge affida la colpa al gestore della banca dati, ponendo a suo carico ogni possibile conseguenza dei danni cagionati. In caso di sanzioni, il loro ammontare può essere orientativamente indicato in base all’ambito. Ad esempio:

• Ambito clinico ospedaliero.
  Se un paziente contatta il Garante della Privacy perché accortosi che i propri dati possono essere facilmente intuibili, la sanzione amministrativa si può attestare tra i 20.000 e i 120.000 euro. In caso di pluriviolazioni il costo della multa può raddoppiarsi o addirittura quadruplicarsi. Le banche dati di particolare rilevanza vedranno una sanzione che si aggira attorno ai 50.000 euro fino a un massimo di 300.000, in caso di recidività.
• Ambito aziendale.
  Nel momento in cui un’azienda riceve un attacco informatico che porta alla violazione dei dati, il Garante della Privacy prenderà in esame l’eventuale inefficienza dei sistemi di sicurezza (quindi la non applicazione delle forme minime richieste dalla normativa). Se così fosse riscontrato, la sanzione parte da un minimo di 10.000 a un massimo di 120.000 euro senza nemmeno passare dall’autorità giudiziaria. In caso di sanzione penale, è previsto l’arresto fino ai due anni.
• Ambito dell’ email marketing .
  L’email che invia un’impresa, promuovendo le proprie attività, prevede una precedente accettazione di un’informativa. Se i clienti, però, vedono nel suo contenuto qualcosa per cui non avevano dato l’assenso specifico, l’azione è sanzionabile. La mancanza di consenso per il trattamento dei dati per fini di marketing, può essere punita sia con la canonica sanzione amministrativa, partendo da 10.000 euro, sia con provvedimenti penali tra cui la reclusione.

La legge in merito è vasta, ma chiara e soprattutto non opinabile, perché possa tutelare contemporaneamente sia l’azienda da attacchi informatici sia il pubblico dall’uso improprio e dalla violazione dei dati.