Circa un paio di anni fa, durante uno dei miei corsi sulla tutela del know how aziendale introdussi il concetto che l’adeguamento al GDPR costituiva una grande opportunità per mettere in atto misure per la tutela non solo dei dati personali, ma più in generale di qualunque informazione.
Ho ripreso tale concetto in successivi eventi ed in un articolo pubblicato sul sito dei nostri servizi di intelligence. Oggi tutti parlano di sinergia fra GDPR e tutela del capitale intellettuale.
Spero che fra qualche mese anche il concetto di frode e GDPR sia altrettanto gettonato.
Ma andiamo con ordine.
Cos’è una frode?
Una delle possibili definizioni, tratta dal dizionario on line Hoepli è la seguente:
Artificio diretto a trarre in inganno e a danneggiare qualcuno, tradendone la buona fede.
Maggiori dettagli, in particolare per frodi in ambito ICT possono agevolmente essere recuperati nella pubblicazione LE FRODI NELLA RETE che come Oracle Community for Security (lo stesso gruppo che unitamente a CLUSIT ed AUSED ha dato vita ad europrivacy) abbiamo redatto un paio di anni fa.
In tale pubblicazione, relativamente all’approccio giuridico alla terminologia si riporta:
Il termine “frode” viene comunemente impiegato per stigmatizzare un atto o un comportamento che si intende lesivo di un diritto altrui, sia esso di natura privata o di natura pubblica, sia esso afferente ad un soggetto privato ovvero ad un soggetto pubblico. Il caratterizzante biasimo di tale condotta trova ragione d’essere nell’inganno, usato dall’agente per danneggiare il diritto altrui, tale da trovare tutela in ambito giuridico.
Il concetto di frode può essere inteso in tre diversi significati:
1 come comportamento diretto ad abusare dell’altrui fiducia in difformità del generale principio di buona fede;
2 come comportamento volto ad eludere norme giuridiche e i loro effetti applicativi;
3 come comportamento finalizzato a produrre un danno altrui.
Sempre nella stessa pubblicazione fra i possibili esempi di frodi si citano fra gli altri:
- deviazione di fondi da un conto bancario ad un altro;
- vendita online di prodotti contraffatti o che non saranno mai effettivamente consegnati;
- manipolazione delle informazioni pubblicate on line al fine di agire sul valore delle azioni di una società quotata;
- attacchi alla disponibilità di servizi online;furto di proprietà intellettuale;furto di identità;
- mailbox hacking.
Esempi questi, come si vede, molto diversi fra loro e che solo in alcuni casi comportano un trattamento di dati personali e che quindi possano avere un legame con il GDPR.
Fra questi, uno di quelli riportati riguarda Eurograbber, con 36 M € distratti dai conti personali di oltre 30.000 clienti di diverse banche europee. L’attacco è iniziato ai danni di clienti italiani ed in breve tempo si è allargato a decine di migliaia di clienti che utilizzavano i servizi bancari online in Germania, Spagna ed Olanda. L’episodio ha avuto luogo in modalità completamente trasparente ai clienti, di fatto rimasti inconsapevoli che i loro dispositivi erano stati infettati da file di tipo Trojan, che le loro sessioni di home banking erano state compromesse e che i loro soldi erano stati distratti dai conti bancari.
Cosa centra tutto questo con il GDPR?
È molto semplice; là dove una frode comporta una violazione di dati personali (e quindi è relativa a persone fisiche) si entra nel campo dell’articolo 33 – Notifica di una violazione dei dati personali all’autorità di controllo.
Tale articolo richiede ai Titolari:
1.In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
…
5.Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
Ma quando è necessario notificare una violazione di dati personali?
Se sono stati compromessi i dati di un interessato? o di 10 o di 1000?
La normativa non lo dice; dice solo quando è possibile non procedere alla notifica:
… a meno che sia IMPROBABILE che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche...
Per capire quando questa situazione si può presentare dobbiamo individuare le situazioni per le quali la normativa individua i casi che presentano sicuramente rischi per i diritti e libertà delle persone fisiche.
Ci viene in aiuto il considerando (75), che recita:
(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un DANNO FISICO, MATERIALE O IMMATERIALE, in particolare: se il trattamento può COMPORTARE DISCRIMINAZIONI, FURTO O USURPAZIONE D’IDENTITÀ, PERDITE FINANZIARIE, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Limitandoci a considerare le prime 3 righe appare evidente che una frode che abbia come risultato una perdita finanziaria o un furto d’identità con violazione di dati personali comporta l’obbligo alla notifica e, in mancanza di chiarimenti ulteriori, probabilmente anche se è coinvolto un singolo interessato.
Al riguardo, come spesso è utile fare, in mancanza di riferimenti normativi nostri possiamo rifarci a quanti applicano questi criteri già da anni, come ad esempio l’Australia.
Ecco uno stralcio del manuale “Data breach notification guide: A guide to handling personal information security breaches” redatto dall’ Office of the Australian Information Commissioner
How do data breaches occur?
Data breaches occur in a number of ways. Some examples include:
- lost or stolen laptops, removable storage devices, or paper records containing personal information
- hard disk drives and other digital storage media (integrated in other devices, for example, multifunction printers, or otherwise) being disposed of or returned to equipment lessors without the contents first being erased
- databases containing personal information being ‘hacked’ into or otherwise illegally accessed by individuals outside of the agency or organisation
- employees accessing or disclosing personal information outside the requirements or authorisation of their employment
- paper records stolen from insecure recycling or garbage bins
- an agency or organisation mistakenly providing personal information to the wrong person, for example by sending details out to the wrong address, and
- an individual deceiving an agency or organisation into improperly releasing the personal information of another person.
Appare fuori di dubbio che per l’Autorità Garante Australiana anche la perdita di una sola chiavetta USB con dati personali costituisce una violazione da notificare.
Del resto anche i moduli predisposti dall’Autorità Garante italiana, pur non entrando nel merito della questione, sembrano portare alla stessa conclusione considerando che fra i casi di violazione vengono citati:
- Lettura (presumibilmente i dati non sono stati copiati)
- Copia (i dati sono ancora presenti sui sistemi del titolare)
- Alterazione (i dati sono presenti sui sistemi ma sono stati alterati)
- Cancellazione (i dati non sono più sui sistemi del titolare e non li ha neppure l’autore della violazione)
- Furto (i dati non sono più sui sistemi del titolare e li ha l’autore della violazione)
ed è anche necessario specificare se la violazione sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili.
A proposito di frodi il RAPPORTO 2016 SULLA SICUREZZA ICT IN ITALIA cita fra gli altri il Rapporto statistico sulle frodi con le carte di pagamento prodotto dall’Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP) nel quale sono riportati ad esempio i principali black marker attivi nella rete TOR ed il numero di prodotti utilizzabili per frodi con carte di pagamento.
Il quadro è tutt’altro che incoraggiante.
Si prospetta quindi per gli anni a venire un duro lavoro per i Titolari dei settori maggiormente interessati dalle frodi che comportano un trattamento di dati personali.
Un motivo in più quindi per adeguarsi in tempi rapidi alle richieste del GDPR ed aumentare il livello di sicurezza dei propri sistemi.