Cos’è un data breach? – È una violazione di sicurezza che comporta un rischio per le libertà e i diritti delle persone fisiche.
Più in particolare, consiste nella distruzione, perdita, modifica, divulgazione, accesso non autorizzato ovvero accidentale ai dati personali trattati dal Titolare del Trattamento.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità dei dati personali e della particolare categoria di dati di cui all’art. 9 GDPR.
Facciamo qualche esempio:
- vi è mai capitato di inviare un’e-mail alla persona sbagliata senza rendervene conto? Bene, tale distrazione potrebbe costituire un data breach!
Infatti, il contenuto dell’e-mail potrebbe rilevare dati a soggetti non autorizzati.
Ricordiamo che anche la sola lettura di dati personali di un soggetto diverso dal destinatario designato potenzialmente potrebbe arrecare un rischio ai diritti ed alle libertà delle persone fisiche;
- pensiamo al caso di furto o di perdita di dispositivi informatici aziendali contenenti dati personali che vengono trattati per conto del Titolare del trattamento.
Gli adempimenti – A seguito della violazione il Titolare del trattamento deve notificare al Garante per la Protezione dei dati personali entro 72 ore dall’evento, senza indebito ritardo, il data breach avvenuto, salvo che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche ai sensi e per gli effetti dell’art. 33 GDPR.
In relazione alla notifica sono state emanate “Linee guida in materia di notifica delle violazioni di dati personali (data breach notification)” – WP250, definite in base alle previsioni del Regolamento (UE) 2016/679” – adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017
Versione emendata e adottata il 6 febbraio 2018.
Tuttavia, il termine di 72 ore si riduce a 48 ore nel caso in cui oggetto della violazione siano i dati contenuti nel dossier sanitario secondo “Linee guida in materia di dossier sanitario” del 4 giugno 2015.
Inoltre, nel caso in cui la violazione dei dati comporti un rischio elevato per i diritti e le libertà delle persone fisiche il Titolare del trattamento deve informare l’Interessato mediante comunicazione del sinistro avvenuto ai sensi e per gli effetti dell’art. 34 GDPR.
Come gestire un data breach? – Una gestione efficiente di un Data Breach si basa su una corretta valutazione dei possibili rischi.
La valutazione del rischio consente al Titolare di individuare le misure adeguate al fine di mitigare il rischio e di prevenirlo per il futuro.
Inoltre, la valutazione consente altresì di stabilire se procedere o meno agli adempimenti di cui agli artt. 33 e 34 GDPR.
Si consiglia di effettuare la Valutazione del rischio secondo la metodologia individuata dalla Norma ISO/IEC 31000:2018 seguendo il ciclo di PDCA, acronimo dall’inglese Plan–Do–Check–Act, in italiano “Pianificare – Fare – Verificare – Agire”.
Attenzione, la valutazione del “rischio privacy” va distinta dalla valutazione del rischio effettua nella Valutazione D’Impatto c.d. DPIA (Data Protection Impact Assessment) ex art. 35 GDPR in quanto la prima è volta all’analisi delle cause, delle conseguenze e dei rimedi dell’evento negativo verificatosi in concreto mentre nel secondo caso si analizzano in astratto le conseguenze eventuali per eventi probabili.
Come prevenire i costi – I costi relativi alle sanzioni e i mancati ricavi dovuti agli attacchi informatici o da qualsiasi violazione dei dati personali trattati dal Titolare del trattamento costituiscono la maggior preoccupazione dei top manager/dirigenti.
L’allarme deriva dall’entrata in vigore del Regolamento UE 2016/679 (GDPR) e del D. Lgs. 101/2018 garantendo una tutela rafforzata dei dati personali anche tramite la previsione di sanzioni economicamente incisive nel caso di data breach.
Infatti, la mancata corretta gestione di una violazione dei dati personali può determinare l’irrogazione da parte dell’Autorità di Controllo – Garante Privacy – di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 GDPR.
Parliamo di sanzioni fino a 20.000.000,00 di euro e fino al 4% del fatturato mondiale annuo, dell’esercizio precedente.
Il rimedio, dunque, consiste nell’adottare una procedura aziendale da seguire in caso di violazione.
Tale protocollo aziendale ha l’obiettivo di descrivere – e mostrare all’Autorità – la corretta gestione del sinistro privacy e l’adeguatezza delle misure adottate per riparare il danno.
Attenzione, va ribadito che a seguito di una violazione e alle conseguenti azioni va rivalutato il rischio-privacy, in quanto le misure adottate possono ridurre ulteriormente l’esposizione agli attacchi e/o alle violazioni di qualsiasi genere.
