Il regolamento UE sulla privacy n. 2016/679 (GDPR) prevede ammende severe fino a 20 milioni di euro per gli enti che subiscono attacchi cybercriminali premeditati. Secondo il regolamento, l’azione dolosa del terzo non esonera la vittima dell’attacco informatico dalla responsabilità, mentre l’assenza di danni per gli interessati non esclude le sanzioni.

Questo è confermato dall’ingiunzione del Garante della privacy dell’11 aprile 2024 n. 198, relativa a un caso di violazione dei dati personali di una camera di commercio che ha subito un attacco informatico, con il furto di dati di 22.000 utenti.

L’attacco ha coinvolto una copia di backup dell’applicativo usato per gestire il sistema degli appuntamenti online con gli utenti, contenente dati anagrafici, di contatto, di accesso e di identificazione, che non era stata cancellata per una dimenticanza.

Nonostante la difesa dell’azienda responsabile dei servizi informatici, che ha parlato di errore umano e di crittografia considerata robusta al momento dell’adozione, il Garante ha inflitto una sanzione di 25.000 euro.

Da questa vicenda emergono tre aspetti riguardanti la severità del GDPR in caso di violazioni della sicurezza:

1. Responsabilità per violazioni della sicurezza: il GDPR prevede sanzioni amministrative per il titolare e il responsabile del trattamento anche se le violazioni sono causate da terzi. Non esistono regole speciali per queste situazioni, quindi si applicano le stesse regole generali previste per le violazioni dirette. La vittima dell’attacco può essere sanzionata se ha facilitato l’attacco con colpe lievi.
2. Adeguatezza dei sistemi di sicurezza: il GDPR richiede che la valutazione dell’adeguatezza delle misure di sicurezza sia continua e aggiornata nel tempo, non solo al momento della loro adozione. Questo implica che le aziende devono investire continuamente in sicurezza informatica.
3. Assenza di danni per gli interessati: la normativa considera il livello di danno subito dagli interessati per il calcolo delle sanzioni, ma non prevede l’esclusione automatica delle sanzioni in assenza di danni.
   In conclusione, il GDPR può portare a sanzioni amministrative anche in caso di attacchi premeditati da parte di criminali informatici, seppur con colpe lievi e misure di sicurezza inizialmente adeguate, indipendentemente dall’esistenza di danni concreti agli interessati.

 

 

Fonte: Italia Oggi – di Antonio Ciccia Messina