L'analisi

Password mal protette, il caso Facebook è lezione anche per le aziende italiane: ecco perché

La Commissione per la protezione dei dati irlandese ha avviato un’indagine su Facebook per verificare la mancata compliance al GDPR: l’azienda ha informato l’autorità di aver conservato in chiaro milioni di password. Questo pone spunti di riflessione normativi utili alle aziende, anche italiane, per evitare pesanti sanzioni

26 Apr 2019

Facebook sotto inchiesta in Irlanda, per l’undicesima volta: si vuole accertare se non sia stato violato il GDPR nel conservare numerose password. La Commissione per la protezione dei dati locale infatti è stata informata del fatto che centinaia di milioni di password degli utenti di Facebook, Facebook Lite e Instagram sarebbero state memorizzate “in chiaro” sui server interni all’azienda.

La situazione pone un interessante monito anche per le aziende italiane: “Le misure di sicurezza non sono un’aggiunta, sono fondamentali – ha spiegato Francesco Pizzetti, docente di Diritto costituzionale all’Università di Torino -. Non predisporle non significa solo commettere una violazione dei doveri del titolare, ma attuare un trattamento illecito contrario a uno dei principi fondamentali del GDPR. Pochi lo sanno”. Vediamo come.

La normativa di riferimento

La Commissione per la protezione dei dati vuole “determinare se Facebook ha rispettato gli obblighi previsti dalle disposizioni pertinenti del GDPR”, si legge nella nota ufficiale dell’autorità irlandese diramata il 25 aprile 2019. L’ente conferma che in questa settimana è stata avviata un’inchiesta legale proprio per approfondire eventuali aspetti illeciti.

La normativa di riferimento è quella che fa capo all’articolo 32 del GDPR, “Sicurezza del trattamento”. Il testo spiega che il titolare del trattamento e il responsabile devono attuare misure “tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, adempimenti che includono:

  • pseudinimizzazione e cifratura dei dati personali
  • l’assicurare permanentemente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
  • l’essere in grado di ripristinare “tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”
  • procedure di test e valutazione dell’efficacia delle misure tecniche organizzative.

Il GDPR raccomanda di tener conto “dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”, raccomandando anche l’adozione di un codice di condotta e formazione dei dipendenti che si trovino a trattare i dati.

WHITEPAPER
Quali elementi considerare per capire se si è vulnerabili agli hacker?
IoT
Sicurezza

Ma non  solo questo articolo a occuparsi del tema: si parla di sicurezza anche nell’articolo 5 lettera F, cosa che rende le misure di sicurezza un principio fondamentale del GDPR. Per l’esperto Pizzetti “che il trattamento debba essere sicuro non è solo un obbligo del titolare ma, in base alla normativa dell’articolo 5 lettera F del GDPR, è un principio che deve essere applicato al trattamento”. L’articolo 5 spiega che “i dati devono essere trattati in modo da garantire un’adeguata sicurezza dei dati personali mediante misure tecniche organizzative adeguate sia da trattamenti non autorizzati o illeciti che dalla perdita”.

La lezione per le aziende italiane

La vicenda di Facebook – per altro sempre più ingarbugliata, mentre pende una multa da 3 miliardi di euro dalla FTC americana per il caso Cambridge Analytica – presenta un insegnamento anche alle altre aziende, comprese quelle italiane: “Le misure di sicurezza sono un aspetto fondamentale dei trattamenti dei dati personali. È chiaro che quale che sia la base giuridica per cui un’azienda possiede dati di persone fisiche, l’impresa deve assicurare un elevato livello di sicurezza. Facebook ha mostrato di essere carente al rispetto delle norme di sicurezza che il GDPR impone come elemento fondamentale del trattamento”.

Questo “deve far capire a tutte le imprese che la mancanza di misure adeguate costituisce non solo un rischio ma nel momento in cui viene accertata un illecito – aggiunge il giurista -. Le misure di sicurezza non sono un’aggiunta, sono essenziali. Non sono un elemento in più, se tratto dati senza aver adottato misure di sicurezza questo è di per sé un illecito”.

In caso di dubbi, il Garante della privacy è l’ente cui rivolgersi: “Si può chiedere all’Autorità garante se non si è sicuri che le misure non siano adeguate, può sempre capitare un incidente. Ma alle imprese italiane diciamo che sono misure essenziali“.

@RIPRODUZIONE RISERVATA