Articoli

Pubblicato il modello del Garante privacy per la notifica del data breach

Avv. Vincenzo Colarocco

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’art. 33 del Regolamento impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti.

Qui il modello predisposto dal Garante privacy per la notifica del data breach.

Nuove sanzioni per Unicredit, stavolta dall’Autorità di controllo della Romania

Avv. Vincenzo Colarocco

L’Autorità di controllo della Romania ha sanzionato Unicredit Bank con una multa pari a circa 130.000 euro, a seguito dell’accertata violazione da parte dell’istituto bancario di alcune disposizioni del GDPR.

Secondo le attività ispettive condotte da questo Garante, Unicredit non avrebbe applicato in modo efficace le misure tecniche e organizzative idonee a garantire la protezione dei dati personali e dunque la tutela dei diritti degli interessati, nella misura in cui, a fronte di una verifica effettuata a novembre 2018, non sarebbe stato rispettato il principio di minimizzazione dei dati che prescrive il loro trattamento limitatamente agli scopi per cui sono stati inizialmente trattati, in questo modo esponendo i dati dei clienti a facile divulgazione.

Di conseguenza, l’attività attuata da Unicredit si è posta in violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del Regolamento.

Ma non è tutto. A tale sanzione ne è seguita una seconda: a quanto pare, i dati personali dei clienti che si trovavano in formato analogico presso la società sono stati oggetto di violazione ad opera di terzi, in particolare sono stati fotografati da persone non autorizzate ad averne accesso e successivamente diffusi sulla rete, con ogni conseguente danno per gli interessati coinvolti.

La circostanza dell’accesso non autorizzato è stata rilevata dall’Autorità rumena a seguito dell’istruttoria apertasi post notifica di data breach dell’ente bancario.

A fronte di una violazione accertata in ordine a 46 interessati, la sanzione comminata è stata pari a 15.000 euro.

Unicredit è già da tempo sotto la lente d’ingrandimento delle autorità di controllo: già a gennaio scorso, si è verificato un data breach che ha portato alla perdita di dati di 731mila correntisti. In quell’occasione, tuttavia, il Garante italiano, chiamato a pronunciarsi a seguito dell’intervenuta notifica, si è astenuto dall’irrogazione di sanzioni, limitandosi ad intimare ad Unicredit di provvedere contestualmente con la notifica della violazione anche agli interessati.

Multa dell’ICO da 204 milioni di euro a British Airways: copiate oltre 200.000 carte di credito

Avv. Vincenzo Colarocco

Nel settembre 2018, la British Airways notificava all’Information Commisioner’s Office (ICO), autorità di controllo britannica, l’intervenuto data breach rilevato con riferimento al proprio sito internet, ottemperando alla disciplina prevista dagli articoli 33 e seguenti del GDPR.

A seguito dell’istruttoria svolta da parte dell’Autorità garante è emerso che il sito web della compagnia ha subìto un attacco proveniente dall’esterno in grado di coinvolgere circa 500.000 clienti: in particolare, l’attacco ha consentito ai “pirati” informatici di dirottare gli utenti su un altro sito fraudolento, mediante il quale questi avrebbero raccolto – ovviamente in maniera non autorizzata – i loro dati personali.

L’ICO ha dichiarato che, dalle evidenze emerse, l’attacco sarebbe iniziato nel mese di giugno 2018, dunque ben tre mesi prima della sua scoperta e denuncia, e che avrebbe cagionato la violazione di circa 244.000 dati relativi alle carte di credito dei consumatori, con ogni conseguenza economica per gli stessi.

Il procedimento istruttorio si è concluso con l’intenzione di emanare un provvedimento sanzionatorio nei confronti della British Airways, con una multa di 183 milioni di sterline, pari a circa 204 milioni di euro. L’autorità ha, infatti, ritenuto che l’incidente informatico sia da ritenersi conseguente alla mancata adozione di idonee misure di sicurezza, tecniche ed organizzative, da parte della compagnia in qualità di titolare del trattamento dei dati degli utenti visitatori del proprio portale.

British Airways ha collaborato con l’indagine ICO e ha apportato miglioramenti alle sue disposizioni in materia di sicurezza fin da quando questi eventi sono venuti alla luce. L’azienda avrà ora l’opportunità di presentare osservazioni in merito a tali risultanze ed alla sanzione.

Il procedimento è stato condotto da parte dell’ICO in qualità di autorità di controllo capofila, ai sensi e per gli effetti della disciplina di cui agli articoli 56 e seguenti del GDPR: in base alle disposizioni sullo “sportello unico” del GDPR, le autorità di protezione dei dati nell’UE i cui residenti siano stati colpiti dall’evento avranno la possibilità di commentare le conclusioni dell’ICO.

Data breach: le comunicazioni agli utenti non devono essere generiche

Avv. Vincenzo Colarocco

Con un provvedimento n. 106 del 30 aprile 2019, il Garante privacy ha ribadito –nei confronti di un importante fornitore di servizi di posta elettronica– la necessità di fornire le adeguate informazioni agli utenti coinvolti dal data breach. La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda.

