loader image

GDPR: cosa fare in caso di data breach

Diritto Digitale

Partiamo da una premessa fondamentale: cos’è un data breach?

Sul punto, il GDPR (il Regolamento Europeo sulla protezione dei dati personali) è molto chiaro: per data breach si intende una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Casi concreti ed esempi di data breach

Traduciamo questa definizione in esempi concreti.

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati (es.: un cyber criminale che riesce ad accedere al nostro data-base);
  • il furto o la perdita di dispositivi informatici contenenti dati personali (es.: la perdita di una chiavetta USB non criptata in luogo esterno al perimetro aziendale);
  • la deliberata alterazione di dati personali (es.: il dipendente che, in malafede, decide di alterare alcuni dati aziendali ai quali può accedere in ragione della propria mansione);
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc. (es.: l’attivazione di un ransomware che inibisce l’accesso al database infettato, richiedendo un riscatto);
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità (es.: un incendio che distrugge gran parte degli hard disk esterni);
  • la divulgazione non autorizzata dei dati personali (es. l’email confidenziale inviata al destinatario sbagliato

1. NOTIFICA ENTRO 72 ORE: È SEMPRE NECESSARIA?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) deve notificare il data breach al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza (qui per scaricare il modello di notifica al Garante).

Questo obbligo, però, scatta solo nel caso in cui il data breach comporti un rischio per i diritti e le libertà delle persone fisiche.

La valutazione riguardante l’entità del rischio è molto delicata e deve essere effettuata da consulenti esperti che vi possono suggerire in tempi brevi quale soluzione adottare (72 ore è un tempo relativamente breve per chi deve affrontare emergenza!)

2. E SE IL RISCHIO È ELEVATO?

Se la violazione comporta un rischio elevato per i diritti delle persone interessate (vale a dire un rischio che potrebbe concretizzarsi in un evento dannoso di una certa entità, come ad esempio il rischio di frode), il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Giocano infatti un ruolo decisivo le misure tecniche e organizzative implementate “a monte” dal Titolare, per mitigare l’ipotesi di rischio che, in caso di data breach, si concretizza.

Per semplificare, riportiamo un esempio:
l’agente Tizio della Società Alfa, nel corso di una visita in loco presso un potenziale cliente, perde il Tablet aziendale, contenente dati personali acquisiti nel corso dell’attività di procacciatore.
La società, proprio al fine di mitigare le conseguenze di un tale evento, aveva a suo tempo predisposto la criptazione dell’hard disk del Tablet, inibendo così il rischio che soggetti terzi potessero accedere ai dati in esso contenuti.

Una misura di sicurezza che, pertanto, annulla qualsiasi ipotesi di danno economico, sociale, reputazionale a danno degli interessati, dal momento che i dati di quel Tablet sono inaccessibili a terzi, oltre che “inutilizzabili”.

Pertanto, la Società Alfa non dovrà procedere alla notifica al Garante, nè dovrà informare i propri clienti dell’accaduto (con tutti i benefici del caso, soprattutto in termini di reputazione aziendale).

3. COSA FARE QUANDO NON OCCORRE NOTIFICARE IL DATA BREACH.

La parola d’ordine in questi casi è una sola: documentare.
Anche se il data breach non comporta un rischio per i diritti e le libertà delle persone fisiche, il GDPR richiede che siano spiegate le ragioni per cui tale rischio non sussiste.
Dunque, occorre prendere nota del data breach in un apposito registro ed elencare le misure tecniche e organizzative che hanno mitigato il rischio, scongiurando l’ipotesi di una notifica al Garante (nell’esempio di prima, andrà motivata la mancata notifica in ragione della criptazione dell’hard disk).

Si potrebbe pensare che tale procedura, volta a documentare una violazione sostanzialmente innocua, sia da considerarsi superflua.
E invece non lo è affatto.
Perchè?
La risposta è piuttosto semplice: il Garante Privacy – in sede di controllo – si avvale di tecnici informatici in grado di riportare alla luce episodi passati di “data breach”.
In questi casi, un comportamento specchiato e trasparente nei confronti dell’Autorità può essere un elemento decisivo per evitare qualsiasi ipotesi di sanzione!

Articoli recenti

Sistema di Vendita Piramidale: Starlife multata da AGCM

Sistema di Vendita Piramidale: Starlife multata da AGCM

Il caso Starlife: sistema di Vendita Piramidale al bando e multa di 850.000 Euro  Ancora una volta, l’AGCM (l’Autorità Garante della Concorrenza e del Mercato) ha affrontato un caso di Sistema di Vendita Piramidale (LINK PROVVEDIMENTO), la cui diffusione non sembra...

leggi tutto

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti una consulenza legale?

Programma la tua Videocall

Vorresti approfondire ?

Contattaci 

Tipologia