Circa un paio di anni fa, durante uno dei miei corsi sulla tutela del know how aziendale introdussi il concetto che l\u2019adeguamento al GDPR costituiva una grande opportunit\u00e0 per mettere in atto misure per la tutela non solo dei dati personali, ma pi\u00f9 in generale di qualunque informazione.<\/p>\n
Ho ripreso tale concetto in successivi eventi ed in un articolo<\/a> pubblicato sul sito dei nostri servizi di intelligence. Oggi tutti parlano di sinergia fra GDPR e tutela del capitale intellettuale.<\/p>\n Spero che fra qualche mese anche il concetto di frode e GDPR sia altrettanto gettonato.<\/p>\n Ma andiamo con ordine.<\/p>\n Cos\u2019\u00e8 una frode?<\/p>\n Una delle possibili definizioni, tratta dal dizionario on line Hoepli \u00e8 la seguente:<\/p>\n Artificio diretto a trarre in inganno e a danneggiare qualcuno, tradendone la buona fede.<\/em><\/p>\n Maggiori dettagli, in particolare per frodi in ambito ICT possono agevolmente essere recuperati nella pubblicazione LE FRODI NELLA RETE<\/strong><\/a> che come Oracle Community for Security<\/strong> (lo stesso gruppo che unitamente a CLUSIT<\/strong> ed AUSED<\/strong> ha dato vita ad europrivacy) abbiamo redatto un paio di anni fa.<\/p>\n In tale pubblicazione, relativamente all\u2019approccio giuridico alla terminologia si riporta:<\/p>\n Il termine \u201cfrode\u201d viene comunemente impiegato per stigmatizzare un atto o un comportamento che si intende lesivo di un diritto altrui, sia esso di natura privata o di natura pubblica, sia esso afferente ad un soggetto privato ovvero ad un soggetto pubblico. Il caratterizzante biasimo di tale condotta trova ragione d\u2019essere nell\u2019inganno, usato dall\u2019agente per danneggiare il diritto altrui, tale da trovare tutela in ambito giuridico.<\/em><\/p>\n Il concetto di frode pu\u00f2 essere inteso in tre diversi significati:<\/em><\/p>\n 1 come comportamento diretto ad abusare dell’altrui fiducia in difformit\u00e0 del generale principio di buona fede;<\/em><\/p>\n 2 come comportamento volto ad eludere norme giuridiche e i loro effetti applicativi;<\/em><\/p>\n 3 come comportamento finalizzato a produrre un danno altrui.<\/em><\/p>\n Sempre nella stessa pubblicazione fra i possibili esempi di frodi si citano fra gli altri:<\/p>\n Esempi questi, come si vede, molto diversi fra loro e che solo in alcuni casi comportano un trattamento di dati personali e che quindi possano avere un legame con il GDPR.<\/p>\n Fra questi, uno di quelli riportati riguarda Eurograbber, con 36 M \u20ac distratti dai conti personali di oltre 30.000 clienti di diverse banche europee. L\u2019attacco \u00e8 iniziato ai danni di clienti italiani ed in breve tempo si \u00e8 allargato a decine di migliaia di clienti che utilizzavano i servizi bancari online in Germania, Spagna ed Olanda. L\u2019episodio ha avuto luogo in modalit\u00e0 completamente trasparente ai clienti, di fatto rimasti inconsapevoli che i loro dispositivi erano stati infettati da file di tipo Trojan, che le loro sessioni di home banking erano state compromesse e che i loro soldi erano stati distratti dai conti bancari.<\/p>\n Cosa centra tutto questo con il GDPR?<\/p>\n \u00c8 molto semplice; l\u00e0 dove una frode comporta una violazione di dati personali (e quindi \u00e8 relativa a persone fisiche) si entra nel campo dell\u2019articolo 33 – Notifica di una violazione dei dati personali all’autorit\u00e0 di controllo<\/strong>.<\/p>\n Tale articolo richiede ai Titolari:<\/p>\n 1.In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorit\u00e0 di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne \u00e8 venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libert\u00e0 delle persone fisiche. Qualora la notifica all’autorit\u00e0 di controllo non sia effettuata entro 72 ore, \u00e8 corredata dei motivi del ritardo.<\/em><\/p>\n \u2026<\/em><\/p>\n 5.Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorit\u00e0 di controllo di verificare il rispetto del presente articolo<\/em>.<\/p>\n Ma quando \u00e8 necessario notificare una violazione di dati personali?<\/p>\n Se sono stati compromessi i dati di un interessato? o di 10 o di 1000?