Internet è indubbiamente una grandissima risorsa di informazione nonché importantissimo mezzo di comunicazione. La diffusione di tale invenzione nel mondo commerciale ha permesso a molte imprese di crescere in dimensioni e competitività. Da potenziale risorsa, internet, è diventato fattore produttivo.
Tuttavia, nonostante nell’era contemporanea sia diventato essenziale per lo svolgimento di attività commerciale, internet nasconde dei pericoli per la vostra azienda, il vostro personale e chiunque entri in contatto con voi. Siete sicuri di utilizzarlo in modo esente da rischi?
Proprio in occasione del Safer Internet Day vi vogliamo ricordare l’importanza di un uso sicuro del web suggerendovi alcuni possibili accorgimenti da adottare.
Se vuoi rimanere aggiornato sugli adempimenti obbligatori in azienda e sui trucchi per evitare rischi e sanzioni, segnaliamo la newsletter gratuita di linkedin dell’Avv. Giuseppe Croari, clicca qui.
A quali pericoli si espone l’azienda?
Da un errato utilizzo di internet derivano anzitutto dei rischi per:
- le dotazioni informatiche dell’azienda;
- i dati trattati digitalmente.
Gli hardware e i software costituiscono a pieno titolo patrimonio aziendale e necessitano di essere tutelati al pari di qualsiasi altro bene: specialmente nell’industria 4.0 dove costituiscono uno dei principali strumenti operativi dell’azienda.
Attraverso il web, poi, soggetti non autorizzati possono accedere a tutte le informazioni conservate digitalmente dall’azienda. Questo non solo produce un danno all’impresa ogniqualvolta sia violato un dato (non personale) d’interesse per la stessa (si pensi alle le informazioni contabili, ai segreti commerciali, al know how: sono queste informazioni la cui diffusione potrebbe ledere la competitività, il valore o l’immagine dell’azienda), ma espone altresì l’imprenditore a una possibile responsabilità civile e amministrativa quando ad essere violati siano i dati personali dei lavoratori, dei clienti o dei fornitori dell’impresa.
Soffermiamoci proprio su tale ultimo aspetto. Se ad essere oggetto della violazione sono esclusivamente gli hardware, i software o i dati non personali in possesso dell’azienda, nella peggiore delle ipotesi ad essere leso è il patrimonio o l’immagine della stessa, senza pregiudizio per soggetti terzi. Se invece ad essere violati sono dati personali trattati dall’azienda, il danno coinvolgerà i diritti di altri individui, nello specifico delle persone cui i dati si riferiscono. Per tale ragione incombe un obbligo morale e giuridico in capo all’imprenditore di dotarsi di un adeguato sistema di sicurezza.
Sicurezza nel trattamento dei dati personali secondo il GDPR
Art. 32
Sicurezza del trattamento |
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. |
Come si evince dal testo dell’art. 32 del GDPR, il legislatore europeo ha introdotto un obbligo generale di trattare i dati personali con sicurezza. È dovere del titolare e del responsabile del trattamento adottare misure di contrasto e prevenzione adeguate al caso di specie.
L’art. 32, al pari di una norma generale e astratta, non ha previsto esplicitamente quali attività devono essere eseguite dal titolare e dal responsabile del trattamento, ma li ha responsabilizzati attribuendogli il compito di effettuare le opportune valutazioni e di documentare e formalizzare l’attività da loro svolta per garantire un sicuro trattamento dei dati personali (c.d. principio di accountability).
Stante infatti le diverse tipologie di trattamento, le diverse tipologie di dati personali, le diverse categorie di titolari, nonché la costante evoluzione delle soluzioni tecniche utilizzabili, risulta impossibile individuare a priori tutte le misure di sicurezza valide per qualsiasi trattamento. Tale compito è infatti rimesso alle Autorità competenti mediante l’emanazione di Linee Guida che possono indirizzare gli operatori economici nell’attuare correttamente la propria attività di trattamento.
