Cosa si intende con data breach e come comportarsi in caso di furto delle informazioni sensibili
Nell’era contemporanea i dati delle persone hanno assunto un grande valore da un punto di vista strategico per le imprese che operano nel mercato. Conoscere i dettagli della vita delle persone, dal nome, all’indirizzo alle preferenze d’acquisto, può infatti rivelarsi molto utile per le aziende che intendono vendere i propri prodotti presentandoli al proprio target di riferimento specifico. Sulla tutela dei dati negli ultimi anni sono stati molti gli interventi del Garante della Privacy al fine di tutelare i cittadini, specie contro le appropriazioni indebite di informazioni personali. In tale ottica molta importanza è ricoperta dal cosiddetto data breach, termine con cui si intende la violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Questo tipo di attività possono fortemente compromettere la riservatezza, l’integrità o la disponibilità di dati personali, con il Garante che ha ritenuto importante intervenire per tutelare i cittadini che dovessero rimanerne vittime.
Che cos’e il data breach
In base a quanto già accennato, con data breach si fa riferimento ad una violazione di sicurezza che comporta la perdita, la distribuzione o la modifica dei dati personali di un soggetto. Tale attività può essere accidentale, ovvero senza il dolo umano, o illecita. Alcuni esempi tipici di data breach sono rappresentati dai casi in cui:
- soggetti terzi non autorizzati hanno accesso o acquisiscono dati;
- c’è il il furto o la perdita di dispositivi informatici contenenti dati personali;
- c’è la deliberata alterazione di dati personali;
- non si riesce più ad accedere ai propri dati per cause accidentali o per attacchi esterni, come virus o malware;
- incidenti, calamità o eventi avversi straordinari causano la perdita o la distruzione di dati personali;
- si verifica una divulgazione non autorizzata dei dati personali di un cittadino.
Chi rimane vittima di questo tipo di situazioni deve, secondo quanto previsto dal Gdpr, Regolamento europeo sulla protezione dei dati personali, comunicarlo immediatamente (entro 72 ore da quanto ne viene a conoscenza) all’autorità di controllo competente.
Data breach: la notifica al Garante
Nel momento in cui si è diventati il bersaglio di un violazione dei dati personali, il titolare del trattamento, sia questo un soggetto pubblico, un’impresa, un’associazione, un partito, un professionista e così via, deve comunicare al Garante della Privacy la propria situazione. Per farlo, come detto, ha 72 ore da quando viene a conoscenza della violazione. Oltre tale soglia temporale, la notifica al Garante dovrà essere accompagnata anche dai motivi che hanno portato al ritardo nella presentazione. E ancora, qualora la violazione comportasse un rischio concreto ed elevato per i diritti delle persone, è necessario che il titolare del trattamento lo comunichi a tutti coloro che potrebbero essere interessati. Per farlo potrà utilizzare i canali ritenuti più idonei, a meno che non abbia già adottato delle misure sufficienti a ridurre l’impatto della violazione. C’è inoltre solo un caso in cui il titolare del trattamento non é tenuto a notificare la violazione al Garante, ovvero quando è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre alla notifica, al titolare del trattamento è chiesto di documentare tutte le violazioni dei dati personali, magari utilizzando un registro dedicato. Si tratta di uno strumento di fondamentale importanza, in quanto proprio grazie a questa documentazione il Garante avrà modo di effettuare tutte le verifiche necessarie a confermare che vi sia stato un rispetto della normativa.
Un focus sulla notifica al Garante
Nel Gdpr è precisato anche quali siano gli elementi essenziali che devono essere contenuti all’interno della notifica al Garante. Si tratta, più nello specifico:
Non conosci il Salvagente? Scarica GRATIS il numero con l'inchiesta sull'olio extravergine cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente
- della descrizione della natura della violazione dei dati personali compresi. Andranno dunque specificate le categorie e il numero approssimativo di interessati dalla questione, così come le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- della comunicazione del nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- della descrizione delle probabili conseguenze delle violazioni dei dati personali;
- della descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e, anche, per attenuare i possibili effetti negativi.
