Avv. Giuseppe Croari – Avv. Cristina Atanasi Brilli
.
Anche nel settore del Tessile-Moda, con la crescente digitalizzazione di tutti i processi aziendali, le imprese sono esposte a un incremento significativo dei rischi connessi alla sicurezza delle proprie informazioni, personali e aziendali.
In tale contesto, il fenomeno dei data breach assume una rilevanza centrale.
La protezione dei dati personali non può essere affrontata in modo frammentario o meramente formale. È invece necessario adottare un approccio strutturato, capace di coniugare compliance normativa, gestione del rischio e innovazione tecnologica, integrandole nei processi aziendali.
Solo un atteggiamento proattivo consente infatti di trasformare questi obblighi normativi in elementi distintivi di affidabilità e valore dell’azienda sul mercato.
Che cos’è un data breach
Per data breach si intende qualsiasi violazione di sicurezza che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali.
Si tratta di eventi che possono derivare tanto da attacchi informatici esterni (quali ransomware o phishing), quanto da fattori interni, come errori umani o carenze organizzative.
Le conseguenze, oltre alle sanzioni previste dalle normative applicabili – come, ad esempio, il Regolamento (UE) 2016/679 (GDPR) per l’Europa, la Personal Information Protection Law (PIPL) per la Cina e le varie normative statali vigenti negli Stati Uniti d’America, tra cui, il più noto, California Consumer Privacy Act (“CCPA”) –, possono ripercuotersi gravemente anche sulla continuità operativa e sulla reputazione delle aziende coinvolte.
Le conseguenze di una gestione dei dati non adeguata possono essere rilevanti sotto il profilo sia sanzionatorio sia reputazionale, come dimostrano esperienze recenti nel settore.
Il caso che ha coinvolto nei mesi scorsi la casa di moda Dior rappresenta un esempio particolarmente significativo, sebbene episodi simili abbiano colpito anche altre note aziende della Moda.
In quel caso, un accesso non autorizzato ai sistemi aziendali ha comportato la compromissione di dati personali di clienti, tra cui informazioni identificative e dati relativi alle preferenze di acquisto, particolarmente rilevanti nel contesto del marketing nel lusso.
Rilevanza giuridica
Come spesso avviene quando si verificano episodi di questo genere, l’evento ha assunto una duplice rilevanza giuridica:
- da un lato, sono emerse criticità sulle misure di sicurezza adottate, ritenute non adeguate a prevenire l’accesso abusivo ai dati;
- dall’altro lato, la violazione ha innescato verifiche più ampie da parte dell’autorità competente, facendo emergere ulteriori profili di non conformità, in particolare con riferimento ai trasferimenti transfrontalieri di dati personali e alla mancanza di adeguate basi giuridiche per taluni trattamenti, in violazione della normativa applicabile.
Ma non solo: ulteriori criticità contestate all’azienda hanno riguardato anche la gestione in sé dell’incidente, con particolare riferimento alla tardiva rilevazione del data breach e al ritardo nella comunicazione agli interessati.
Contenziosi collettivi
Inoltre, queste vicende, in particolare nel USA, hanno dato luogo anche a contenziosi collettivi azionati dagli interessati i cui dati sono stati coinvolti in questi incidenti, intenzionati ad ottenere un risarcimento economico per i danni subiti (risoltisi, per lo più, con accordi transattivi), confermandosi così la natura multilivello delle conseguenze di tali episodi, che si estende dal piano amministrativo a quello civile e reputazionale.
Come prevenire tali rischi
Alla luce di tali criticità [vedi box], assume particolare importanza l’adozione di misure preventive adeguate, volte sia a ridurre la probabilità di accadimento di episodi di data breach, sia a mitigarne gli effetti qualora una violazione dovesse verificarsi.
A tale scopo, si possono citare, a titolo meramente esemplificativo:
- l’utilizzo di sistemi di sicurezza informatica aggiornati, comprensivi, ad esempio, di strumenti di cifratura, di autenticazione forte e di monitoraggio continuo delle reti;
- l’applicazione di policy interne chiare in materia di gestione dei dati, con una puntuale definizione di ruoli e responsabilità dei soggetti coinvolti;
- la fornitura di un’adeguata formazione del personale (l’errore umano rappresenta ancora uno dei rischi principali);
- lo svolgimento di valutazioni periodiche dei rischi, anche attraverso audit e test di vulnerabilità;
- una selezione attenta di fornitori e partner tecnologici, accompagnata da adeguata disciplina contrattuale.
Piano di data breach response
Accanto a tali misure preventive, è poi essenziale che le aziende si dotino di procedure strutturate per la gestione degli incidenti.
In tal senso, si ricorda l’importanza di predisporre e rendere operativo un piano di data breach response, che consenta di intervenire tempestivamente in caso di violazione.
Tale piano dovrebbe prevedere, ad esempio, meccanismi di rilevazione e segnalazione interna degli incidenti, un team dedicato alla gestione delle crisi, procedure per la valutazione degli incidenti e dei rischi correlati e procedure di gestione tempestiva degli obblighi di notifica alle autorità competenti e/o di comunicazione agli interessati.