Nel caso di specie, la violazione si è verificata in conseguenza di un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail che, ancorché allo stato arginato, ha permesso che fosse acquisita, da parte di soggetti terzi ignoti, una grande quantità di credenziali di autenticazione (circa un milione e mezzo di utenti). L’accesso fraudolento alle caselle e-mail è sempre fonte di potenziale pregiudizio per gli interessati, quale rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, al furto o usurpazione di identità).

A tal proposito, l’autorità garante ha chiarito che le comunicazioni agli utenti di intervenuti data breach, ai sensi dell’art. 34 del Regolamento, da parte di un fornitore di servizi non dovranno essere generiche, ma dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, ed in particolare:

(i)        contenere una descrizione della natura della violazione e delle sue possibili conseguenze;
(ii)       fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi (ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata).

Data Breach: colpiti Google, il Bundestag e Town of salem

Avv. Vincenzo Colarocco

L’anno nuovo è appena cominciato ma continuano a segnalarsi continue violazioni sui dati personali. Questo primo scorcio di 2019 appare sin da subito funestato dal fenomeno “data breach” che, in maniera così rilevante, aveva segnato l’intero anno appena trascorso (per un approfondimento sui data breach più significativi del 2018 si può consultare questo interessante contributo del “Sole 24 Ore”). Tra il 2 ed il 3 gennaio, infatti, si sono verificati una serie di attacchi hacker mirati a colpire titolari dei dati estremamente eterogenei tra loro, con conseguenze assai rilevanti per gli interessati colpiti.

La prima violazione in esame ha coinvolto oltre 7 milioni di utenti del gioco online Town of salem. A divulgare la notizia del breach è stato DeHashed, motore di ricerca di violazioni di dati e deputato al monitoraggio degli attacchi compiuti verso database e perdite di dati conseguenti ad attacchi hacker sul web. L’informazione è stata confermata dalla Blank Media Games (“BMG”), azienda sviluppatrice del videogioco, la quale conferma che, come risultato dalle prime analisi, i dati trafugati includerebbero nomi utente, e-mail, password, indirizzi IP, attività di gioco svolte, messaggi postati nel forum del sito e informazioni relative ai pagamenti. Assieme al rischio cui sono inevitabilmente esposte le informazioni sui pagamenti degli utenti (non è da escludersi, in particolare, la possibilità che tali dati possano essere utilizzati dai cybercriminali per compiere truffe online), un’altra delicata criticità riguarda la giovane età degli utenti coinvolti (tenuto conto del fatto che nella propria policy la stessa BMG afferma che il sito e il gioco non sono rivolti ai bambini inferiori a 13 anni di età”). A sfavore delle rassicurazioni fornite dagli sviluppatori del gioco, si denota inoltre un livello di sicurezza non adeguato per trattare i dati di milioni di utenti stante l’utilizzo del prefisso “http”, indicante il vecchio protocollo di connessione, oramai considerato non più sicuro per la trasmissione dei dati personali.

Un altro attacco è stato subìto, invece, da Google e, più precisamente, dai prodotti dell’azienda muniti di tecnologia Chromecast incorporata. Due pirati informatici hanno preso il controllo dei dispositivi connessi, con l’intento di far girare il video del noto youtuber “PewDiePie”. L’azione in questione, denominata dai propri autori “CastHack”, ha avuto l’obiettivo di mostrare la vulnerabilità della smart home. Gli stessi hacker coinvolti hanno spiegato che, una volta individuati i dispositivi da “attaccare”, questi hanno cambiato il nome wifi del device e ne hanno assunto il controllo dando l’input di trasmettere il video in questione sulle smart Tv degli utenti connessi. Gli hacker che hanno rivendicato il descritto attacco hanno comunque assicurato che non utilizzeranno le informazioni di cui sono entrati in possesso.

L’ultima violazione dei dati personali in esame, probabilmente la più rilevante, ha colpito centinaia di politici tedeschi, tra cui la Cancelliera Angela Merkel, attraverso la sottrazione – e successiva ripubblicazione tramite un account Twitter – di mail, chat, dati personali, numeri di telefono, indirizzi e documenti privati degli utenti coinvolti. Oltre a colpire esponenti di quasi tutti i partiti rappresentati al Bundestag, il medesimo attacco ha coinvolto anche personaggi dello spettacolo, musicisti e giornalisti. Non è comunque ancora stato chiarito se queste mail contengano informazioni sensibili né ci sono conferme sulla veridicità dei dati pubblicati. Anche con riguardo ai responsabili si brancola nel buio.

Per quanto un’armonizzazione a livello intercontinentale sia ancora lontana, si auspica che episodi del genere divengano presto solo un ricordo e che vengano fronteggiati  adeguatamente mediante idonee misure di sicurezza al fine di garantire un’appropriata protezione inerente il trattamento dei dati sul web.

Caso Uber: dall’esame delle violazioni arrivano interessanti spunti sulla contitolarità

Avv. Vincenzo Colarocco

Sono di estremo interesse le conclusioni cui è giunto il Garante Privacy Italiano in merito alla contitolarità nell’ambito delle attività di trattamento poste in essere dal noto servizio di trasporto automobilistico privato, vittima di un consistente data breach rivelato solo a distanza di un anno.