Si ricorda inoltre che in Italia, ben prima dell’approvazione del Regolamento europeo nel 2018, erano già presenti alcuni obblighi di notifica. Si trattava di quattro fattispecie di trattamento riguardanti :
- il settore comunicazioni elettroniche (provv. Garante 161/2013);
- la biometria (provv. Garante 513/2014);
- i dati sanitari inseriti in dossier (provv. Garante 331/2015);
- i dati comunicati fra PA (provv. Garante 393/2015).
Le violazioni che devono essere notificate al Garante
Come si diceva in precedenza, non tutte le violazioni dei dati personali devono essere notificate al Garante, ma solo quelle che possono avere degli effetti avversi significativi sugli individui e causare loro dei danni fisici, materiali o immateriali. Esempi tipici in tal senso sono:
- la perdita del controllo sui propri dati personali;
- la limitazione di alcuni diritti;
- la discriminazione;
- il furto d’identità o il rischio di frode;
- la perdita di riservatezza dei dati personali protetti dal segreto professionale;
- la perdita finanziaria;
- il danno alla reputazione;
- qualsiasi altro significativo svantaggio economico o sociale.
Notifica al Garante, la procedura da seguire
Nel momento in cui c’è stata una violazione dei dati personali che richiede di essere notificata al Garante, è necessario seguire una specifica procedura per la presentazione della stessa. Dal 1° luglio 2021, questo tipo di notifica deve essere inviata al Garante attraverso la procedura telematica messa a disposizione dal portale dei servizi on line dell’Autorità. Una volta entrati sul portale sarà possibile consultare un un modello fac simile che permette di vedere in anteprima tutti i contenuti e le informazioni che andranno fornite al Garante. Vi è poi uno strumento di autovalutazione che consente di individuare tutte le azioni che dovranno essere svolte in seguito ad una violazione dei dati personali derivante da un incidente di sicurezza.
Cosa può fare il Garante dopo aver ricevuto la notifica
Nel momento in cui il Garante riceve la notifica per data breach, può porre in essere diverse azioni. Tra queste, la più rilevante, è quella che prevede la prescrizione di misure correttive previste dall’art. 58, paragrafo 2, del Regolamento Ue 2016/679. Questa strada viene percorsa dal Garante nel momento in cui viene rilevata una violazione delle disposizioni del Regolamento o quando si evidenzia una inadeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. In merito alle possibili sanzioni pecuniarie, invece, il Garante può imporne in questo caso per un valore massimo di 10 milioni di euro o, se il sanzionato è un’impresa, fino al 2% del fatturato annuo mondiale.
Data breach, la comunicazione all’interessato
Come in parte già accennato, nel momento in cui la violazione dei dati personali comporta un rischio elevato per i diritti e le libertà delle persone fisiche, chi è titolare del trattamento dei dati deve comunicare all’interessato la violazione. Dovrà farlo tempestivamente, senza ingiustificato ritardo, con la comunicazione che dovrà descrivere con un linguaggio semplice e chiaro la natura della violazione. Questa procedura, tuttavia, non si rende necessaria nel momento in cui:
- chi è titolare del trattamento dei dati ha messo in atto le misure tecniche ed organizzative necessarie alla protezione dei dati personali dell’interessato oggetto della violazione. Si tratta, più nello specifico, di quelle protezioni che permettono di rendere i dati personali sottratti incomprensibili a chiunque non sia autorizzato ad accedervi (la cosiddetta cifratura);
- chi è titolare del trattamento abbia adottato, successivamente alla violazione, delle misure in grado di scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.
Quando si parlava della misure necessarie alla protezione dei dati personali, si faceva riferimento a tutte quelle pratiche che permettono una corretta gestione del data breach. Entrando più nello specifico, per evitare la perdita o la distruzione dei dati personali, è necessario che il titolare del trattamento:
- abbia un protocollo di risposta, ovvero un insieme di procedure da seguire per gestire e risolvere eventuali episodi di distruzione e/o perdita di dati;
- faccia test periodici per confermare la validità del proprio protocollo;
- abbia una copertura assicurativa per eventuali casi di data breach;
- aggiorni costantemente un registro dei casi di data breach;
- svolga attività di indagine per individuare la natura e la portata della violazione.