AlaVision

Data Breach e misure di sicurezza GDPR: che cosa fare in caso di violazione dei dati

Il Data Breach, traducibile in italiano con “violazione intenzionale dei dati personali”, è appunto una violazione di sicurezza che comporta la dispersione da parte di un’azienda dei dati personali trattati.

Con ciò, si intendono tutti quegli eventi che hanno come risultato la distruzione, la perdita, la divulgazione o l’accesso non autorizzato ai dati personali trasmessi dagli utenti di un servizio.

All’interno del GDPR vi è un’ampia area dedicata alla casistica del data breach, e cosa fare in caso di perdita di dati.
Facciamo chiarezza.

Data Breach e GDPR: quali tipi di violazione dei dati esistono?

I tipi di violazione dei dati personali sono di sei tipologie, che cambiano nome a seconda della volontà o meno di compierle:

  • Accesso non autorizzato: questo caso si verifica quando certe informazioni vengono viste da qualcuno. Se ciò è fatto intenzionalmente, cambia nome in spionaggio
  • Copia non autorizzata: quando qualcuno copia dei dati dei quali non poteva impossessarsi. Se ciò è fatto intenzionalmente, cambia nome in furto
  • Divulgazione non prevista: quando qualcuno diffonde accidentalmente dei dati. Se ciò è fatto intenzionalmente, cambia nome in diffusione
  • Modifica non autorizzata: quando qualcuno modifica accidentalmente dei dati che non poteva o doveva modificare. Se ciò è fatto intenzionalmente, cambia nome in compromissione
  • Perdita di accesso: Quando qualcuno perde delle informazioni, rendendole non più disponibili. Se quest’ultima azione è compiuta intenzionalmente, la violazione cambia nome in cifratura
  • Cancellazione dei dati: qualcuno cancella l’ultima o l’unica fonte di determinate informazioni. Se ciò è fatto intenzionalmente, cambia nome in distruzione volontaria.

RICHIEDI INFORMAZIONI

 

    Violazione dati: che cosa fare

    Il GDPR disciplina il data breach prevede espressamente un obbligo di notifica: nei momenti immediatamente successivi ad un – o ad un sospetto- evento di Data Breach, l’azienda sarà costretta, nelle vesti del Data Protection Officer (DPO), a notificare del fatto i proprietari dei dati personali entro 72 ore dal momento in cui si è venuti a conoscenza della violazione.

    Eventuali ritardi dovranno essere motivati, a meno che la violazione dei dati personali non presenti alcun rischio per le persone fisiche.

    Su questo punto il GDPR si distanzia molto dalla Direttiva 95/46/CE che, al contrario, non prevedeva alcun obbligo generalizzato di notifica.

    Errore: Modulo di contatto non trovato.

    Data Breach e notifica di violazione dei dati: che cosa c’è da sapere

    Secondo l’Art. 33, il corso d’azione in caso di data breach si articola in 5 punti:

    • La notifica dovrà essere comunicata all’Autorità di controllo competente – il Garante Privacy – entro 72 oreInoltre, ciascuna violazione dei dati dovrà essere notificata all’autorità di controllo dello Stato Membro in cui si è verificata
    • I responsabili del trattamento, ossia coloro che utilizzano in prima persona i dati personali, in caso di violazione dovranno notificare i titolari e non il Garante
    • Nella notifica al Garante, sono obbligatorie una serie di informazioni: natura della violazione, l’ammontare approssimativo del numero di persone interessate, dati di contatto del responsabile della protezione dei dati, possibili conseguenze della violazione, misure adottate
    • Le informazioni appena elencate, in caso di mancata disponibilità immediata, dovranno essere notificate successivamente
    • Tutti i tipi di violazione dovranno essere documentati secondo il principio dell’accountability

     

    Se per la violazione dei dati che si verifica in uno stato membro la notifica deve essere presentata all’autorità garante dello stato, lo scenario si complica nel caso in cui la violazione dei dati superi i confini nazionali.

    In questo ultimo caso, infatti, si ricorre al meccanismo dell’autorità capofila previsto dall’art.56 del GDPR, ovvero l’autorità garante situata nello stato dove si trova la sede principale del titolare o del responsabile.

    Oltre agli obblighi di notifica all’autorità competente, l’art 34 del GDPR prevede per il titolare dei dati anche un obbligo di notifica e comunicazione dell’avvenuta violazione anche agli interessati dei dati. Se per la notifica è necessario un rischio semplice, per la comunicazione è invece necessario aver rilevato un rischio elevato.

    Anche in questo caso, contenuto del messaggio e modalità di effettuazione della comunicazione hanno un ruolo importante. Ai diretti interessati dei dati infatti la comunicazione dovrebbe arrivare mediante mezzi diretti, quando possibile, quali, ad esempio, email ed SMS ed in modalità chiare che evitino possibili fraintendimenti.

    Violazione Privacy: quando è obbligatorio effettuare una notifica

    In recepimento alla normativa Europea, anche il nostro Codice Privacy ha introdotto un obbligo di notifica per i data breach: la necessità di procedura sussiste nel caso in cui vi è la probabilità che la violazione possa porre a rischio o a elevato rischio le libertà e i diritti delle persone fisiche che a loro tempo hanno comunicato i dati.

    Nel primo caso, la notifica all’autorità sarà sufficiente; nel secondo, anche i titolari del trattamento dovranno ricevere una comunicazione.

    Scopri i nostri servizi in materia di GDPR e Privacy

    Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.
    SCOPRI DI PIÙ

    eventi formativi

    Scopri i nostri webinar & workshop tematici

    Nessun evento trovato!

    chiamaci

    Il numero telefonico dedicato è a tua disposizione per ricevere informazioni.

    Il servizio è attivo dal
    Lun. al ven. 8.30 – 12.30 / 14.00 – 18.00

    richiedi informazioni

    Contattaci per approfondimenti sui nostri servizi


      resta sempre aggiornato con la nostra newsletter

      Guarda il video

      Compila il form per guardare il video

      Richiedi informazioni sull'evento

      Compila la form per richiedere maggiori informazioni sull’evento ti risponderemo nel più breve tempo possibile.


        Richiedi informazioni sull'evento

        Compila la form per richiedere maggiori informazioni sull’evento ti risponderemo nel più breve tempo possibile.


          resta informato

          Compila la form per ricevere aggiornamenti sugli eventi futuri