Furto dati personali e risarcimento danni
Oggi più che mai, fenomeni quali il furto dati personali rappresentano purtroppo un rischio concreto, che tutti possiamo correre. Con la diffusione massiccia dei servizi digitali, infatti, sono aumentate le opportunità, per i cybercriminali, di rubare i dati sensibili degli utenti.
Si tratta di un furto che potrebbe comportare delle conseguenze disastrose, dalla semplice fuga di informazioni fino al tanto temuto furto di identità digitale.
Ma come si arriva al furto di dati personali e, soprattutto, come ci si può difendere in caso di danni materiali o immateriali?
In questa guida cercheremo di scoprirlo insieme.
Furto dati personali: cos’è un data breach
Quello che nel GDPR 679 del 2016 viene descritto come data breach va a indicare una violazione a livello dei dati personali che può portare alla loro divulgazione, ma anche alla modifica, alla perdita, alla distruzione.
Parliamo ovviamente di dati personali che sono stati oggetto di trattamento, che siano stato trasmessi o conservati da Titolare e Responsabile del trattamento poco cambia.
In ogni caso, il GDPR valido a livello europeo ha fornito delle disposizioni che il Titolare deve necessariamente rispettare. Ogni caso di data breach, che sia seguito da furto di dati personali o meno, deve essere segnalato entro e non oltre 72 ore dalla violazione stessa.
Un’eccezione a questa regola può esser concessa solamente la violazione non può in alcun modo rappresentare un rischio per i soggetti che hanno fornito il consenso al trattamento dati.
In caso di segnalazioni avvenute dopo le 72 ore, il Garante della Privacy richiederà le motivazioni del ritardo.
La segnalazione al Garante della Privacy
Secondo il GDPR 679/2016, qualsiasi violazione, anche qualora non si tratti di data breach, deve essere notificata entro il termine delle 72 ore. Anche altre situazioni, diverse dalla fuga di dati, possono infatti causare un possibile furto di dati personali.
Sei sono i casi per il quali è prevista una tempestiva segnalazione da parte del Titolare del trattamento:
- Accesso non autorizzato
- Copia non autorizzata
- Divulgazione non prevista
- Modifica non autorizzata
- Perdita d’accesso
- Cancellazione dei dati.
In tutti questi casi, per prevenire il rischio di furto dati personali, il Titolare del trattamento è tenuto a notificare l’evento al Garante. Il quale necessita di tutta una serie di informazioni aggiuntive, quali il numero di persone interessate, le misure adottate e le possibili conseguenze.
Il documento riepilogativo con tutti i dati appena indicati va inoltrato, tramite PEC, dal Titolare del trattamento al Garante della Privacy.
Perché i cybercriminali sono interessati ai dati degli utenti
Ma per quale motivo il furto i dati personali avviene tanto spesso oggigiorno? Cosa spinge i cybercriminali a sottrarre illecitamente tali dati?
Poter rubare l’identità ai poveri malcapitati permette ai criminali informatici di ottenere molteplici vantaggi. Possono innanzitutto sfruttare l’identità altrui per compiere atti illeciti a nome di qualcun altro.
Inoltre, molto spesso i dati personali del soggetto vengono rubati con scopi di estorsione. Vengono cioè sia utilizzati in maniera diretta per sottrarre soldi dal conto corrente, sia per minacciare la vittima, sia per ordire altre truffe. Non di rado, infatti, tali dati vengono sfruttati per frodare parenti, amici e conoscenti della vittima, richiedendo loro del denaro e adducendo come scusa fantomatiche e inesistenti emergenze.
Risarcimento danni: cosa prevede la legge
In caso di furto dati personali, la Corte di Giustizia Europea ha confermato che è possibile ottenere un risarcimento in determinate situazioni. La vittima, cioè, ha la possibilità di ottenere un rimborso di natura economica in seguito a fenomeni di data breach che abbiano interessato i propri dati personali.
Il risarcimento, però, è spesso fonte di dubbi, e non tutti hanno ben chiaro se è possibile, per l’interessato, esercitare questo diritto anche per la sola fuga di dati. Cosa accade, cioè, qualora i dati personali vengano rubati, ma non utilizzati?
In questi casi, per fortuna, l’interessato non subisce alcun danno grave, danno che non si manifesterà se i cybercriminali non utilizzeranno i dati rubati.
Stando a quanto chiaramente espresso dalla normativa europea sulla Privacy, il diritto al risarcimento spetta solamente nel caso in cui il soggetto interessato abbia subito un danno, materiale o immateriale che sia.
Danno che verrà attribuito al Titolare del trattamento o al Responsabile del trattamento, qualora non siano state prese precauzioni né accorgimenti per garantire la sicurezza degli interessati.
Il che implica due conseguenze. La prima è che non sarà possibile ottenere alcun risarcimento se Titolare e Responsabile del trattamento dimostreranno di aver adottato tutte le misure di sicurezza richieste.
La seconda conseguenza riguarda il fatto che, qualora non si manifesti alcun danno materiale o immateriale, non spetterà alcun risarcimento pur in caso di fuga di dati.
Come ottenere un risarcimento in caso di furto dati personali?
In base a quanto detto fino ad ora, purtroppo, possiamo desumere che ottenere un risarcimento in caso di furto di dati personali non è una procedura semplice.
Infatti, per ottenere un risarcimento l’interessato dovrà dimostrare necessariamente che il danno subito dipende da un illecito trattamento dei dati.
Inoltre, sarà tenuto a descrivere dettagliatamente la tipologia di danno subito. Questo vuol dire che non basta testimoniare di aver subito un danno a seguito di un data breach.
Si dovrà descrivere dettagliatamente il danno materiale o immateriale, quantificandolo nei dettagli, oltre che categorizzandolo.
Dovranno essere apportate anche tutta una serie di prove a testimonianza che il danno si sia effettivamente verificato. Inoltre, per quantificare il risarcimento, andrà dimostrata nei dettagli l’entità del danno subito, che deve essere significativo.
Infine, c’è un ultimo ma necessario aspetto da considerare. All’Art. 82 del GDPR si parla di nesso eziologico tra trattamento e danno. Il che significa che, per ottenere un risarcimento danni, bisognerà dimostrare che tali danni dipendano strettamente dalla violazione.
La normativa legata al GDPR 679 del 2016, comunque, è in costante evoluzione. Si auspica quindi l’introduzione di nuove norme che possano garantire una maggior tutela in caso di furto di dati personali. Norme che rendano gli eventuali danni subiti più semplicemente risarcibili.
Attendiamo dunque nuove disposizioni da parte della Corte di Giustizia Europea in merito.