Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO SCENARIO

Web reputation fa rima con privacy: ecco come calcolare il prezzo aziendale di un data breach

Monitoraggio e difesa della reputazione sono prioritari per gestire la competitività sul mercato: un’adeguata protezione dei dati in accordo col GDPR può scongiurare “incidenti” in grado di provocare ingenti perdite economiche. Ecco come preservare la Web reputation e prevenire un data breach

15 Apr 2019
R

Alessandro Ronchi

Digital and data protection lawyer – Studio RonchiLegal


Web reputation, brand reputation: valori la cui difesa diventa prioritaria per business che si confrontano con dinamiche ad alta competitività. Ma mai come oggi la “reputazione” è strettamente correlata alla protezione dei dati personali: in questo senso il caso Marriott Hotel ha fatto scuola. Ecco come orientarsi nella valutazione dei rischi e delle risorse che dovranno essere allocate al “restauro” del brand in caso di incidente.

La reputazione e la protezione dei dati

Il concetto di reputazione non è certamente nuovo al diritto, ma l’avvento del web e dei social media ha enormemente accresciuto le occasioni di una sua lesione, con conseguente ampliamento del rischio – e del correlativo danno – per le aziende.

La reputazione è tradizionalmente definita come la considerazione di cui un individuo gode nell’ambiente sociale in cui vive ed opera; per quanto riguarda le persone giuridiche, già da tempo la nostra Corte di Cassazione ha sancito la risarcibilità, ex art. 2043 c.c., della lesione della reputazione commerciale (o, all’inglese, brand reputation) dell’impresa che subisce un danno di immagine per il fatto, ad esempio, di un proprio dipendente o di un dirigente o, ancora, di un concorrente.

Nell’era del web, la nozione di danno alla reputazione commerciale si è evoluta o, se vogliamo, ha trovato la sua maturità: la reputazione è indiscutibilmente un valore fondamentale da sviluppare, custodire e preservare con grande attenzione, tanto se riferita alla persona (personal reputation) quanto a un’azienda (brand reputation), nella sua duplice componente off-line e on-line.

Il caso Marriott Hotel

Ogni azienda che vuole mantenere la sua competitività sul mercato considera una priorità il monitoraggio e la difesa della propria reputazione, ben consapevole di quanto un “incidente” in tal senso possa determinare una perdita economica ingente.

Basti pensare a quanto è capitato recentemente a grandi gruppi industriali – uno su tutti, il data breach a carico della catena alberghiera Marriott Hotel, con la violazione di ben 500 milioni di nominativi di propri clienti contenuti nel proprio database (comprensivi di nome, cognome, indirizzo, numeri di telefono, email, dati dei documenti di identità e in molti casi anche delle carte di credito) – per capire quanto sia importante costruire, difendere e governare la propria reputazione commerciale.

È, quindi, evidente ed acclarato che, soprattutto nel mondo digitale, la brand reputation sia strettamente connessa anche alla capacità di un’azienda di garantire un’adeguata protezione dei dati personali che le sono affidati, come ci insegna, d’altra parte, lo stesso Regolamento Europeo 679/2016relativo alla protezione dei dati personali (a tutti noto come “GDPR”): “la violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone (…). Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore al momento in cui ne è venuto a conoscenza” (considerando n. 85); “il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie” (considerando n. 86).

Ecco cosa indica il GDPR

Questi principi vengono, poi, normativamente declinati e disciplinati dagli articoli 32 e seguenti del GDPR che – “tenuto conto a) dello stato dell’arte; b) dei costi di attuazione; c) della natura del contesto e delle finalità del trattamento; d) del rischio di probabilità e gravità dei diritti delle persone” – indicano alcuni strumenti tecnici ritenuti validi per garantire la sicurezza dei dati, prevenendo i danni tipici conseguenti ad un evento di data breach (pseudonimizzazione e cifratura, procedure di testing periodiche dei sistemi informatici, formazione del personale ecc.).

In questo contesto non deve, peraltro, essere dimenticato che un ruolo fondamentale è rivestito anche dall’adozione di opportune misure organizzative da parte del Titolare del trattamento sia sul fronte interno (la propria organizzazione) sia sul fronte esterno (ad esempio, i propri fornitori): le une senza le altre privano, infatti, di efficacia l’intero sistema di protezione ed è per questo che il GDPR le prende in esame entrambe, in particolare agli articoli 28 e 32.

Pensiamo, ad esempio, al danno reputazionale che può subire un’azienda operante nel mercato digitale a causa di un data breach sui dati dei propri clienti affidati ad un fornitore esterno / responsabile del trattamento ex art. 28 non adeguatamente verificato o controllato (o che ha mentito in merito alle misure di protezione che avrebbe dovuto adottare e che non ha, nella realtà, messo in atto): come sappiamo, il fatto che l’evento lesivo sia da attribuirsi alla responsabilità di un soggetto terzo rispetto al brand non è, infatti, sufficiente ad impedire il formarsi di un’opinione negativa circa l’inaffidabilità del brand stesso a tutelare i propri clienti.

