info@msclex.it
071 969 7023 - 071 969 6969

Come gestire un data breach all'interno di un'Azienda

Come gestire un data breach all’interno di un’Azienda

Dal 25 Maggio 2018, il Regolamento generale sulla protezione dei dati (UE/2016/679), meglio noto come GDPR, obbliga tutte le imprese a gestire le violazioni della privacy.

In caso di mancato rispetto degli obblighi prescritti dalla normativa europea, il Garante per la protezione dei dati personali può prescrivere misure correttive o irrogare sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Pertanto, cerchiamo di capire cosa è un data breach e come gestirlo nel migliore dei modi per evitare sanzioni da parte dell’Autorità competente.

Con l’espressione “data breach” o violazione dei dati si intende la divulgazione (intenzionale o non), la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni.

Un data breach, quindi, non è solo un attacco informatico, ma può essere anche un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente).

È importante capire che una violazione dei dati, se non affrontata in modo adeguato e tempestivo, può provocare danni alle persone fisiche, per esempio la perdita di riservatezza dei dati personali protetti da segreto professionale, delle perdite finanziarie, un pregiudizio alla reputazione, una discriminazione, il furto o usurpazione d’identità.

Innanzitutto, il titolare del trattamento, una volta venuto a conoscenza della violazione, deve valutare la gravità della situazione.

Se il RISCHIO per i diritti e le libertà delle persone fisiche NON È ELEVATO, il titolare deve annotare l’evento nel registro delle violazioni, nonché le conseguenze, i provvedimenti adottati e monitorare le eventuali e/o successive violazioni.

Se il RISCHIO per i diritti e le libertà delle persone fisiche È PROBABILE MA NON ELEVATO, ai sensi dell’art. 33 GDPR, il titolare deve notificare la violazione dei dati alle autorità di controllo. La notifica deve avvenire entro 72 ore – e comunque “senza ingiustificato ritardo” – e deve contenere:

  • la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • la descrizione delle probabili conseguenze della violazione dei dati personali;
  • la descrizione delle misure adottate o di cui si propone per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Se il RISCHIO per i diritti e le libertà delle persone fisiche È PROBABILE ED ELEVATO il titolare, non solo deve notificare la violazione all’autorità di controllo competente ma comunicare con un linguaggio semplice e chiaro la violazione stessa anche gli interessati (ossia alle persone fisiche coinvolte) – sempre “senza ingiustificato ritardo”. Inoltre, dalla lettura dell’art. 34 del GDPR si desume che la comunicazione non è richiesta nei seguenti casi:

  • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione dei dati (es. la cifratura);
  • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione richiederebbe sforzi sproporzionati. In quel caso è possibile procedere con una comunicazione pubblica o una misura simile tramite la quale gli interessati sono informati con analoga efficacia.

Ovvio che per la tipologia di formalità richieste e soprattutto per tutto quello che è necessario implementare prima, sia a livello di sicurezza che di formazione, risulta quasi imprescindibile l’assistenza di consulenti qualificati che possano assistere le aziende e veicolare all’interno delle stesse una mentalità adeguata (accountability).

Avv. Giulia Annese