COME COMPORTARSI IN CASO DI DATA BREACH

/in , , /da

Il Data Breach (in italiano „violazione dei dati personali”) è definito dall’art. 4 del Regolamento europeo 2016/679 (GDPR) come: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“. 

Un malinteso comune è pensare che il data breach si configuri solamente in caso di evento doloso (come ad esempio un attacco informatico), non è così. Difatti può trattarsi anche di un evento accidentale, come un accesso abusivo, un incidente (ad esempio inondazione o incendio), il furto di un notebook, finanche la semplice perdita di una chiavetta USB.

Cosa fare nel malaugurato caso in cui si subisca una violazione? A chi comunicarla? Come farlo?  

  • Notifica all’Autorità di controllo

In caso di violazione dei dati il Titolare dovrà notificare l’evento all’autorità di controllo.  L’art. 33 del GDPR prevede un obbligo generale di notificare alle autorità di controllo la violazione dei dati, in Italia è il Garante per la protezione dei dati personali.
Ci sono però delle eccezioni, non sussiste infatti l’obbligo di notificare il data breach nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (per esempio nel caso di perdita di una chiavetta usb che ha i dati cifrati).
La notifica deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” il Titolare. Qualora la notifica non avvenga nelle 72 ore, il titolare dovrà indicare i motivi del ritardo.
Ai sensi dell’art. 33 del GDPR la notifica deve descrivere la natura della violazione dei dati personali, le categorie e il numero approssimativo dei soggetti interessati; (nei casi in cui ci sia) comunicare il nome e i dati di contatto del Responsabile della protezione dei dati personali; descrivere le possibili conseguenze della violazione dei dati personali; infine descrivere le misure adottate o quelle che si vorrebbero adottare dal Titolare per porre rimedio alla violazione dei dati personali, per attenuare il più possibile gli effetti negativi.

  • Comunicazione ai soggetti Interessati

Il Titolare non è sempre tenuto a comunicare ai soggetti Interessati l’avvenuta violazione, poiché ciò potrebbe causare un allarme generalizzato e portare ad un notevole danno reputazionale. Pertanto, l’obbligo di comunicare la violazione, sussiste solo se è suscettibile di configurare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte. Il titolare del trattamento deve comunicare la violazione dei dati all’interessato senza ingiustificato ritardo (art. 34).
I casi nei quali tale comunicazione non è necessaria sono espressamente previsti nell’art 34 del GDPR, ovvero quando il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione (quali la cifratura); quando il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
oppure se la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece con una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

  • Obbligo di documentazione e sanzioni

Il Titolare ha l’obbligo di documentare i data breach subiti tramite un apposito registro delle violazioni. Tale registro dovrà essere fornito al Garante per la protezione dei dati personali in caso di accertamenti. Il registro dovrà contenere le seguenti informazioni:
– data e ora della violazione;
– sorgente dell’informazione sulla violazione;
– conseguenze della violazione;
– data o ora della notifica della violazione all’autorità di controllo;
– motivo per il quale la violazione è stata ritardata o non è stata comunicata all’autorità di controllo;
– cause della violazione;
– provvedimenti adottati a seguito della violazione. 
In caso di mancata ottemperanza alle procedure di notifica del data breach si rischiano sanzioni amministrative che possono arrivare fino a 10 milioni di euro, oppure al 2% del fatturato dell’intero gruppo societario (e non soltanto della singola società), se questo è maggiore di 10 milioni. Se dovessero constatarsi anche delle misure di sicurezza inadeguate, si incorre nel rischio di un’altra sanzione, cumulabile alla prima.

Vista la severità delle sanzioni che possono essere comminate dal Garante, nonché la facilità con la quale possono essere accertate, conviene tenere in debita considerazione la compliance alle disposizioni del GDPR.