Cosa si intende per data breach, previsto dagli articoli 33 e 34 del Regolamento Generale sulla Protezione dei Dati (GDPR)

Per data breach si intende la violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Questa eventualità è prevista dagli articoli 33 e 34 del GDPR, che impongono ai titolari uno specifico obbligo di notifica di eventuali violazioni di dati.

La notifica dovrà avvenire senza ingiustificato ritardo (ogni ritardo dovrà essere motivato) entro un termine di 72 ore dal momento in cui si è venuti a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In quest’ultimo caso, ma anche nelle ipotesi più gravi, è comunque opportuno e consigliabile indicare la violazione e/o l’incidente informatico in apposito registro (“registro delle violazioni”), al fine di dare prova di aver risolto la problematica, indicando eventualmente le azioni migliorative adottate per prevenire ipotesi similari.

Esistono varie tipologie di di data breach (o “violazione dei dati”): l’acquisizione dei dati da parte di terzi non autorizzati o la divulgazione non autorizzata dei dati personali (Violazione della riservatezza), lo smarrimento, il furto di dispositivi fisici contenenti dati personali, la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, attacchi esterni e virus informatici (Violazione della disponibilità) ed infine la modifica non autorizzata o accidentale dei dati personali (Violazione di integrità).

Obbligo di notifica e segnalazione in caso di data breach

La segnalazione al Garante

L’articolo 33 del GDPR ha introdotto l’obbligo, valido per ogni titolare del trattamento, di notificare ogni caso di data breach all’autorità di controllo competente e quindi al Garante per la Privacy (di seguito anche GDPD). Il contenuto e le informazioni minime da riportare nella notifica sono elencati dallo stesso articolo 33 e sono state successivamente integrate dal Garante. Quest’ultimo mette a disposizione sul proprio sito internet un modello per effettuare le segnalazioni, (Il GDPD ha recentemente inserito nel proprio sito web una procedura che permette di predisporre la notifica direttamente sul proprio sito e di inoltrarla al termine della compilazione) chiedendo che vengano indicate le seguenti informazioni:

• dati del soggetto che effettua la notifica: inserendo i dati anagrafici e di contatto del soggetto che materialmente effettua la notifica (ove nominato, si tratta del DPO del titolare);
• dati relativi al titolare del trattamento: andranno inseriti i dati identificativi del titolare, i dati di contatto del soggetto da contattare per informazioni e i riferimenti di ulteriori soggetti coinvolti con indicazione del ruolo svolto (ad esempio, il contitolare o responsabile del trattamento);
• descrivere la natura della violazione dei dati personali, incluse (se possibile) le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
• descrivere le probabili conseguenze delle violazioni dei dati personali;
• descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche per attenuarne i possibili effetti negativi;
• comunicazione agli interessati, dove è necessario specificare se la violazione è stata comunicata o meno agli interessati ai sensi dell’articolo 34 del GDPR e, in caso di mancata comunicazione, sarà necessario fornire un’adeguata motivazione.

Qualora, al momento della notifica, non fosse possibile fornire tutte le informazioni richieste dal modulo, è possibile avviare comunque la procedura, riservandosi di integrare la segnalazione in un momento successivo, fornendo le informazioni mancanti (c.d. notifica per fasi).
Il Garante ha inoltre previsto un indirizzo (protocollo@pec.gpdp.it) per l’invio del modulo di segnalazione tramite posta elettronica certificata, specificando che l’oggetto della pec debba contenere la dicitura “notifica violazione dati personali”.

La comunicazione all’Interessato

L’articolo 34 del GDPR dispone che, quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento abbia l’obbligo di comunicare la violazione all’interessato senza ingiustificato ritardo.

La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione. Questa comunicazione non è necessaria nel caso in cui:

• il titolare del trattamento abbia messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
• detta comunicazione richiederebbe sforzi sproporzionati. In tale caso, si procede invece a una comunicazione pubblica o a una misura simile.

Data breach: cosa fare per prevenirlo?

Al fine di prevenire il rischio di un data breach e per gestire al meglio la risposta nel caso in cui se ne verificasse uno, è consigliabile affidarsi ad una figura qualificata che sappia valutare i rischi ed elaborare una procedura e/o protocollo di risposta adeguato alle necessità del cliente. In particolare, tra le più semplici e necessarie misure volte a contrastare il rischio di un data breach vi sono:

• l’adozione di un protocollo di risposta e/o procedura di Databreach, in relazione al quale è consigliabile effettuare test periodici per controllarne l’efficacia;
• tenere un registro delle violazioni inserendo eventuali casi di data breach.

In alcuni casi, è consigliabile assicurarsi per i danni causati in caso di data breach.
Assolutamente necessaria sono poi la periodica valutazione dei rischi mirata specificamente al data breach e la definizione, o rivalutazione nel corso del tempo, di adeguate misure di tipo tecnologico e organizzativo all’interno dell’azienda come lo sviluppo e manutenzione di sistemi, adeguamento compliance, tenuto conto altresì dei cambiamenti e delle modifiche tecnico organizzative che possono intervenire all’interno della azienda. Per la gestione della sicurezza informatica, un aiuto concreto si rinviene inoltre nelle norme certificative che regolano lo standard ISO/IEC 27001, che possono integrare e realizzare le misure tecniche organizzative per la protezione dei dati previste dall’articolo 32 del GDPR.