La disponibilità del dato

Spesso ci si dimentica che il GDPR classifica come data breach non solo la diffusione incontrollata di un dato ma anche sua perdita definitiva e la sua indisponibilità temporanea. Certo, occorre poi valutare l’impatto concreto: è evidente che se una parrucchiera per un’ora non riesce ad accedere ai dati delle clienti è un conto, se un pronto soccorso è bloccato per mezz’ora è un altro. Tuttavia sia il Garante che la giurisprudenza ordinaria non sono molto tolleranti in caso di perdita di dati, in quanto è relativamente semplice mettere in atto contromisure: non è accettabile, ad esempio, che la contabilità aziendale sia su un solo disco e venga distrutta da un guasto, senza che vi sia la possibilità di recuperare un backup. In quest’ottica la sentenza di Cassazione 45044/2022. Ma vedremo se i vari Garanti europei decideranno di intervenire a fronte del down di Internet dell’altro giorno: alla fine è risultato che il grande attacco hacker annunciato dai media era uno script di quattro righe che sfruttava una vulnerabilità risolta due anni fa, precisamente il 23 febbraio 2021. Se non fai manutenzione al sistema non puoi lamentarti, così come se lasci la porta di casa spalancata non si può parlare di furto con destrezza. Certo, se vivessimo in un mondo ideale si potrebbe lasciare la macchina aperta con le chiavi sul cruscotto, ma nel mondo reale anche una leggerezza nel proteggersi è da considerarsi una responsabilità.

L’attacco informatico dovuto al mancato aggiornamento

2023-02-08-Cassazione-Sentenza-45044-2022