La scelta delle misure da adottare non deve essere comunque sottovalutata, le conseguenze per le imprese possono essere molto gravi. Da un lato, infatti, l’imprenditore si espone ad una possibile sanzione amministrativa, dall’altro, in caso di violazione dei dati personali, oltre ai danni subiti dall’impresa stessa, l’imprenditore potrebbe essere chiamato a risarcire i danni cagionati agli interessati.
Violazione dell’art. 32 e illecito amministrativo
L’art. 83 del GDPR prevede, in caso di violazione dell’art. 32, l’applicazione di una sanzione pecuniaria fino a € 10.000.000 o pari al 2% del fatturato globale dell’impresa. Se ciò non dovesse bastare, il legislatore nazionale ha previsto, con l’art. 166, co. 7 del Codice Privacy, la possibilità per il Garante di pubblicare l’ordinanza-ingiunzione nel proprio sito internet, con conseguenti effetti per l’immagine pubblica del trasgressore.
È importante, dunque, capire che tipo di illecito si tratti, così da comprendere quando possa essere irrogata la relativa sanzione.
Può anzitutto essere utile vedere cosa dice il giudice nazionale a tal riguardo:
Tribunale Milano, Sez. I, Sent., 31/05/2022, n. 4135 |
“Si osserva, infatti, che l’evento dannoso non è elemento costitutivo delle fattispecie prescritte dal Regolamento e poste a presidio della tutela dei dati personali. Queste, infatti, sono strutturate quali illeciti di pericolo e di mera condotta. Ne deriva che tali fattispecie devono intendersi perfezionate allorquando il destinatario del precetto non si conformi alle prescrizioni ivi individuate ovvero tenga la condotta vietata dalla disposizione. Ciò a prescindere dal nocumento effettivamente patito dal soggetto tutelato dalla fattispecie. Sicché, laddove si accerti che la consumazione dell’illecito abbia effettivamente causato un pregiudizio agli interessati, ciò può riverberarsi esclusivamente sulla determinazione del trattamento sanzionatorio e non spiega alcun effetto ai fini della consumazione dell’illecito.” |
Come evidenziato dal Tribunale di Milano, il precetto contenuto nell’art. 32 ha la funzione di ridurre i rischi per i diritti degli interessati connessi al trattamento dei propri dati. Per tale ragione, l’illecito si configura quando il titolare o il responsabile del trattamento, con la propria condotta, abbia contribuito semplicemente ad aumentare il pericolo di una violazione dei dati personali.
La sanzione potrà così essere applicata a prescindere dal fatto che vi sia stata o meno una violazione dei dati personali e/o un danno per gli interessati.
Data breach e responsabilità civile del titolare e del responsabile
L’assenza di un adeguato livello di sicurezza espone l’impresa a un possibile data breach, ossia una violazione dei dati personali («la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati». Art. 4, par. 1, n. 12, GDPR). Tale evento non solo può avere effetti negativi sul patrimonio e sull’immagine dell’azienda, ma può, per di più, esporre l’imprenditore al risarcimento del danno nei confronti di chiunque subisca un danno da detta violazione.
Articolo 82
Diritto al risarcimento e responsabilità |
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. […]
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. |
L’opinione prevalente in dottrina inquadra tale regime di responsabilità nella generale categoria della responsabilità extracontrattuale, ma si guarda bene da ridurre la responsabilità per violazione dei dati personali alla responsabilità ex art. 2043 Codice civile. La letteratura giuridica rimarca, infatti, quelle che sono le peculiarità dell’art. 82.
Nello specifico, molti autori, aiutati dal testo della norma, evidenziano come a differenze della responsabilità ex art. 2043 c.c., non è necessario che venga data prova dell’ingiustizia del danno, ma il fatto lesivo, ossia la condotta contraria ai principi del GDPR, è da solo sufficiente a determinare un danno risarcibile.
A ciò si aggiunge il dettato del paragrafo 3 dell’art. 82, che esonera il titolare e il responsabile dal trattamento solo quando è dimostrato che l’evento dannoso non in alcun modo a loro imputabile.