<\/p>\n La normativa non lo dice; dice solo quando \u00e8 possibile non procedere alla notifica:<\/p>\n \u2026 a meno che sia IMPROBABILE che la violazione dei dati personali presenti un rischio per i diritti e le libert\u00e0 delle persone fisiche..<\/strong>.<\/em><\/p>\n Per capire quando questa situazione si pu\u00f2 presentare dobbiamo individuare le situazioni per le quali la normativa individua i casi che presentano sicuramente rischi per i diritti e libert\u00e0 delle persone fisiche.<\/p>\n Ci viene in aiuto il considerando (75), che recita:<\/p>\n (75) I rischi per i diritti e le libert\u00e0 delle persone fisiche<\/strong>, aventi probabilit\u00e0 e gravit\u00e0 diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un DANNO FISICO, MATERIALE O IMMATERIALE, in particolare: se il trattamento pu\u00f2 COMPORTARE DISCRIMINAZIONI, FURTO O USURPAZIONE D’IDENTIT\u00c0, PERDITE FINANZIARIE<\/strong>, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libert\u00e0 o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonch\u00e9 dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilit\u00e0 o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantit\u00e0 di dati personali e un vasto numero di interessati.<\/em><\/p>\n Limitandoci a considerare le prime 3 righe appare evidente che una frode che abbia come risultato una perdita finanziaria o un furto d\u2019identit\u00e0 con violazione di dati personali comporta l\u2019obbligo alla notifica e, in mancanza di chiarimenti ulteriori, probabilmente anche se \u00e8 coinvolto un singolo interessato.<\/p>\n Al riguardo, come spesso \u00e8 utile fare, in mancanza di riferimenti normativi nostri possiamo rifarci a quanti applicano questi criteri gi\u00e0 da anni, come ad esempio l\u2019Australia.<\/p>\n Ecco uno stralcio del manuale \u201cData breach notification guide: A guide to handling personal information security breaches\u201d <\/strong>redatto dall\u2019 Office of the Australian Information Commissioner<\/p>\n How do data breaches occur? <\/em><\/p>\n Data breaches occur in a number of ways. Some examples include: <\/em><\/p>\n Appare fuori di dubbio che per l\u2019Autorit\u00e0 Garante Australiana anche la perdita di una sola chiavetta USB con dati personali costituisce una violazione da notificare.<\/p>\n Del resto anche i moduli predisposti dall\u2019Autorit\u00e0 Garante italiana, pur non entrando nel merito della questione, sembrano portare alla stessa conclusione considerando che fra i casi di violazione vengono citati:<\/p>\n ed \u00e8 anche necessario specificare se la violazione sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili.<\/p>\n A proposito di frodi il RAPPORTO 2016 SULLA SICUREZZA ICT IN ITALIA<\/a><\/strong> cita fra gli altri il Rapporto statistico sulle frodi con le carte di pagamento<\/a> prodotto dall\u2019Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP) nel quale sono riportati ad esempio i principali black marker attivi nella rete TOR ed il numero di prodotti utilizzabili per frodi con carte di pagamento.<\/p>\n Il quadro \u00e8 tutt\u2019altro che incoraggiante.<\/p>\n Si prospetta quindi per gli anni a venire un duro lavoro per i Titolari dei settori maggiormente interessati dalle frodi che comportano un trattamento di dati personali.<\/p>\n Un motivo in pi\u00f9 quindi per adeguarsi in tempi rapidi alle richieste del GDPR ed aumentare il livello di sicurezza dei propri sistemi.<\/p>","protected":false},"excerpt":{"rendered":" Circa un paio di anni fa, durante uno dei miei corsi sulla tutela del know how aziendale introdussi il concetto che l\u2019adeguamento al GDPR costituiva una grande opportunit\u00e0 per mettere in atto misure per la tutela non solo dei dati personali, ma pi\u00f9 in generale di qualunque informazione. Ho ripreso tale concetto in successivi eventi\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,2],"tags":[],"class_list":["post-2470","post","type-post","status-publish","format-standard","hentry","category-data-breach","category-legal-framework"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2470"}],"version-history":[{"count":2,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2470\/revisions"}],"predecessor-version":[{"id":2474,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2470\/revisions\/2474"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n