La profilazione può portare numerosi vantaggi per aziende e consumatori. Ma cosa succede se per via di un incidente tecnico il profilo è sbagliato? Nel seguito ci proponiamo di esaminare i rischi connessi a un simile scenario ed il modello ottimale per la gestione del data breach.
Introduzione
Nei precedenti contributi del presente percorso si è avuto modo di approfondire i plurimi vantaggi che l'attività di profilazione, anche per mezzo di decisioni esclusivamente automatizzate, consente di ottenere in termini di business per le aziende e di servizi aggiuntivi per gli interessati. Tali vantaggi sono intrinsecamente connessi ai rischi di violazione dei dati .
Il titolare del trattamento è dunque chiamato ad adottare le procedure interne più idonee a contenere i rischi per il business aziendale e per gli interessati coinvolti.
I rischi effettivi
Le conseguenze di un data breach possono essere estremamente dannose sia per le imprese che per le vittime ed esse mutano anche a seconda dell'evento dannoso.
Avendo riguardo alle prime, nello scenario di una violazione dei profili elaborati, anzitutto ciò che verrebbe in sarebbe rilievo la perdita delle informazioni confidenziali su cui si basa il business aziendale, o meglio dei modelli, anche automatizzati, che consentono all'azienda di orientare le proprie campagne commerciali. A ciò dovrà aggiungersi in ogni caso l'enorme rischio reputazionale a cui l'azienda andrebbe incontro.
Per gli interessati, invece, la profilazione di derivazione algoritmica potrebbe essere iniqua e creare discriminazioni, ad esempio negando l'accesso a opportunità di lavoro; ancora, potrebbero negare la concessione del credito o di un'assicurazione per erronea classificazione in categorie insolventi, o al contrario offrire prodotti finanziari eccessivamente rischiosi o costosi a soggetti non idonei.
Come riconoscere un data breach
Anzitutto risulta importante essere in grado di identificare una violazione ma soprattutto di valutare il rischio per le persone fisiche, dandone comunicazione agli interessati.
Le Linee Guida del WP29 n. 250 hanno correttamente evidenziato quali potrebbero essere le possibili conseguenze della violazione dei dati personali che potrebbero presentare un rischio per i diritti e le libertà delle persone fisiche: una serie di effetti avversi significativi sugli interessati, che potrebbero concretarsi in un danno fisico, materiale e/o oo non materiale.
Come gestire correttamente un data breach
In che modo il titolare del trattamento può gestire correttamente un data breach ?
L'adempimento principale sembrerebbe essere quello della notifica, da svolgersi mediante compilazione del modulo reperibile sul sito del Garante, ma in realtà una corretta gestione comporta l'attivazione in tempi rapidi di misure appropriate di contenimento del danno.
In linea generale, quando si è in presenza di una violazione dei dati personali occorre affrontare la situazione mediante cinque aree principali di intervento:
- avviare immediatamente un piano di contenimento del danno e di ripristino dell'efficacia delle misure;
- effettuare una valutazione del rischio connesso all'evento in corso;
- notificare la violazione all'autorità di controllo;
- mettere a punto un piano di valutazione delle misure di reazione;
- assumere decisioni in merito all'opportunità o necessità di informare gli interessati, i cui dati sono stati coinvolti nella violazione.
Le ultime indicazioni del Comitato europeo
Alcune utili indicazioni per le aziende arrivano dal Comitato Europeo per la Protezione dei Dati (EDPB – European Data Protection Board) che, con le sue Linee guida 01/2021 su Esempi riguardanti Data Breach Notification , fornisce una serie di esempi relativi proprio all'obbligo di notifica delle violazioni di sicurezza all'Autorità di Controllo prevista dall'art. 33 del RGPD. In particolare, nelle linee guida il Comitato approfondisce quattro scenari di attacco ransomware e suggerisce una serie di misure di mitigazione per queste tipologie di attacchi.
Avv. Chiara Benvenuto