GDPR PRIVACY: Cos’è il “Data breach” e cosa fare in caso di violazione dei dati

Regolamento europeo privacy 2018 data breach

Gli articoli 32, 33 e 34 del GDPR (General Data Protection Regulation) o Regolamento UE 2016/679 introducono una grande novità in tema di sicurezza dei dati: la tempestiva denuncia della violazione dei dati personali o meglio dei sistemi informatici che li gestiscono (ossia quello che viene comunemente detto data breach) ad opera del titolare del trattamento all’autorità di controllo.

Questo significa che dal 25 maggio 2018 sarà obbligatorio avvisare subito l’Autorità di controllo nel caso in cui ci sia stata una violazione dei dati personali raccolti con i propri sistemi informatici. Cerchiamo di fare maggiore chiarezza, per mettere in atto le giuste misure di adeguamento alla nuova normativa.

In questo articolo parleremo di:

Data breach: che cos’è

Il data breach è un’evento che comporta una vera e propria violazione dei dati personali degli interessati, presenti in un determinato database, a seguito del quale vengono copiati, trasmessi, consultati o utilizzati da soggetti non autorizzati a farlo. Spesso questi eventi sono seguiti da una divulgazione volontaria o involontaria in ambienti privi di sicurezza (esempio internet).

Quali sono le cause che identificano un data breach? Possiamo dire che i motivi per cui si verificano le violazioni dei dati sono i seguenti:

  • perdita o furto
  • incidenti avversi o calamità naturali
  • erroneo invio o erronea pubblicazione di dati
  • furto dei dati a opera di personale interno (infedeltà aziendale)
  • accesso abusivo o poco protetto dei dati

Gli ambiti che sono spesso oggetto di data breach sono per lo più:

  • finanziario: si pensi ad esempio agli attacchi sui POS
  • sanitario: attaccando un database di un ospedale si possono rubare notizie sulla salute delle persone, sulle malattie, sull’uso di medicinali, eccetera
  • personale: si pensi alle carte di identità, codici e password degli utenti, eccetera

Nella nostra società sempre più tecnologica non sono affatto rari gli attacchi informatici a database consistenti e importanti, di aziende note e meno note: basti pensare ad esempio che nel 2015 E-bay subì un “furto” di 145 milioni di record, oppure che che nello stesso anno al Gruppo Benetton, leader nell’abbigliamento, sono state sottratte le bozze di una collezione, e così via.

Cosa si intende per “violazione dei dati”

Per violazione dei dati si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (articolo 4).

La violazione di dati si potrebbe quindi definire un vero e proprio incidente di sicurezza, a seguito del quale il titolare non è più in grado di garantire il rispetto dei principi fondamentali sanciti dal GDPR per il trattamento dei dati personali. Si possono distinguere tre tipi di violazioni:

  • violazione di riservatezza: si tratta della divulgazione o di un accesso a dati personali non autorizzato o accidentale
  • violazione di integrità: si tratta di un’alterazione di dati personali non autorizzata o accidentale.
  • violazione di disponibilità: quando si verifica perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati personali

Bisogna tener presente che spesso può capitare che queste tipologie di violazioni si combinino tra loro.

L’obbligo di notifica al Garante

L’articolo 33 afferma che il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, “comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo“.

Dal momento in cui è documentata la scoperta della violazione dei dati, il titolare ha 72 ore per notificarlo all’autorità di controllo.

Requisito necessario è quindi che il titolare del trattamento possa identificare l’avvenuto incidente e valutare che impatti ha avuto sulle informazioni contenute nei propri database e se, tra queste informazioni, ci siano i dati personali degli interessati.

E’ importante sottolineare che scoprire l’incidente non basta: il titolare deve essere in grado di valutare l’impatto che tale incidente ha rispetto ai dati personali e ai relativi diritti di tutela e di libertà degli interessati.

Quando la notifica è obbligatoria

L’approccio del Regolamento Europeo è molto differente rispetto a quello della normativa precedente, la Direttiva 95/46/CE, la quale, al contrario, non imponeva alcun obbligo generalizzato di notifica. Anche il nostro Codice della Privacy è poco chiaro: impone una notifica obbligatoria di data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto successivamente tramite determinati provvedimenti del Garante privacy.

Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento. L’obbligo di notifica al Garante e l’eventuale comunicazione agli interessati devono essere valutati caso per caso, in relazione ai diritti ed alla libertà degli interessati.

Per chiarire le idee potremmo ricorrere a un esempio: se un ospedale dovesse perdere i dati personali dei propri pazienti, questo potrebbe comportare alti rischi per i diritti e la libertà degli interessati, se, ad esempio, ne conseguirebbe la cancellazione di dati importanti come un intervento. Nel caso in cui, invece, tali dati vengano resi indisponibili temporaneamente e questo determini un mancato invio di una newsletter, non si avrebbe alcuna lesione dei diritti degli interessati e non scatterebbe quindi l’obbligo di notifica.

Il legislatore stesso ha cercato di chiarire tale aspetto (“Considerando n° 85”, ovvero nelle considerazioni iniziali che precedono la disposizione), cercando di spiegare quando i rischi possano configurare un obbligo di notifica, ovvero quando si è di fronte a violazioni che causano danni fisici, materiali o immateriali alla persona fisica.

Per esempio il Regolamento cita “la perdita del controllo dei dati personali che li riguardano; limitazione dei loro diritti; discriminazione; furto o usurpazione di identità; perdite finanziarie; decifratura non autorizzata della pseudonimizzazione; pregiudizio alla reputazione; perdita di riservatezza dei dati personali protetti da segreto professionale, o qualsiasi altro danno economico o sociale significativo per la persona interessata“.

In tutti questi casi il titolare del trattamento, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, deve notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione (accountability), è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo.

Il titolare potrebbe tuttavia (nell’arco delle 72 ore) non avere tutte le informazioni necessarie per documentare, con la dovuta accuratezza, gli eventi all’autorità: in questo caso, potrà effettuare la notifica in fasi, facendo una prima rapida notifica di alert, poi seguita da aggiornamenti successivi.

La comunicazione all’interessato

L’articolo 34 del GDPR stabilisce che, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve comunicare la violazione all’interessato senza ingiustificato ritardo; questo obbligo consente all’interessato di prendere le necessarie precauzioni per la propria tutela.

La comunicazione all’interessato ha un contenuto pressoché identico a quello della notifica.La differenza sta nel fatto che, mentre per l’obbligo di notifica è sufficiente che sussista una violazione di dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche, per la comunicazione occorre che tale rischio sia elevato.

Il titolare è dunque tenuto non solo ad individuare e qualificare i rischi connessi a violazioni di dati personali, ma, qualora tali rischi riguardino i diritti e le libertà delle persone fisiche, deve anche procedere ad una valutazione del livello di rischio.

La notifica di violazione deve avere le seguenti caratteristiche:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
  • descrivere le probabili conseguenze della violazione dei dati personali
  • descrivere le misure adottate, o di cui si propone l’adozione, da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali

I casi di data breach espressamente previsti dal Garante

In considerazione di quanto sopra detto, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti con i quali ha disciplinato i casi di data breach in determinati settori, con il conseguente obbligo di notifica all’autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione è passibile di sanzioni amministrative.

I casi e gli adempimenti previsti dai provvedimenti del Garante sono riassunti nella seguente infografica che offre una sintesi di tali provvedimenti:

RData Breach previsti dai provvedimenti del Garante della PrivacyData Breach previsti dai provvedimenti del Garante della Privacy

Fonte infografica: Garante della Privacy

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!