Tale previsione è interpretata secondo alcuni in termini di responsabilità oggettiva: per cui solo una prova del caso fortuito, della forza maggiore nonché del fatto del terzo o del danneggiato è in grado di esonerare responsabile e titolare dal risarcimento del danno.
Secondo altri, invece, il paragrafo 3 introduce semplicemente una presunzione di colpa, da intendersi come condotta negligente, imprudente o imperita. Coerentemente con tale presunzione, per liberarsi da responsabilità, titolare e responsabile dovranno dimostrare di aver adottato adeguate misure di prevenzione.
Segnaliamo, comunque, che la giurisprudenza della Suprema Corte non condivide alcune delle interpretazioni fin qui esposte e ritiene comunque necessario che la parte lesa dia prova del danno subito, non essendo sufficiente la prova della violazione del GDPR o della relativa disciplina nazionale.
Cass. civ., Sez. I, Ordinanza, 08/01/2019, n. 207 |
“In tema di onere della prova, in caso di illecito trattamento dei dati personali per illegittima segnalazione alla Centrale dei rischi, il pregiudizio non patrimoniale non può mai essere “in re re ipsa”, ma deve essere allegato e provato da parte dell’attore, a pena di uno snaturamento delle funzioni della responsabilità aquiliana. La posizione attorea è tuttavia agevolata dall’onere della prova più favorevole, come descritto all’art. 2050 c.c., rispetto alla regola generale del danno aquiliano, nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità.” |
Consigli pratici per essere sicuri in azienda
Passiamo adesso sul piano pratico e vediamo cosa devono fare le aziende per rispettare il GDPR sotto il punto di vista sicurezza.
Gruppo di lavoro articolo 29 per la protezione dei dati – Linea Guida 03/10/2017, n. WP253 |
“L’articolo 25 e l’articolo 32 del regolamento prevedono che i titolari del trattamento tengano conto “della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”. Anziché imporre un obbligo di risultato, tali disposizioni introducono obblighi di mezzi, il che significa che il titolare del trattamento deve condurre le valutazioni necessarie e giungere alle opportune conclusioni.” |
Come è stato evidenziato dal Gruppo articolo 29, l’art. 32 contiene un obbligo di mezzi e non di risultato. Ciò significa che il titolare del trattamento deve effettuare le opportune valutazioni per determinare quali misure adottare e la loro adeguatezza al caso di specie. Possiamo già indicare alcune considerazioni preliminare da tenere in conto per adottare scelte adeguate:
- che tipologia di trattamento si vuole svolgere;
- che dati personali si vogliono trattare;
- quali sono i possibili pregiudizi per l’interessato a causa di una violazione dei propri dati personali;
- quali sono le diverse misure di sicurezza adottabili e i relativi costi;
- la congruità tra i costi, i rischi del trattamento e le risorse dell’impresa.
Sulla base di tali valutazioni spetterà all’imprenditore, in qualità di titolare o responsabile del trattamento, individuare le misure adeguate allo specifico caso.
In alcuni casi l’imprenditore è aiutato in tale fase poiché, come anticipato, le autorità competenti hanno provveduto ad adottare alcune Linee Guida per specifiche attività di trattamento. È perciò opportuno verificare se ciò sia avvenuto anche per il trattamento che si vuole avviare. Si suggerisce a questo proposito di vistare il sito internet del Garante Privacy e il sito dell’ EDPB (European Data Protection Board).
Nell’ultimo punto del nostro elenco si è sottolineato che tra gli elementi che bisogna tenere in considerazione rientrano le risorse economiche aziendali. Ciò è dovuto al fatto che il livello di responsabilità delle imprese può variare a seconda delle rispettive dimensioni: «Le imprese dovrebbero essere responsabili dell’adozione di strutture e risorse idonee alla natura e alla complessità della propria attività». (Gruppo di lavoro articolo 29, Linea Guida 03/10/2017, n. WP253)
A titolo puramente esemplificativo si potrebbe dire che un trattamento effettuato utilizzando misure di sicurezza “basilari” può essere conforme all’art. 32 quando è effettuato da un piccolo imprenditore artigiano; lo stesso trattamento, con le stesse misure di sicurezza, non rispetta il principio di sicurezza del trattamento, invece, quando è effettuato da una grande impresa multinazionale.
