Gli scandali degli ultimi giorni relativi all’accesso abusivo a conti online di banche e alla diffusione di immagini caricate su piattaforme cloud ha riportato l’attenzione dell’opinione pubblica sui rischi derivanti dal c.d. cybercrime. Secondo una recente ricerca del Governo inglese infatti la metà dei propri cittadini è stata vittima di un cybercrime anche se solo un terzo di loro denuncia il reato.
Questi sono alcuni degli argomenti discussi nel recente convegno sul cyber risk insieme con l’identificazione delle misure più opportune per tutelarsi di fronte a tale rischio. Questi possibili eventi devono essere analizzati anche alla luce di una recente sentenza della Corte di Cassazione che ha interessanti risolti di merito.
La controversia in materia di privacy
In una controversia in cui era stata appurata la violazione della privacy di un militare derivante dalla raccolta dei dati relativi al suo stato di salute in circostanze non previste dalle autorizzazioni emesse dal Garante per il Trattamento dei Dati Personali, la Suprema Corte ha stabilito che la violazione in sé della privacy non dà diritto di ricevere un risarcimento del danno.
Il fatto che la privacy di un individuo sia stata violata non legittima lo stesso a richiedere il risarcimento del danno, ma quest’ultimo dovrà provare il danno subito e solo in tal caso avrà diritto al risarcimento del danno provato.
Le conseguenze della decisione della Cassazione
La decisione sopra indicata va inquadrata in un contesto normativo dove l’articolo 15 del Codice Privacy rinvia all’articolo 2050 del codice civile che prevede un’inversione dell’onere della prova in caso di danno causato per la violazione della privacy.
Quindi alla luce della recente decisione della Corte di Cassazione qualora di verifichi una violazione della privacy altrui, la vittima della violazione dovrà provare il danno. Tuttavia, sulla base della previsione sopra esposta, il soggetto a cui è contestata la violazione dovrà provare di aver adottato tutte le misure per evitare il danno.
E con riferimento al cybercrime?
I riflessi potenzialmente negativi per le vittime della violazione della privacy derivano dalla difficoltà di provare il danno derivante da tale violazione anche nel caso in cui le proprie informazioni personali siano state rese di dominio pubblico.
Allo stesso modo, in un Paese come l’Italia in cui sono vietati i danni punitivi il danno derivante dalla violazione suscettibile di essere risarcito, sarà spesso alquanto limitato. La conseguenza di ciò è quindi che le società potrebbero farsi carico del rischio di una contestazione in materia di compliance privacy considerando che qualora la stessa si verifichi il danno risarcibile sarà ridotto.
Questo sembrava essere vero fino a poco tempo fa. Tuttavia la recente decisione del Garante nei confronti di Google che ha emesso una sanzione di € 1 milione a carico di Goole, ma soprattutto il nuovo Regolamento CE in materia di privacy in via di approvazione che prevede sanzioni fino al 5% del fatturato globale dovrebbero operare come un adeguato disincentivo a possibili violazioni.
Obblighi derivanti da data breach
Il nuovo Regolamento CE prevedrà un’estensione dell’obbligo di notifica delle violazioni in materia di privacy (la c.d. “data breach“) da cui deriva l’accesso non autorizzato, la distruzione, la perdita, la modifica o la rivelazione non autorizzata di dati personali. L’obbligo di notifica della data breach al Garante e all’interessato che ad oggi è in capo unicamente ai fornitori di servizi di comunicazione elettronica e in alcuni casi alle banche, sarà esteso a qualunque soggetto.
Un’esenzione da tale obbligo di notifica troverà applicazione con riferimento ai casi in cui la società è in grado di aver adottato tutte le misure di sicurezza organizzative e tecniche volte ad evitare il danno.
Quindi gli incentivi a conformarsi alla normativa privacy già ci sono e la piena conformità con tale norma richiederà anche la necessità di garantire delle misure di sicurezza adeguate al fine di minimizzare il danno subito.
Facebook Comments