Il Data Breach, traducibile in italiano con “violazione intenzionale dei dati personali”, è appunto una violazione di sicurezza che comporta la dispersione da parte di un’azienda dei dati personali trattati.
Con ciò, si intendono tutti quegli eventi che hanno come risultato la distruzione, la perdita, la divulgazione o l’accesso non autorizzato ai dati personali trasmessi dagli utenti di un servizio.
All’interno del GDPR vi è un’ampia area dedicata alla casistica del data breach, e cosa fare in caso di perdita di dati.
Facciamo chiarezza.
- Data Breach e GDPR: quali tipi di violazione dei dati esistono?
- Violazione dati: che cosa fare
- Data Breach e notifica di violazione dei dati: che cosa c’è da sapere
- Violazione Privacy: quando è obbligatorio effettuare una notifica
Data Breach e GDPR: quali tipi di violazione dei dati esistono?
I tipi di violazione dei dati personali sono di sei tipologie, che cambiano nome a seconda della volontà o meno di compierle:
- Accesso non autorizzato: questo caso si verifica quando certe informazioni vengono viste da qualcuno. Se ciò è fatto intenzionalmente, cambia nome in spionaggio
- Copia non autorizzata: quando qualcuno copia dei dati dei quali non poteva impossessarsi. Se ciò è fatto intenzionalmente, cambia nome in furto
- Divulgazione non prevista: quando qualcuno diffonde accidentalmente dei dati. Se ciò è fatto intenzionalmente, cambia nome in diffusione
- Modifica non autorizzata: quando qualcuno modifica accidentalmente dei dati che non poteva o doveva modificare. Se ciò è fatto intenzionalmente, cambia nome in compromissione
- Perdita di accesso: Quando qualcuno perde delle informazioni, rendendole non più disponibili. Se quest’ultima azione è compiuta intenzionalmente, la violazione cambia nome in cifratura
- Cancellazione dei dati: qualcuno cancella l’ultima o l’unica fonte di determinate informazioni. Se ciò è fatto intenzionalmente, cambia nome in distruzione volontaria.
Violazione dati: che cosa fare
Il GDPR disciplina il data breach prevede espressamente un obbligo di notifica: nei momenti immediatamente successivi ad un – o ad un sospetto- evento di Data Breach, l’azienda sarà costretta, nelle vesti del Data Protection Officer (DPO), a notificare del fatto i proprietari dei dati personali entro 72 ore dal momento in cui si è venuti a conoscenza della violazione.
Eventuali ritardi dovranno essere motivati, a meno che la violazione dei dati personali non presenti alcun rischio per le persone fisiche.
Su questo punto il GDPR si distanzia molto dalla Direttiva 95/46/CE che, al contrario, non prevedeva alcun obbligo generalizzato di notifica.
Data Breach e notifica di violazione dei dati: che cosa c’è da sapere
Secondo l’Art. 33, il corso d’azione in caso di data breach si articola in 5 punti:
- La notifica dovrà essere comunicata all’Autorità di controllo competente – il Garante Privacy – entro 72 oreInoltre, ciascuna violazione dei dati dovrà essere notificata all’autorità di controllo dello Stato Membro in cui si è verificata
- I responsabili del trattamento, ossia coloro che utilizzano in prima persona i dati personali, in caso di violazione dovranno notificare i titolari e non il Garante
- Nella notifica al Garante, sono obbligatorie una serie di informazioni: natura della violazione, l’ammontare approssimativo del numero di persone interessate, dati di contatto del responsabile della protezione dei dati, possibili conseguenze della violazione, misure adottate
- Le informazioni appena elencate, in caso di mancata disponibilità immediata, dovranno essere notificate successivamente
- Tutti i tipi di violazione dovranno essere documentati secondo il principio dell’accountability
Se per la violazione dei dati che si verifica in uno stato membro la notifica deve essere presentata all’autorità garante dello stato, lo scenario si complica nel caso in cui la violazione dei dati superi i confini nazionali.
In questo ultimo caso, infatti, si ricorre al meccanismo dell’autorità capofila previsto dall’art.56 del GDPR, ovvero l’autorità garante situata nello stato dove si trova la sede principale del titolare o del responsabile.
Oltre agli obblighi di notifica all’autorità competente, l’art 34 del GDPR prevede per il titolare dei dati anche un obbligo di notifica e comunicazione dell’avvenuta violazione anche agli interessati dei dati. Se per la notifica è necessario un rischio semplice, per la comunicazione è invece necessario aver rilevato un rischio elevato.
Anche in questo caso, contenuto del messaggio e modalità di effettuazione della comunicazione hanno un ruolo importante. Ai diretti interessati dei dati infatti la comunicazione dovrebbe arrivare mediante mezzi diretti, quando possibile, quali, ad esempio, email ed SMS ed in modalità chiare che evitino possibili fraintendimenti.
Violazione Privacy: quando è obbligatorio effettuare una notifica
In recepimento alla normativa Europea, anche il nostro Codice Privacy ha introdotto un obbligo di notifica per i data breach: la necessità di procedura sussiste nel caso in cui vi è la probabilità che la violazione possa porre a rischio o a elevato rischio le libertà e i diritti delle persone fisiche che a loro tempo hanno comunicato i dati.
Nel primo caso, la notifica all’autorità sarà sufficiente; nel secondo, anche i titolari del trattamento dovranno ricevere una comunicazione.
Scopri i nostri servizi in materia di GDPR e Privacy
Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.
SCOPRI DI PIÙ
