Cosa sarebbe successo se WannaCry fosse avvenuto dopo il GDPR

In modo simile l’articolo 5.1 precisa:
“I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)”.
Inoltre l’articolo 32 afferma:
“L’addetto al controllo dei dati o chi segue il processo dovrebbe tenere in considerazione lo stato dell’arte per implementare misure tecniche e organizzative appropriate per assicurare un livello di sicurezza appropriato al rischio. Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.
Viste le modalità che hanno portato all’attacco WannaCry, ogni azienda che gestisce dati di clienti che sono stati colpiti da WannaCry potrebbe essere colpevole di aver permesso il trattamento non autorizzato o illegale di questi dati. Tecnicamente è stata subita anche una violazione di dati personali, nonostante nessun dato sia stato rubato, in virtù del fatto che questi dati sono stati persi o distrutti nell’attacco ransomware.
E le cose si aggravano se pensiamo che nel momento in cui una patch ufficiale di Microsoft era a disposizione settimane prima dell’attacco, le organizzazioni colpite hanno fallito nel prendere adeguate misure di sicurezza. Se insomma l’attacco di WannaCry fosse avvenuto dopo il 25 maggio del 2018, le aziende sarebbero state responsabili anche di non essere in regola con i principi del GDPR e, come sappiamo, le multe in questo caso potrebbero raggiungere il 4% del fatturato annuo o i 20 milioni di euro.