Entra nella community

Dati rubati

Quando il timore diventa danno

La notizia, rimbalzata sulle pagine dei giornali nelle scorse settimane, riguarda il furto di migliaia di copie ad alta risoluzione di passaporti, carte d’identità e di altri documenti di riconoscimento rilasciati, da fiduciosi clienti, all’atto del check-in numerosi alberghi dalla costiera amalfitana a Venezia.

Quanti, appresa la notizia e sentendo nominare l’albergo in cui si è stati in vacanza o la località, si saranno domandati potrei essere anch’io una vittima?”

Timore più che condivisibile!

Qualcuno potrebbe persino aver richiesto un accesso agli atti; altri potrebbero aver ricevuto una comunicazione ufficiale di data breach dal Titolare del trattamento (si spera chiara e non sibillina!).

E quanti potrebbero pensare di chiedere un risarcimento del danno?

E per cosa, esattamente?

Ne parliamo ogni settimana nella newsletter Privacy in azienda. Con casi reali, linguaggio chiaro e approccio pratico.

La privacy non è solo burocrazia.

È cultura. È fiducia. È consapevolezza.

Leggi IL CASO completo

Condividi:

IL CASO

Questo ci ha fatto tornare alla mente un caso concreto, oggetto di studio, che ha visto un ente europeo subire un data breach con la sottrazione e successiva pubblicazione online di milioni di dati personali dei propri clienti.

Molti di quegli interessati, vedendo i propri dati diffusi, hanno chiesto il risarcimento per danno immateriale, fondando la pretesa sul timore che le loro informazioni, ormai di dominio pubblico, potessero essere usate in modo illecito da terzi.

La questione, tutt’altro che semplice, è arrivata fino alla Corte di Giustizia dell’Unione Europea.

La Corte si è trovata a decidere se fosse dovuto un risarcimento per danno immateriale derivante dalla sola diffusione dei dati, anche in assenza di un concreto utilizzo illecito.

Il nodo stava proprio qui: non era stato dimostrato che quei dati fossero stati effettivamente sfruttati da terzi per commettere illeciti.

Eppure i ricorrenti lamentavano il timore costante, l’ansia e il malessere derivanti dall’idea che qualcuno potesse farlo in futuro.

La Corte di Giustizia dell’Unione Europea ha dato loro ragione:

Il timore di un uso illecito, anche solo potenziale, di dati diffusi illegittimamente online può configurare un danno immateriale meritevole di risarcimento.

Cosa ci insegna

Il nostro sistema integrato multilivello di protezione dei dati (definizione presa in prestito dall’Avv. Giovanni Grassucci) non prevede che la mera ipotesi di un accesso non autorizzato generi automaticamente responsabilità risarcitoria per il Titolare o per il Responsabile.

Tuttavia, entrambi hanno l’onere di provare di aver adottato misure adeguate e proporzionate per ridurre al minimo il rischio.

Non basta dire “è stato un terzo”.

Occorre dimostrare che il danno non è imputabile direttamente al Titolare o al Responsabile.

E, certamente – come in molti starete pensando – rimane centrale la prova effettiva della violazione del GDPR, del danno e del nesso causale.

Prove, risarcimento, istruttoria … Siamo dunque dinnanzi ad un Giudice, il quale dovrà decidere anche su eventuali richieste istruttorie (con lungaggine dei tempi processuali).

Ma il vero punto è un altro!

L’impatto concreto per le aziende

Dal momento del data breach al termine del processo, quante risorse sono già state bruciate per limitare i danni?

Comunicazioni, consulenze tecniche, indagini, gestione dell’assistenza agli interessati, oltre al danno reputazionale.

Che si tratti di una grande catena alberghiera o di un piccolo hotel a conduzione familiare, ogni volta che vengono raccolti e conservati dati anagrafici, bancari o copie dei documenti dei clienti, una domanda dovrebbe guidare ogni scelta: Sto proteggendo davvero questi dati, oltre a trattarli e/o conservarli?”.

Ed è qui che ancora oggi si nota una certa reticenza, soprattutto nelle piccole e medie imprese, a investire non solo in strumenti tecnologici, ma anche – e soprattutto – nella formazione del personale.

E tu, nella tua azienda, sei davvero sicuro che i dati che raccogli ogni giorno siano custoditi e protetti come meritano?

La sicurezza non è un optional: è parte integrante della fiducia che i clienti ripongono in te.

LA NOSTRA FORMAZIONE

Privacy & Data Protection

+QI-AI = Security

La formula per aumentare i livelli di sicurezza nella tua azienda.

La sicurezza digitale è un tema ormai noto diventato centrale per le aziende e i suoi dipendenti. Quello che non è sempre noto e che spesso è il fattore umano ad agevolare gli attacchi informatici, spesso per disattenzione, frenesia, leggerezza e poca conoscenza. Gli errori più comuni: practice obsolete o assenti, inconsapevoli condivisioni di informazioni e dati, utilizzo incauto dei dispositivi aziendali, poca attenzione alle mail ricevute e scelta di password non efficaci.

Come tutelarsi? Cosa fare?

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede competenze specialistiche e strategie efficaci non sempre presenti in azienda. Fare formazione a tutti i livelli aziendali è la vera e unica rivoluzione culturale che tutelerà l’azienda e che ne accrescerà il valore.

Il metodo CompetenceLab “Cogito Ergo Cresco”

Offriamo una Compliance Privacy mirata all’analisi e gestione dei rischi e un corso di formazione rivolto a tutti i dipendenti sul corretto utilizzo degli strumenti e sulla tutela dei dati e quindi della tua azienda.

Ogni azienda è unica. Contattaci per un preventivo personalizzato.

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it