Negli ultimi tempi sono sempre più frequenti i casi di data breach. Ovvero attacchi informatici alle aziende, che possono mettere gravemente a rischio la sicurezza dei dati personali trattati.
Cosa si intende per “violazione di dati personali”
Secondo la definizione contenuta nel GDPR (art. 4, n. 12), la violazione di dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Il riferimento è, dunque, a qualsiasi violazione che può compromettere la riservatezza, l’integrità o la disponibilità dei dati personali ed aziendali.
Esistono diverse tipologie di incidenti riguardanti dati personali e dati aziendali, che possono derivare da atti illeciti o accidentali. Ecco di seguito alcuni esempi:
- perdita di dati: ad esempio lo smarrimento di una chiavetta USB contenente dei dati riservati o la cancellazione involontaria e irreparabile di dati personali;
- furto di dati: ad esempio il furto di un notebook contenente dati confidenziali o un accesso illecito al sistema informatico;
- indisponibilità dei dati: causata, ad esempio, a seguito dell’esecuzione di un ransomware che limita l’accesso ai dati salvati su server o client, cifrandoli;
- alterazione dei dati: ad esempio, quando un dipendente infedele modifica deliberatamente e senza autorizzazione dati personali (e non solo) con l’obiettivo di creare un danno all’azienda;
- divulgazione dei dati: quando ad esempio un hacker, mediante accesso abusivo al sistema informatico dell’azienda, sottrae e divulga dati personali.
Cosa fare quando si verifica un data breach
In caso di data breach, la prima cosa da fare è gestire l’incidente nel modo più efficiente e accurato possibile. Ossia, agendo immediatamente per rafforzare le difese in modo da evitare ulteriori perdite e mettere al riparo i dati da ulteriori rischi di sicurezza ed evitare danni ancora maggiori.
Subito dopo, bisogna attuare le direttive fornite dal GDPR in caso di questa tipologia di eventi. Nello specifico, la normativa dice che la notifica di un’eventuale violazione del trattamento dei dati personali deve avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della violazione. Se questa comunicazione avviene in ritardo, ne vanno giustificati i motivi. Tutto questo deve essere fatto a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il Titolare del trattamento dati deve quindi riferire il fatto e deve sporgere una denuncia scritta in cui devono obbligatoriamente comparire:
- dinamica dell’evento;
- tipo di dati coinvolti, quantificazione (anche indicativa) degli interessati colpiti dalla violazione;
- dati di contatto del titolare del trattamento o di un soggetto similare presente in azienda;
- misure attuate a seguito dell’attacco.
Inoltre, se la violazione comporta un rischio particolarmente elevato per i diritti delle persone, in base a quanto stabilito dall’art. 34 del Regolamento UE 2016/679, il titolare del trattamento dati deve comunicare la circostanza a tutti gli interessati. La comunicazione della violazione dei dati all’interessato deve descrivere la natura della violazione e deve essere inviata utilizzando i canali più idonei a raggiungere lo scopo (ad es. SMS, e-mail, ecc.).
A prescindere dalla notifica al Garante ed agli interessati, si è tenuti a documentare tutte le violazioni dei dati personali. Va predisposto un apposito registro che deve essere conservato e reso disponibile all’autorità per eventuali ispezioni.
Quali data breach vanno segnalati al Garante?
L’obbligo alla notifica riguarda solo violazioni relative a dati personali che possono incidere significativamente sui soggetti coinvolti.
Un esempio è quando il data breach espone i soggetti interessati al rischio di discriminazione, al furto di identità, a frodi, a perdite finanziare, a danni alla reputazione, così come alla limitazione di alcuni diritti o qualsiasi altro significativo svantaggio economico e sociale.
Come prevenire un data breach
La prevenzione contro i data breach passa attraverso la periodica valutazione dei rischi. Incluso la messa in atto di adeguate misure di tipo tecnologico, fisico e organizzativo all’interno dell’azienda.
E’ importante sottolineare che proprio nell’articolo 32, comma D1, il GDPR stabilisce anche che le aziende si debbano dotare di un sistema di verifica. Come un data breach software, che permetta di verificare che i loro sistemi di sicurezza dei dati personali stiano funzionando correttamente.
Anche se nella pratica non esiste la sicurezza al 100% e non è possibile prevenire in assoluto qualunque violazione di dati personali, resta il fatto che una buona programmazione dei flussi di gestione delle attività e delle procedure di intervento, così come l’utilizzo di software adeguati possono sicuramente ridurre i rischi e, certamente, mitigare gli effetti di eventuali incidenti.
