Continua la nostra rubrica sugli esempi di notifica del data breach.
Nei primi due episodi abbiamo affrontato il caso di attacchi informatici ai dati, messi a punto da soggetti terzi, quindi estranei all’organizzazione dei titolari.
Vedremo in questo episodio che le violazioni di dati personali possono derivare anche da fonti interne di rischio, spesso sottovalutate e da cui derivano violazioni che difficilmente possono essere prevenute dall’azienda. Inoltre, questo caso è un esempio interessante di come talvolta la comunicazione della violazione agli interessati può rivelarsi conveniente per il Titolare dal punto di vista commerciale.
Il fatto
Il caso è quello di un dipendente addetto alla funzione aziendale marketing che, durante il periodo di preavviso, copia i dati commerciali dal database dell’azienda, a cui può legittimamente accedere per svolgere la sua attività lavorativa. Mesi più tardi, dopo aver lasciato il lavoro, usa i dati così ottenuti (principalmente dati di contatto) per contattare i clienti dell’azienda e attirarli nella sua nuova attività commerciale.
Di seguito alcune considerazioni su questo tipo di violazione dei dati:
- i dati personali oggetto di violazione riguardano un numero considerevole di clienti;
- l’azienda ha appurato che il database copiato non contiene dati particolari, ma solo dati anagrafici e di contatto;
- in casi come questo, generalmente l’obiettivo del “ladro” è quello di ottenere una copia del database e non di comprometterlo modificando o eliminando i dati in esso contenuti;
- l’azienda non ha adottato particolari misure per evitare l’accesso ai dati al dipendente che era autorizzato ad accedervi per svolgere l’attività lavorativa;
- pur essendo a conoscenza del fine perseguito dal dipendente di riutilizzare i dati per propri scopi commerciali, il Titolare non può sapere con esattezza se quei medesimi dati verranno utilizzati per ulteriori scopi illeciti.
I rischi e le conseguenze per i diritti e le libertà degli interessati
Come già anticipato, è difficile che una violazione come quella affrontata in questo episodio comporti una perdita di integrità dei dati personali, in quanto il fine dell’atto malevolo è la mera acquisizione dei dati per il loro riutilizzo a scopi personali. Generalmente in casi come questo i dati restano integri e nella piena disponibilità del Titolare.
Nel caso di specie quindi, l’azienda potrà ritenere che la violazione non abbia comportato una perdita di integrità e di disponibilità dei dati personali dei clienti.
Questo tipo di violazione può comportare invece la perdita di confidenzialità dei dati personali, in quanto il soggetto inizialmente legittimato ad accedere ai dati, diviene terzo rispetto alle attività di trattamento svolte originariamente sotto l’autorità del primo titolare.
Conclusioni
Per valutare se sussistono gli obblighi di notifica e di comunicazione del data breach, occorrerà verificare se per la natura della violazione, sussistono rischi, eventualmente elevati, per i diritti e le libertà degli interessati.
In questo specifico data breach, non vi sono fattori che portano a ritenere tali rischi elevati. Di fatto, il rischio per i diritti e le libertà degli interessati potrà limitarsi al ricevimento da parte dei clienti di comunicazioni commerciali indesiderate.
Al contempo però, come già anticipato, il Titolare non potrà considerare tali rischi bassi o insussistenti, poiché non vi sono certezze sulle intenzioni del dipendente e sull’eventuale riutilizzo dei dati anche per ulteriori scopi illeciti. Il Titolare dovrà inoltre tenere in considerazione l’entità della violazione che nel caso specifico ha riguardato un considerevole numero di interessati.
Visto il numero di interessati coinvolti e l’incertezza per i rischi cui essi sono esposti, l’azienda dovrà notificare la violazione di dati al Garante.
In questo caso specifico, la comunicazione della violazione agli interessati non è obbligatoria perché i rischi per i diritti e le libertà degli interessati non sono elevati. Tuttavia, per tutelare l’immagine dell’azienda, il Titolare potrebbe considerare preferibile informare direttamente i clienti del furto di dati, piuttosto che lasciare che essi ne vengano a conoscenza dall’ex dipendente che cercherà di contattarli.
Si tenga poi conto che violazioni di questo genere difficilmente possono essere prevenute. Le aziende possono in ogni caso adottare delle misure in grado di arginare il rischio che queste violazioni si verifichino: ad esempio, l’Azienda potrà decidere di revocare gli accessi ai dati ai dipendenti che hanno manifestato l’intenzione di lasciare il posto di lavoro, oppure potrà implementare dei registri di tracciamento degli accessi per verificare eventuali abusi, o ancora prevedere nel contratto con i dipendenti delle clausole che proibiscano in modo esplicito tali attività.