Salta al contenuto principale
SICUREZZAECOMMERCENOTIZIE

Data Breach – cosa fare in caso di violazione dei dati personali

Da 30 Giugno 2022Nessun Commento
Data Breach - copertina

Nel 2022 hanno tenuto ampiamente banco il tema dei data breach, ovvero la violazione dei dati personali, e tante altre questioni legate alla privacy degli utenti del web. Ultima, ma non meno importante, la notizia che il Garante della Privacy ha vietato l’utilizzo di Google Analytics in Italia

Visto il forte risalto che ha suscitato questo argomento, in questo articolo andremo a vedere che cos’è un data breach e come comportarsi quando se ne è vittima. In modo che i nostri clienti siano preparati nell’eventualità in cui dovesse succedere loro. 

Cosa significa data breach?

Con il termine data breach viene intesa una violazione della sicurezza “ che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, trasmessi, conservati o comunque trattati.”1

In altre parole, chi è vittima di data breach rischia di vedere compromessa la riservatezza e persino l’accessibilità ai propri dati. Alcuni esempi comprendono l’acquisizione dei dati da parte di terzi non autorizzati, il furto dei dati e l’impossibilità di accedere ai dati a causa di attacchi esterni e malware. 

Cosa fare in caso di data breach?

La normativa che regola le violazioni dei dati personali attualmente in vigore è il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.

Secondo il documento, il soggetto che ha subito un data breach, che sia esso un soggetto pubblico, un’impresa, un’associazione o un professionista, deve notificare il danno subito entro 72 ore dal momento in cui è venuto a conoscenza del fatto. Qui bisogna però fare una prima distinzione.

Un eventuale data breach, infatti, va sempre registrato, ma deve essere notificato al Garante della Privacy solo nel caso in cui esso comporti un effettivo rischio per i diritti e la libertà delle persone fisiche. In ogni caso però, è necessario notificare il titolare del trattamento, ovvero la persona di cui si custodivano i dati che sono stati compromessi. 

Nel caso in cui si decida di notificare, il Garante richiede alcune informazioni: 

  • la natura della violazione; 
  • il numero di persone interessate; 
  • i dati di contatto del responsabile della protezione dati; 
  • quali sono le potenziali conseguenze della violazione; 
  • quali misure i responsabili del trattamento hanno adottato.

Si tratta di informazioni utili per verificare eventuali responsabilità e per accertare la dinamica degli eventi ed è importante fornirle, anche in un secondo momento. Chi subisce un data breach, infatti, deve dimostrare accountability.

Accountability

Questo termine inglese si traduce letteralmente responsabilità, ma veicola un significato leggermente diverso da come lo intendiamo normalmente. La traduzione più corretta, utilizzata principalmente in ambito legale, sarebbe “essere in grado di dar conto”.

Il gestore dei dati deve perciò essere in grado di fornire delle evidenze che dimostrano di aver agito correttamente e di saper gestire la situazione. In sostanza bisogna dimostrare di aver implementato tutte le misure minime necessarie alla protezione dei dati, sulla base del rischio che deriverebbe da un eventuale data breach

Nella pratica, il principio di accountability si basa su tre concetti:

  • la trasparenza: l’azienda deve consentire l’accesso a tutte le informazioni in suo possesso;
  • la possibilità di dimostrare le azioni effettuate: in modo che si possa verificare che sono state prese tutte le misure di sicurezza necessarie;
  • la compliance: la capacità di far rispettare le leggi e i regolamenti interni all’interno dell’azienda. 

Quali violazioni devono essere notificate?

Come detto, non tutte le violazioni dei dati personali devono essere necessariamente notificate al Garante. Sono soggetti a notifica solo i data breach che possono avere ripercussioni sugli individui, attraverso danni fisici, materiali o immateriali. 

Si tratta però di una situazione da analizzare attentamente, prima di decidere di non notificare. Durante la verifica, il Garante vorrà infatti sapere le motivazioni di questa scelta e dimostrare che il data breach in esame non è passibile di notifica non è cosa semplice. Per dimostrare di avere accountability è allora importante attenersi il più possibile alla procedura per la gestione delle violazioni dei dati personali.

Cosa succede dopo?

In caso ci si renda conto di aver subito un data breach, il Garante della Privacy ha messo a disposizione un modulo da compilare (a questo indirizzo https://servizi.gpdp.it/databreach/s/) ed inviare telematicamente. 

Una volta ricevuta la notifica, l’autorità verifica l’accaduto e valuta se vi siano state irregolarità e responsabilità da parte dell’azienda. Le sanzioni pecuniarie previste sono molto salate e possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del loro fatturato totale. 

Per chi volesse approfondire, sullo stesso sito sono inoltre disponibili le linee guida per quanto riguarda la notifica delle violazioni dei dati personali ed alcuni esempi correlati. Ecco i link: