Il concetto di reputazione non è certamente nuovo al diritto, ma l’avvento del web e dei social media ha enormemente ampliato le occasioni di una sua lesione, con conseguente danno per le aziende.
La reputazione è tradizionalmente definita come la considerazione di cui un individuo gode nell’ambiente sociale in cui vive ed opera; per quanto riguarda le persone giuridiche, già da tempo la Suprema Corte di Cassazione ha sancito la risarcibilità, ex art. 2043 c.c., della lesione della reputazione commerciale (la cosiddetta brand reputation) dell’impresa che subisce un danno di immagine per il fatto di un proprio dipendente o di un dirigente o, ancora, di un concorrente.
Nell’era del web, la nozione di danno alla reputazione commerciale si è evoluta o, se vogliamo, ha trovato la sua maturità: “la reputazione è fondamentale, sia essa riferita alla persona (Personal Reputation) o a un’azienda (Brand Reputation), tanto nella sua declinazione offline quanto online (sempre che la distinzione abbia oggi ancora senso di esistere). Ogni azienda mette oggi il monitoraggio e la difesa della propria reputazione tra le priorità, ben consapevole di quanto un “incidente” in tal senso possa rappresentare una perdita ingente – anche e soprattutto economica.
Basti pensare a quanto è capitato recentemente a grandi gruppi per capire quanto effettivamente sia importante costruire, difendere e governare la propria reputazione. Collegato al danno reputazionale, anch’esso avvertito come sempre più importante a livello globale, troviamo il rischio di attacco informatico (data breach)”.
E’ solo il caso di ricordare il recente caso di data breach subito da “Equifax”, dove i dati (finanziari) di 143 milioni di americani sono stati trafugati da una violazione on-line dei sistemi informatici dell’azienda, causando alla stessa ingenti danni reputazionali, con gravissimi risvolti economici: i siti finanziari hanno, infatti, evidenziato come “dallo scorso 7 settembre, giorno in cui la società di controllo dei crediti ha comunicato le pesanti violazioni, il titolo ha perso il 32% del suo valore“.
La brand reputation è, quindi, strettamente connessa alla capacità di un’azienda di garantire un’adeguata protezione dei dati personali che le sono affidati.
L’Unione Europea, con il Regolamento 679/2016 (GDPR) ha sancito in modo inequivocabile l’importanza di prevenire casi di data breach, affermando che “la violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche (…). Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore al momento in cui ne è venuto a conoscenza” (considerando n. 85); inoltre, “il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie” (considerando n. 86).
Il Regolamento, inoltre, impone che “siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione” (considerando n. 87), anche mediante “valutazioni di impatto sulla protezione dei dati” (considerando n. 92).
Questi principi vengono normativamente disciplinati dagli articoli 32 e seguenti del Regolamento che – tenuto conto a) dello stato dell’arte; b) dei costi di attuazione; c) della natura del contesto e delle finalità del trattamento; d) del rischio di probabilità e gravità dei diritti delle persone – indica alcuni strumenti tecnici ritenuti validi per garantire la sicurezza dei dati e prevenire casi di data breach.
Questi strumenti sono la pseudonimizzazione e la cifratura, le procedure di testing periodiche dei sistemi informatici, l’adozione di codici di condotta e/o di meccanismi di certificazione.
L’adozione di questi strumenti diventa, poi, fondamentale se si considera che l’art. 82 del Regolamento prevede che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Considerato che gli adempimenti previsti dal GDPR per la prevenzione e la gestione di casi di data breach non sono più limitati, come in passato, ai soli fornitori di servizi di comunicazione elettronica accessibili al pubblico ma riguardano, ora, tutti i titolari del trattamento che detengono o trattano dati personali in funzione della propria attività, si comprende l’importanza che riveste per le aziende verificare i propri sistemi e modelli organizzativi di prevenzione con congruo in anticipo rispetto alla scadenza del 25 maggio 2018.
Se avete domande, commenti o richieste di chiarimenti, potete utilizzare il form qui sotto e vi risponderò nel più breve tempo possibile.