Furto e vendita dati: come ci si può proteggere dai pericoli interni?
Ecco alcune istruzioni per il Social Media Manager.
Dipendenti e collaboratori possono essere vere falle nel sistema di protezione dei dati e gestione della Privacy. Non solo disattenzioni, furto e vendita dati, data breach; adesso abbiamo la prova che in ogni azienda possiamo trovare un traditore al suo interno.
E’ di alcuni giorni fa la notizia di un’operazione della Polizia Postale che ha scoperto come alcuni dipendenti di TIM avessero messo in vendita i dati personali degli utenti. Tredici ai domiciliari e sette in carcere. Coinvolti non solo impiegati, ma anche ovviamente intermediari che si occupavano di tenere i contatti e, ovviamente, andare a rivendere i dati a qualche azienda di marketing, di profilazione o direttamente alla concorrenza. Le indagini sono ancora in corso e sono nate da una denuncia della stessa TIM che, almeno sotto questo punto di vista, si è dimostrata attenta. Sicuramente sarà stata fatta anche una segnalazione al Garante che emetterà i provvedimenti di sua competenza. Dalla cronaca sembra che siano stati sottratti i dati di oltre un milione di utenti e che il guadagno per ogni contratto concluso fosse di quattrocento euro. Una cifra importante se pensiamo ai numeri complessivi. Gli acquirenti? Sembra i call center che, alla faccia del GDPR e dei divieti imposti, sembra che non siano toccati dalla cosa. Forse qualche pesante sanzione da parte del Garante potrebbe essere un segnale.
I dati più richiesti? Sembra quelli registrati per i reclami. Quale migliore occasione, infatti, di chi è scontento di un servizio per offrirgli un’alternativa?
Adesso è giunto il momento per un Social Media Manager, e per le società che utilizzano questa figura ormai sempre più indispensabile per essere presenti e visibili sul mercato, di capire a quali dati in loro possesso potrebbe interessarsi qualche criminale informatico. Apparentemente, infatti, e come purtroppo qualcuno continua a ritenere, il SMM non lavorerebbe con i dati e non ne entrerebbe in possesso.
Sul punto si vogliono ribadire due aspetti fondamentali. Il primo è che, come ogni imprenditore, un SMM è soggetto al GDPR in quanto deve concludere accordi con clienti, fornitori e collaboratori e, pertanto, non può sottrarsi ad un preciso obbligo di legge. Il secondo punto è che, sostituendosi di fatto al suo cliente o, peggio ancora, a quello dell’agenzia per cui lavora, il SMM ha la disponibilità a una quantità inimmaginabile di immagini, nomi, like e interazioni. Perché anche un like è un dato personale. Ai sensi del GDPR, infatti, per dato personale intendiamo “ogni informazione che non solo individui una persona, la renda identificabile, direttamente o indirettamente, ivi compresi gli identificativi on line quali gli elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” E sotto questo punto di vista cosa altro può rendere identificabile una persona di un patrimonio di like e manifestazioni di preferenze su determinati argomenti?
Tutti questi dati costituiscono un patrimonio inestimabile per un’azienda, un professionista, un personaggio pubblico che voglia incrementare la propria visibilità o che aspiri a diventare a sua volta un volto del web. E’ chiaro che si tratta di dati di proprietà di chi li ha legittimamente raccolti, ottenendo in tal senso il consenso al trattamento, ma chi ci mette le mani, li gestisce e tratta dal proprio computer o altro strumento adeguato, è il SMM. Non solo; è estremamente probabile anche che il SMM possa essere completamente sconosciuto al cliente ultimo e ai suoi fan e follower: quante aziende o personaggi vorrebbero far sapere al loro pubblico che le risposte e i commenti sono materialmente scritti da un’altra persona? Ed un ulteriore aspetto da considerare: il SMM è figura interna di un’azienda che cura l’immagine del cliente ultimo o è, come più spesso accade, una figura esterna?
Si tratta di aspetti di non poco rilievo che assumono una fondamentale importanza sia a livello giuridico per la costruzione di contratti che tutelino tutte le parti, sia per la gestione ed il trattamento dei dati: cosa accadrebbe se, ad esempio, un hacker si impadronisse di un database di clienti di un’azienda o follower di un politico bucando l’account del SMM? Altra situazione da considerare, alla luce della vicenda TIM.
Premesso che il furto e vendita dati è reato di cui risponde chi lo ha commesso, cosa accadrebbe nei rapporti tra le parti, la gestione del data breach e l’eventuale irrogazione di sanzioni da parte del Garante? E se un collaboratore del SMM si lasciasse corrompere come i dipendenti infedeli di TIM per avere quei dati?
In questo contesto si intrecciano interessi e peculiarità tali da imporre un’attenta analisi preventiva dei rapporti, delle attività richieste a ciascuno dei players e creare strumenti contrattuali e lettere di nomina e incarico che cerchino di salvaguardare tutte le posizioni, oltre ad una costante formazione degli operatori anche per evitare furto e vendita dati.
Gianni Dell’Aiuto
Avvocato – Data Protector Officer
Per approfondire leggi anche: https://www.emeracomunicazione.it/2020/06/12/il-contratto-del-social-media-manager-2/