Il Data Breach – GDPR

Data breach vuol dire letteralmente violazione dei dati personali.

Come sappiamo, le disposizioni contenute nel GDPR sono volte a garantire la sicurezza dei dati personali, proteggendoli da trattamenti illeciti e non autorizzati, e prevenendone la distruzione accidentale o eventuali danni, come comportarci allora in caso di Data breach?

Che cos’è il Data breach?

La definizione di Data breach la troviamo all’articolo 4 del GDPR, ove per Violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Risulta chiaro che i dati personali vanno conservati in modo tale da non lasciare punti deboli, ipoteticamente soggetti a violazioni che possano compromettere il loro riserbo, continua a leggere per sapere come metterli in piena sicurezza.

Quali possono essere le violazioni dei dati personali?

Come prima cosa devi conoscere a quali violazioni sono soggetti i dati personali.

La violazione dei dati personali non è causata da qualunque incidente di sicurezza, è necessario che la salvaguardia dei dati venga infranta in maniera effettiva.

Alcuni esempi sono il furto dei dati tramite hackeraggio, o anche il furto dei dispositivi contenenti i dati personali, lo smarrimento degli stessi, l’acquisizione dei dati da parte di terzi estranei non autorizzati, la loro divulgazione senza assenso dell’interessato, l’alterazione volontaria ed anche accidentale di dati personali, la loro distruzione per via di virus o malware, od anche la distruzione dovuta a calamità come terremoti, incendi ecc..

le violazioni possono dunque essere classificate in tre modi distinti:

  • Violazione della riservatezza quando vi è la divulgazione non autorizzata dei dati personali di un soggetto.
  • Violazione dell’integrità quando vi è una modifica non autorizzata dei dati personali.
  • Violazione della disponibilità quando i dati personali vengono persi o distrutti accidentalmente o volontariamente senza autorizzazione.

Quali sono le conseguenze del Data breach?

La violazione dei dati personali può avere un impatto gravissimo nella vita dell’interessato, intanto perché vi è una lesione della riservatezza, ma la violazione può intaccare anche la disponibilità e l’integrità dei dati stessi. Si pensi al furto di identità, che avviene spesso tramite social network, dove una persona fisica utilizza le foto ed il nome di un altro soggetto, anche per fini illeciti. La violazione dei dati può comportare altresì delle perdite finanziarie ed economiche, come nel furto di dati relativi a conti correnti o carte prepagate e password. Altro rischio è quello della perdita del riserbo dei dati personali protetti da segreto professionale, ove gli stessi vengano divulgati da terze persone che se ne sono impossessate illecitamente, con grave pregiudizio anche per la reputazione sia del professionista che dell’interessato.

L’obbligo di notifica all’autorità di controllo.

Per evitare importanti ripercussioni nei confronti dell’interessato, il Regolamento impone al Titolare del trattamento di notificare le violazioni all’Autorità di controllo competente senza ingiustificato ritardo, e possibilmente entro 72 ore da quando ne è venuto a conoscenza, a meno che non vi sia una scarsa probabilità che si verifichino gli effetti negativi, o sia improbabile che vi sia un rischio effettivo per i diritti e le libertà delle persone fisiche.

Se le probabilità che gli effetti negativi si realizzino è alta, il Regolamento impone al Titolare del trattamento di comunicare la violazione anche alla persona fisica interessata.

Spetta al Titolare del trattamento la valutazione della violazione, con la conseguente decisione di notificare l’accaduto all’autorità di controllo, il considerando 87 del Regolamento ribadisce l’importanza per il Titolare, di saper identificare la violazione, difatti è opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato.

Cosa deve contenere la notifica?

La notifica da fare all’autorità di controllo competente deve necessariamente:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Come fare la notifica?

Il Garante per la protezione dei dati personali ha chiarito in che modo va fatta la segnalazione della violazione dei dati personali.

E’ previsto che la notifica al Garante venga fatta tramite l’indirizzo di posta elettronica certificata protocollo@pec.gdpr.it, oppure tramite l’indirizzo di posta elettronica ordinaria protocollo@gdpr.it.

La notifica deve essere firmata digitalmente o con firma autografa, con allegato un documento di riconoscimento.

L’oggetto della email deve essere Notifica violazione dati personali, inserendo eventualmente anche la denominazione del Titolare del trattamento.

Cosa succede se non viene fatta la notifica?

La mancata notifica di una violazione dei dati personali è sintomo dell’inadeguatezza delle misure di sicurezza adottate dal Titolare, che non si accorge nemmeno della Violazione. L’Autorità di controllo può dunque applicare delle sanzioni, proporzionate alla violazione, volte a dissuadere successive violazioni, nonché punire la negligenza del Titolare del Trattamento che non ha fatto la notifica.

Come prevenire il Data breach?

Viste le importanti conseguenze della Violazione dei dati personali, è bene prevenire il più possibile il Data breach, mettendo in atto alcuni accorgimenti per la sicurezza del Trattamento dei dati.

Gli accorgimenti che si possono adottare sono vari, e dipendono dalla tipologia dei dati trattati, e se questi si trovino all’interno di strumenti elettronici/informatici o cartacei. Per capire la metodologia più adatta a prevenire la Violazione dei dati personali che ti trovi a trattare nella tua azienda, o per il tuo lavoro, non esitare a contattarci per avere una consulenza personalizzata.

E’ importante effettuare dei controlli periodici, conducendo regolarmente dei test di verifica per testare la sicurezza delle procedure adottate per prevenire le violazioni.

Puoi mettere al sicuro la tua azienda e la tua attività lavorativa anche stipulando una polizza assicurativa che ti tuteli contro il rischio di Data Breach. In questo caso eventuali danni per la Violazione dei dati personali verranno risarciti dall’assicurazione, che pagherà anche eventuali spese legali.

La conoscenza è la miglior difesa, non rischiare di trovarti impreparato alle conseguenze del Data Breach, prenota la tua consulenza personalizzata cliccando qui.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *