In questo articolo vediamo cos’è un data breach e come si notifica una violazione dei dati personali al Garante.
Cos’è un data breach
L’espressione data breach indica una violazione dei dati personali trattati da un’azienda o da una pubblica amministrazione. Secondo l’articolo 4 del GDPR, il Regolamento Europeo sulla Protezione dei Dati Personali, una violazione dei dati personali si verifica quando c’è una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Esempi di data breach
Quando si parla di data breach, il primo caso che viene in mente è quello di una persona non autorizzata che acquisisce dati personali o vi ha comunque accesso, il più delle volte collegandosi da remoto al Pc che contiene tali dati.
Un altro caso riguarda l’impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni con virus informatici.
Anche la deliberata alterazione dei dati personali o la loro divulgazione non autorizzata rappresentano esempi di violazione.
Un’altra ipotesi è il furto o la perdita di dispositivi informatici che contengono dati personali. Si tratta di un evento più frequente di quanto crediamo. Ogni volta che perdiamo o ci rubano il Pc portatile che contiene dati personali trattati dall’azienda o dalla PA per cui lavoriamo, si verifica una violazione di dati personali.
Infine, abbiamo violazione quando c’è perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità.
Quali danni provoca un data breach
Se non si affronta subito e nella maniera giusta, un data breach può provocare danni materiali, immateriali e persino fisici alla persona titolare dei dati.
Tra i possibili effetti negativi di un data breach abbiamo:
› perdita del controllo dei dati personali
› limitazione dei diritti
› furto o usurpazione d’identità
› perdite finanziarie e danni economici
› decifratura non autorizzata della pseudonimizzazione
› danni alla reputazione
› perdita di riservatezza dei dati personali protetti da segreto professionale
Cosa bisogna fare in caso di data breach
Quando siamo in presenza di una violazione di dati personali, bisogna innanzitutto valutare se possono avere effetti negativi significativi sugli individui, causando uno dei danni visti prima. Solo in presenza di possibili effetti negativi si può procedere con la notificazione del data breach. Le azioni da compiere sono diverse per responsabile del trattamento e titolare del trattamento.
Venuto a conoscenza della violazione, il responsabile del trattamento deve subito informare il titolare del trattamento, per permettergli di attivarsi.
Il titolare del trattamento deve, a sua volta, notificare la violazione al Garante per la protezione dei dati personali.
Al Garante va presentata una notifica tempestiva, senza ingiustificato ritardo e, possibilmente, entro 72 ore dal momento in cui si è venuti a conoscenza del data breach. Le notifiche fatte dopo le 72 ore devono essere motivate.
La notifica è sempre obbligatoria, tranne se il titolare dimostra che è improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.
Se invece questo rischio c’è, il titolare deve comunicare la violazione a tutti gli interessati, usando i canali più idonei, a meno che si sia già attivato per ridurne l’impatto.
Indipendentemente dalle notifiche al Garante, il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, tenendo un registro aggiornato. Questo registro servirà all’autorità per verificare il corretto rispetto delle norme.
Come si notifica un data breach al Garante Privacy
Dal 1° luglio 2021, la notifica di una violazione di dati personali si invia al Garante con una procedura online, tramite il portale dell’Authority. Nella pagina dedicata ci sono 6 sezioni.
Auto valutazione
In questa sezione, rispondendo a poche semplici domande, si fa una prima autovalutazione per capire se abbiamo subito un data breach oppure no.
Compilazione della notifica
Se dalla valutazione viene fuori che c’è stata violazione, tramite questa pagina del sito avviene la notifica vera e propria. La notifica prevede la compilazione online di numerose sezioni, utili a fornire al Garante tutte le informazioni che gli servono per potersi attivare.
Le prime informazioni da inserire sono nome, cognome ed email di chi effettua la notifica. A questo punto il sistema invia all’email indicata una guida con tutte le indicazioni necessarie per continuare la notifica.
In sintesi, le informazioni richieste riguardano il titolare (o un suo rappresentante) e il responsabile del trattamento; eventuali soggetti coinvolti; informazioni sulla violazione e sui possibili effetti prodotti; le misure adottate in seguito alla violazione; la valutazione del rischio per gli interessati; l’avvenuta comunicazione della violazione agli interessati; informazioni circa un’eventuale violazione transfrontaliera o che riguardano un trattamento effettuato da un titolare stabilito fuori dallo Spazio Economico Europeo.
Per ora la notifica può essere inviata solo dopo essere stata firmata digitalmente, ma il sito del Garante riporta che prossimamente per inviare una notifica basterà autenticarsi con l’identità digitale (CIE, SPID, eIDAS, CNS).
Le altre sezioni
Le altre 4 sezioni della pagina hanno carattere istruttivo/informativo e sono le seguenti:
• Istruzioni, relative alla compilazione.
• Informativa sul trattamento dei dati personali.
• Pagina con informazioni generali sulla violazione dei dati personali.
• Un fac-simile del modello che deve essere compilato.
Azioni e sanzioni del Garante per un data breach
Venuto a conoscenza di una violazione di dati personali o di una violazione del GDPR, il Garante può intervenire prescrivendo misure correttive. Queste possono riguardare anche l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Inoltre, sono previste sanzioni pecuniarie per chi subisce il data breach, per non aver protetto adeguatamente i propri dati. Le sanzioni possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
