Un incendio ieri a Strasburgo ha devastato un intero edificio di quattro piani in cui erano ospitati alcuni server di uno dei principali fornitori europei di infrastrutture cloud. L’incidente fortunatamente non ha provocato vittime, ed è stato domato, dopo diverse ore, dai vigili del fuoco intervenuti. Il problema principale ora riguarda gli importanti disagi che molte aziende italiane, che dipendono per la messa online di siti web e mail dall’hosting francese, stanno subendo, dal punto di vista economico, ma soprattutto da quello legato alla perdita di informazioni e dati, in alcuni casi anche sensibili, archiviati nei server andati ormai distrutti.
Per le aziende che loro malgrado si sono trovate coinvolte nell’accaduto si aprono, da un punto di vista legale, due diversi scenari per tutelarsi.
“Le aziende prima di poter procedere con un’azione legale nei confronti del data center – commenta l’avvocato Rita Santaniello, partner di Rödl & Partner, studio legale presente in 50 paesi nel mondo con sede anche a Padova – devono verificare se ci siano state omissioni dello stesso nell’attuazione di tutte le misure tecnico-organizzative previste dal regolamento GDPR e dalla normativa Cyber Security. In caso queste mancanze siano state riscontrate è opportuno verificare se a livello contrattuale ci siano delle clausole che limitino la responsabilità del data center nei confronti dell’azienda e se esista anche un liability cap, ovvero un limite di responsabilità nel risarcimento economico dei danni. Verificato queste tutte queste condizioni l’azienda può procedere con un’azione legale.”
Anche l’azienda stessa, però, in quanto titolare del trattamento dei dati presenti sul proprio sito deve mettere in atto alcune importanti verifiche in merito a perdita dei dati personali, indisponibilità di reti e sistemi e perdita di know-how aziendale.
“In caso di perdita di dati occorre verificare se si tratta di un data breach ex art. 33 GDPR e nel caso inviare una notifica al Garante competente entro 72 ore – commenta l’avvocato Nadia Martini, partner e Head of data protection dello studio legale Rödl & Partner – per l’Indisponibilità delle reti è, invece, necessario verificare se si tratti di un incidente di impatto rilevante secondo la normativa NIS e Cyber Security, che impone agli Stati Membri dell’Unione l’adozione di una serie di misure comuni per la sicurezza delle reti e dei sistemi informativi, e notificarla, entro 24 ore dall’accaduto, allo CSIRT (Computer Security Incident Response Team), la struttura che ha la responsabilità di monitorare, intercettare, analizzare e rispondere alle minacce cyber. In merito, invece, alla perdita di know-how occorre accertare se vi è stata una violazione dello stesso e se occorra informarne le controparti. In tutti questi i casi, occorre documentare le misure tecniche e organizzative messe a terra per prevenire i fatti o impedire che ricapitino, in particolare le più rilevanti riguardano policy e procedure.”