L’adozione di validi strumenti di difesa diviene, quindi, fondamentale per un’azienda sia per evitare di incorrere nell’applicazione dell’art. 82 del GDPR – a mente del quale “chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” – sia perché l’inadeguatezza delle misure tecniche ed organizzative di un’azienda a presidio dei dati personali in suo possesso può, in aggiunta, avere conseguenze di lungo periodo proprio sotto il profilo della reputazione commerciale.

Questo tipo di danno, nell’era digitale, è tutt’altro che immateriale, se si considera che un evento di questo tipo può produrre a carico dell’azienda colpita:

  1. un danno emergente, sotto forma delle spese necessarie per ripristinare lo stato reputazionale originario, attraverso un’apposita “campagna reputazionale” on-line studiata ad hoc;
  2. un lucro cessante, consistente nel mancato guadagno conseguente alla perdita dei clienti già acquisiti che decidono, a causa della notizia di data breach, di recedere e/o risolvere i contratti;
  3. una perdita di chance, in relazione ai clienti potenziali che non si avvicineranno all’azienda perché hanno scoperto, magari attraverso una banale ricerca su internet, della vulnerabilità dell’impresa (e, quindi, della sua inaffidabilità) e, pertanto, si sono orientati verso un competitor o un altro prodotto/servizio.

Quantificare il danno subìto

La quantificazione economica di questo danno dovrà necessariamente essere calcolata su base probabilistica, ma si possono, comunque, utilizzare dati certi ed oggettivi, quali quelli statistici– per esempio, le attese di vendite di un certo periodo secondo il loro andamento storico – confrontati con il fatturato (minore) realizzato effettivamente dopo l’evento lesivo.

Inoltre, il danno reputazionale, nella sua componente on-line, può essere verificato anche tramite un’indagine affidata ad una società specializzata nella valutazione della web reputation, attraverso l’utilizzo di una molteplicità di fonti combinate tra loro: tale attività è prevalentemente fondata sull’analisi dell’identità digitale dell’azienda così come emerge dall’esame dei social media, delle più autorevoli fonti del web, del flusso di dati che genera in un certo periodo il nome della società o del brand, nonché dalla collocazione dell’azienda nei motori di ricerca.

La difficoltà di quantificare il valore della web reputationtrasformando il sentiment del popolo di Internet, che è un dato astratto, in un dato oggettivo di natura patrimoniale– può essere anche ottenuto analizzando la reputazione commerciale di un’azienda nel tempo tramite appositi algoritmi, in grado di comparare cronologicamente l’apprezzamento degli utenti del web sulla base di un paniere di elementi significativi in relazione ad una determinata azienda, generando un grafico esplicativo in grado di evidenziare in modo oggettivo l’andamento del valore reputazionale prima e dopo l’evento dannoso.

Sarà, inoltre, importante riuscire a individuare aspetti quali:

  • il numero di siti web in cui il contenuto lesivo è stato riprodotto;
  • il grado di difficoltà nell’eliminare il contenuto lesivo e la durata di permanenza del medesimo on-line;
  • la somma ragionevolmente stimabile per approntare un’adeguata campagna di riabilitazione della reputazione aziendale sul web.

Quest’ultimo costo – che si aggiunge alle più consuete voci di danno, quali la riduzione di fatturato e la perdita di clienti attuali e potenziali – può calcolarsi, per esempio, utilizzando come parametro di riferimento il costo di una campagna pubblicitaria idonea a contrastare gli effetti pregiudizievoli della notizia negativa con una efficace contro-comunicazione, in grado, a parità di media utilizzati, di:

  1. coprire il medesimo target di persone che hanno avuto conoscenza della prima notizia;
  2. essere ricordata da un significativo numero di utenti, anche a distanza nel tempo (almeno 6 mesi);
  3. modificare le percezioni (da negative a positive) in misura almeno pari alla prima notizia che ha leso la reputazione commerciale dell’azienda.

Naturalmente, ogni situazione avrà caratteristiche ed elementi di valutazione differenti ma deve, comunque, essere tenuta in debita considerazione che la peculiarità del danno da web reputation è data dalla sua maggiore diffusività e durata nel tempo (perché potenzialmente la notizia resta nel web a tempo indefinito) rispetto al rischio cui sono esposte le cosiddette imprese “brick and mortar”.

Ciò comporta, evidentemente, che l’onere risarcitorio a carico di chi è responsabile di tale danno sarà sensibilmente più elevato perché dovranno essere più intensi e rapidi gli interventi necessari per porre in essere misure compensative tempestive ed adeguate a contrastare la rapida espansione della notizia in tutto il web ed il suo effetto negativo sulla reputazione commerciale dell’azienda coinvolta.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5