Ripercorrendo gli ormai noti eventi, si ricorda come nel 2017, Uber Technologies Inc avesse reso pubblico un incidente di sicurezza, verificatosi nell’autunno del 2016, che aveva coinvolto i dati personali di circa 57 milioni di utenti in tutto il mondo, interessando, per lo più, dati identificativi e di contatto, informazioni concernenti la localizzazione, account e numero della patente di guida. Tale evento, con ripercussioni anche su utenti italiani, ha sollecitato la reazione istituzionale del Garante italiano per la protezione dei dati personali, che ha avviato un’istruttoria nei confronti della società americana, presso la sede italiana, volta ad acquisire elementi di valutazione in ordine alla portata in ambito nazionale di tale incidente di sicurezza.

A seguito delle informazioni fornite dal Gruppo Uber si è potuto quindi  rilevare che Uber B.V. (società con sede nei Paesi Bassi) fosse il titolare del trattamento dei dati relativi a tutti gli autisti e passeggeri non statunitensi, nonché fornitrice dei servizi Uber agli utenti sul territorio italiano, mentre Uber Italy s.r.l. figurasse quale responsabile del trattamento di Uber B.V., fornendo servizi di supporto alla clientela e alcuni servizi di marketing per conto della stessa. Uber Technologies Inc., invece, veniva nominata responsabile del trattamento da Uber B.V., giusto contratto sottoscritto dalle società ed avente ad oggetto l’affidamento di alcune attività di elaborazione incluso l’hosting dei dati personali. Tenuto conto delle risultanze istruttorie e della documentazione acquisita, l’Autorità è però pervenuta ad alcune importanti considerazioni in ordine all’ambito soggettivo del trattamento dei dati, sostanzialmente confutando il sudescritto schema in ordine ai rapporti di titolarità e responsabilità. Nel dettaglio, il Garante, come desumibile dall’analisi del provvedimento n. 498 del 13 dicembre 2018, ha verificato:

  1. a) l’esistenza di un unico data base centralizzato e situato in USA che non differenzia per aree geografiche di “origine” dei dati personali;
  2. b) Uber B.V. condivide con Uber Technologies Inc. le medesime policy e misure di sicurezza nell’ottica di adottare a livello di gruppo misure tecniche e organizzative uniformi; non risultando pertanto possibile individuare un esclusivo potere decisionale al riguardo in capo alla titolare Uber B.V.;
  3. c) l’informativa pubblicata sul sito di Uber è la medesima per tutti gli utenti, anche con riferimento a interessati che risiedono al di fuori degli Stati Uniti (rispetto ai quali il titolare del trattamento è Uber B.V.); circostanza da cui sembra potersi desumere che la stessa sia stata predisposta da un unico soggetto;
  4. d) la suddetta informativa menziona un unico indirizzo di contatto per l’esercizio dei diritti degli interessati a prescindere dal fatto che si tratti di utenti residenti in USA o in area extra USA.

Gli elementi rilevati dall’Autorità Garante evidenziano la partecipazione di più soggetti nella definizione delle finalità e delle modalità del trattamento, con l’ovvia conseguenza che la rappresentazione dei ruoli fornita dal gruppo -in termini di titolarità esclusiva in capo ad Uber B.V per i dati relativi ad utenti che risiedono al di fuori degli Stati Uniti- non risulta essere adeguata, rendendosi necessaria una diversa qualificazione del rapporto esistente tra Uber Technologies Inc. e Uber B.V. che dovrebbe essere piuttosto configurato in termini di contitolarità del trattamento.

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.

Violenza sessuale: vietata la pubblicazione di informazioni che possano identificare la vittima, anche indirettamente

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali ha ribadito, con alcune recenti decisioni (cfr. inter alia n. 9065807, 9065782, 9065800) il principio per cui viene fatto divieto ai media di diffondere informazioni che possano rendere identificabile, anche in via indiretta, una vittima di violenza sessuale.

L’art. 137 del Codice della Privacy prevedeva – e tuttora dispone nel nuovo testo dell’art. 12, comma 1, lett. c), del d.lgs. 101/2018,– che in caso di diffusione o di comunicazione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti e delle libertà delle persone e, nello specifico, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Il Garante ha affermato che detto limite deve essere interpretato con particolare rigore quando vengono in considerazione dati idonei a identificare vittime di reati, a maggior ragione con riferimento a notizie che riguardano episodi di violenza sessuale, attesa la particolare tutela accordata dall’ordinamento, anche in sede penale, alla riservatezza delle persone offese da tali delitti.

La diffusione all’interno di un articolo di informazioni idonee a rendere, sia pure indirettamente, la vittima identificabile, risulta in contrasto con le esigenze di tutela della dignità della medesima anche in ragione dell’art. 8, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha ricordato che in caso di inosservanza del divieto, il titolare del trattamento, in questo caso l’editore, può incorrere anche nelle nuove sanzioni amministrative introdotte dal GDPR, all’art. 83, par. 5, lett. e), che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.