Regolamento per la sicurezza nell’utilizzo dell’Information Technology
Al di là delle soluzione tecnico-informatiche da adottare per tutelarsi da possibili data breach tramite internet, ogni impresa dovrebbe adottare un regolamento che funga da manuale per l’utilizzo delle risorse informatiche aziendali, ivi compreso il web. Stiamo parlando nello specifico dell’IT Policy, detto anche Regolamento IT.
La redazione di questo documento è fondamentale al fine di istruire i propri collaboratori nell’utilizzo del web mediante la rete aziendale. Infatti, sebbene Internet faccia ormai parte del nostro quotidiano, molte persone non sono correttamente informate dal punto di vista digitale.
Adottare un regolamento IT rientra sicuramente tra le misure necessarie, ma non sufficienti, per garantire un adeguato livello di sicurezza. Istruire i propri collaborati sull’utilizzo degli strumenti informatici riduce, infatti, il rischio di violazioni derivanti da comportamenti negligenti.
L’importanza dell’IT Policy può altresì essere facilmente compresa se si analizzano le diverse funzioni che questa svolge:
- informativa ex 13 GDPR;
- codice disciplinare;
- misura organizzativa di sicurezza ex 32 GDPR.
Anzitutto occorre evidenziare che dall’utilizzo delle risorse informatiche dell’azienda possa generarsi un trattamento dei dati personali dei lavoratori, di tale trattamento è importante dare un’adeguata informativa all’interessato.
Per tale ragione i Regolamenti IT spesso individuano:
- i soggetti autorizzati al trattamento (ad es., il personale IT);
- la tipologia di dati che possono essere oggetto di trattamento (ad es., e-mail, cronologia web, accessi alle dotazioni informatiche, registro chiamate, etc.);
- il periodo di conservazione dei dati (ad es., conservazione in Back Up per un anno delle e-mail aziendali);
- le finalità per cui può essere effettuato il trattamento (ad es., controlli preventivi, sicurezza, organizzazione aziendale, etc.).
Grazie alle informazioni che vengono così rese tramite il Regolamento IT è possibile considerare conforme al GDPR il relativo trattamento quantomeno sotto il punto di vista della trasparenza nei confronti dell’interessato.
La funzione dell’IT Policy è poi quella di assicurare una corretta esecuzione della prestazione lavorativa. Le previsioni in esso contenuto devono essere rispettate dai collaboratori dell’imprenditore al pari di qualsiasi altra previsione contenuta nel codice disciplinare. Proprio per tale ragione eventuali violazioni possono essere fatte valere come inadempimento contrattuale e, a seconda della gravità, possono altresì legittimare il licenziamento del lavoratore.
Per concludere, grazie al Regolamento IT non solo si sta adottando una misura volta a limitare i rischi del trattamento conformemente all’art. 32, ma si sta allo stesso tempo provvedendo a formalizzare le misure adottate così da poter eventualmente dimostrare la conformità della propria condotta alle norme del GDPR del Codice Privacy (principio di accountability).
Assicuratevi contro i rischi di internet e dotatevi di un Regolamento IT che vi guidi nel diligente utilizzo di internet. Se già ne avete uno, assicuratevi che questo sia aggiornato ai nuovi standard di sicurezza, nonché alla normativa e alla prassi in tema di trattamento dei dati personali.
Per la redazione o l’aggiornamento della tua IT Policy e per assicurarti un’adeguata compliance al GDPR puoi sempre affidarti a dei professionisti. Rivolgiti allo Studio Legale FCLEX (con sede a Bologna, ma si può procedere anche completamente online) chiedendo dell’Avvocato Giuseppe Croari, che da anni opera nel settore, al fianco delle imprese.