I rischi connessi all’elaborazione del profilo: il modello accountable di gestione del data breach

di Chiara Benvenuto -

Abstract: La profilazione può portare numerosi vantaggi per aziende e consumatori. Ma cosa succede se per via di un incidente tecnico il profilo è sbagliato? Nel seguito ci proponiamo di esaminare i rischi connessi a un simile scenario ed il modello ottimale per la gestione del data breach.

Nei precedenti contributi del presente percorso si è avuto modo di approfondire i plurimi vantaggi che l’attività di profilazione, anche per mezzo di decisioni esclusivamente automatizzate, consente di ottenere in termini di business per le aziende e di servizi aggiuntivi per gli interessati. Tali vantaggi sono intrinsecamente connessi ai rischi da data breach.

Il titolare del trattamento è dunque chiamato ad adottare le procedure interne più idonee a contenere i rischi per il business aziendale e per gli interessati coinvolti.

  1. I rischi effettivi

Le conseguenze di un data breach possono essere estremamente dannose sia per le imprese che per le vittime ed esse mutano anche a seconda dell’evento dannoso.

Avendo riguardo delle prime, nello scenario di una violazione dei profili elaborati, anzitutto ciò che verrebbe in rilievo sarebbe la perdita delle informazioni confidenziali su cui si basa il business aziendale, o meglio dei modelli, anche automatizzati, che consentono all’azienda di orientare le proprie campagne commerciali. A ciò dovrà aggiungersi in ogni caso l’enorme rischio reputazionale a cui l’azienda andrebbe incontro.

Per gli interessati, invece, la profilazione di derivazione algoritmica potrebbe essere iniqua e creare discriminazioni, ad esempio negando l’accesso a opportunità di lavoro; ancora, potrebbero negare la concessione del credito o di un’assicurazione per erronea classificazione in categorie insolventi, o al contrario offrire prodotti finanziari eccessivamente rischiosi o costosi a soggetti non idonei.

  1. Come riconoscere un data breach

Anzitutto risulta importante essere in grado di identificare una violazione ma soprattutto di valutare il rischio per le persone fisiche, dandone comunicazione agli interessati.

Le Linee Guida del WP29 n. 250 hanno correttamente evidenziato quali potrebbero essere le possibili conseguenze della violazione dei dati personali che potrebbero presentare un rischio per i diritti e le libertà delle persone fisiche: una serie di effetti avversi significativi sugli interessati, che potrebbero concretarsi in un danno fisico, materiale e/o non materiale.

  1. Come gestire correttamente un data breach

In che modo il titolare del trattamento può gestire correttamente un data breach?

L’adempimento principale sembrerebbe essere quello della notifica, da svolgersi mediante compilazione del modulo reperibile sul sito del Garante, ma in realtà una corretta gestione comporta l’attivazione in tempi rapidi di misure appropriate di contenimento del danno.

In linea generale, quando si è in presenza di una violazione dei dati personali occorre affrontare la situazione mediante cinque aree principali di intervento:

  • avviare immediatamente un piano di contenimento del danno e di ripristino dell’efficacia delle misure;
  • effettuare una valutazione del rischio connesso all’evento in corso;
  • notificare la violazione all’autorità di controllo;
  • mettere a punto un piano di valutazione delle misure di reazione;
  • assumere decisioni in merito all’opportunità o necessità di informare gli interessati, i cui dati sono stati coinvolti nella violazione.
  1. Le ultime indicazioni del Comitato europeo

Alcune utili indicazioni per le aziende arrivano dal Comitato Europeo per la Protezione dei Dati (EDPB – European Data Protection Board) che, con le sue Guidelines 01/2021 on Examples regarding Data Breach Notification, fornisce una serie di esempi relativi proprio all’obbligo di notifica delle violazioni di sicurezza all’Autorità di Controllo previsto dall’art. 33 GDPR. In particolare, nelle linee guida il Comitato approfondisce quattro scenari di attacco ransomware e suggerisce una serie di misure di mitigazione per queste tipologie di attacchi.