Come gestire un data breach all’interno di un’Azienda
Dal 25 Maggio 2018, il Regolamento generale sulla protezione dei dati (UE/2016/679), meglio noto come GDPR, obbliga tutte le imprese a gestire le violazioni della privacy.
In caso di mancato rispetto degli obblighi prescritti dalla normativa europea, il Garante per la protezione dei dati personali può prescrivere misure correttive o irrogare sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Pertanto, cerchiamo di capire cosa è un data breach e come gestirlo nel migliore dei modi per evitare sanzioni da parte dell’Autorità competente.
Con l’espressione “data breach” o violazione dei dati si intende la divulgazione (intenzionale o non), la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni.
Un data breach, quindi, non è solo un attacco informatico, ma può essere anche un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente).
È importante capire che una violazione dei dati, se non affrontata in modo adeguato e tempestivo, può provocare danni alle persone fisiche, per esempio la perdita di riservatezza dei dati personali protetti da segreto professionale, delle perdite finanziarie, un pregiudizio alla reputazione, una discriminazione, il furto o usurpazione d’identità.
Innanzitutto, il titolare del trattamento, una volta venuto a conoscenza della violazione, deve valutare la gravità della situazione.
Se il RISCHIO per i diritti e le libertà delle persone fisiche NON È ELEVATO, il titolare deve annotare l’evento nel registro delle violazioni, nonché le conseguenze, i provvedimenti adottati e monitorare le eventuali e/o successive violazioni.
Se il RISCHIO per i diritti e le libertà delle persone fisiche È PROBABILE MA NON ELEVATO, ai sensi dell’art. 33 GDPR, il titolare deve notificare la violazione dei dati alle autorità di controllo. La notifica deve avvenire entro 72 ore – e comunque “senza ingiustificato ritardo” – e deve contenere:
- la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- la descrizione delle probabili conseguenze della violazione dei dati personali;
- la descrizione delle misure adottate o di cui si propone per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Se il RISCHIO per i diritti e le libertà delle persone fisiche È PROBABILE ED ELEVATO il titolare, non solo deve notificare la violazione all’autorità di controllo competente ma comunicare con un linguaggio semplice e chiaro la violazione stessa anche gli interessati (ossia alle persone fisiche coinvolte) – sempre “senza ingiustificato ritardo”. Inoltre, dalla lettura dell’art. 34 del GDPR si desume che la comunicazione non è richiesta nei seguenti casi:
- il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione dei dati (es. la cifratura);
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- la comunicazione richiederebbe sforzi sproporzionati. In quel caso è possibile procedere con una comunicazione pubblica o una misura simile tramite la quale gli interessati sono informati con analoga efficacia.
Ovvio che per la tipologia di formalità richieste e soprattutto per tutto quello che è necessario implementare prima, sia a livello di sicurezza che di formazione, risulta quasi imprescindibile l’assistenza di consulenti qualificati che possano assistere le aziende e veicolare all’interno delle stesse una mentalità adeguata (accountability).
Avv. Giulia Annese