Indice dei contenuti
Sempre più spesso si sente parlare di data breach, ma cosa si intende per violazione dei dati personali, quali possono essere le cause e come devono procedere le aziende?
Il Regolamento UE 2016/679 (GDPR) in materia di protezione dei dati personali ha regolamentato compiutamente, e in maniera trasversale, la procedura da seguire nel caso in cui si verifichi una violazione dei dati personali. Le regole sono contenute negli articoli 33 (criteri per l’eventuale notifica alle autorità di controllo – e nello specifico al Garante Privacy) e 34 (criteri per l’eventuale comunicazione all’interessato i cui dati siano stati violati).
Data breach: cos’è e quali sono le possibili tipologie di violazione
Parlare di data breach e violazioni di dati personali richiama subito alla mente i “classici” casi di hackeraggio o intrusione nei data base gestiti da aziende o enti pubblici. Si tratta delle ipotesi maggiormente rilevanti per la loro potenziale gravità in termini di numero e tipologia di dati accessibili e – soprattutto – per il ritardo con cui tali violazioni potrebbero essere riscontrate.
Tuttavia esse non esauriscono i possibili casi di data breach, che potrebbero derivare anche da azioni dolose o negligenti di soggetti che, in linea di principio, trattano lecitamente tali dati per conto del Titolare del trattamento, ad esempio in qualità di responsabili del trattamento esterni, amministratori di sistema o soggetti autorizzati al trattamento.
Tra i numerosi esempi possibili citiamo:
- diffusione o comunicazione dolosa da parte di uno dei soggetti sopra elencati;
- invio per errore di un documento a soggetto diverso dal naturale destinatario, sia quest’ultimo l’interessato o altro soggetto con cui il Titolare intrattiene rapporti (ad esempio a seguito di un errore nell’identificazione del fornitore cui comunicare i dati);
- invio di una comunicazione a più interlocutori mettendone in comune i dati identificativi (ad esempio permettendo a un utente del sistema di e-commerce o di una mailing list di conoscere i dati degli altri iscritti).
In questo caso le violazioni potrebbero avere una portata più ridotta o essere riscontrabili con una maggiore immediatezza, ma si tratta comunque di data breach soggetto all’applicazione della normativa.
Cosa fare in caso di data breach
In tutti i casi sopra citati è necessario seguire gli step di seguito riportati:
- Definizione del livello di gravità al fine di verificare, in particolare, “che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. In caso positivo, infatti, la gestione della violazione potrebbe rimanere tutta all’interno del Titolare del trattamento, che dovrebbe, tramite apposito registro, solamente tenere traccia della violazione, della valutazione effettuata e delle misure di contenimento e/o delle azioni di miglioramento adottate.
- In caso contrario, ossia dove si valuti che vi sia un rischio per i diritti e le libertà delle persone fisiche, è necessario effettuare entro 72 ore una notifica al Garante Privacy. Se questa comunicazione avviene in ritardo, ne vanno giustificati i motivi. La comunicazione deve contenere tutti gli elementi previsti dall’art. 33.
- Quando il rischio di cui sopra viene valutato come “elevato”, è necessario affiancare alla notifica al Garante Privacy una comunicazione ai soggetti interessati che potrebbero essere danneggiati dal data breach. Tale comunicazione può essere omessa nel caso in cui siano state adottate adeguate misure per porre rimedio alla violazione o nel caso in cui lo sforzo sia sproporzionato, ma il Garante Privacy può imporre tale comunicazione a seguito di valutazione della notifica e delle misure adottate.
Quando si applicano le sanzioni?
La segnalazione della violazione di dati personali concorre a dimostrare la capacità di reazione del Titolare del trattamento, ma non è di per sé causa di esclusione delle sanzioni applicabili per la mancata adozione di adeguate e soprattutto preventive misure di sicurezza.
Pertanto le procedure per la rilevazione delle violazioni di dati personali rappresentano una extrema ratio che sta a valle della conformità alle previsioni del GDPR.
