Violazione dei dati personali – Data Breach

Il Regolamento Europeo 679/2016 ha introdotto novità significative in tema di violazione dei dati o più comunemente “data breach”, e sulla relativa comunicazione al garante nel caso in cui si dovesse verificare.

Come riconoscere una tale violazione?

Partiamo dalla definizione dell’articolo 4: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Tale obbligo di comunicazione al garante era in vigore anche nella legislazione precedente per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, per il trattamento di dati biometrici, per i dati sanitari inseriti in Dossier e i dati comunicati tra PA; con il GDPR la prescrizione è stata estesa a tutti i titolari e/o responsabili del trattamento dei dati.

Per evitare che i dati siano violati si richiede anzitutto l’implementazione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza strettamente correlato al rischio cui sono esposti i dati personali trattati.

Ha quindi rilevante importanza con l’entrata in vigore del nuovo Regolamento, che si introducano politiche per prevenire la violazione e per reagire tempestivamente nel caso in cui invece si verifichino.

Questo punto costituisce un aspetto essenziale nella gestione del data breach.

Alcuni esempi di violazione dei dati che sono più comuni di quello che in realtà si pensi:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici o di documenti cartacei contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; 

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

Notifica al Garante della Privacy

Secondo la normativa vigente in materia di privacy, ogni Titolare di un trattamento dati dovrà notificare eventuali violazioni di senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.

La finalità principale dell’obbligo di notifica consiste:

  • con riferimento al Titolare, di agire prontamente in caso di violazione, a contenerla e, se possibile, per recuperare i dati personali compromessi e per chiedere un parere all’autorità di controllo circa l’opportunità di effettuare la notifica alle persone fisiche interessate;
  • al Garante di valutare tempestivamente la gravità della situazione e di stabilire le misure correttive eventualmente da imporre al Titolare per ridurre al minimo i pericoli per la privacy degli interessati a cui si riferiscono i dati.

Quando una violazione deve essere comunicata al Garante

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. 

Ciò può includere, come riporta il sito del garante, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

La notifica che deve essere inviata al garante – utilizzando l’apposito modello predisposto e reperibile sul sito internet – deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
  • descrivere le probabili conseguenze delle violazioni dei dati personali
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.

A seguito della ricezione della notifica, il Garante potrà prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste anche sanzioni pecuniarie.

La comunicazione al Titolare

Una volta notificata all’autorità di controllo la violazione dei dati personali, vi è da valutare se la violazione dei dati debba essere comunicata o meno all’interessato.

L’obbligo sorge qualora la violazione dei dati è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche; anche se vi sono dei casi in cui determinate circostanze giustificate dalle autorità competenti, determinano il rinvio della comunicazione in un momento successivo, per non pregiudicare eventuali indagini.

È opportuno chiarire che per l’interessato il rischio di una violazione è elevato quando comporta un danno fisico, materiale o immateriale. Ad esempio, se a fronte della violazione dei dati l’interessato rischi di essere discriminato, o di subire un furto o un’usurpazione di identità, perdite finanziarie e persino pregiudizio alla propria reputazione, il rischio che si configura è elevato per i danni che esso comporta ed è quindi necessaria la notifica all’interessato.

Il titolare è comunque tenuto a conservare la documentazione di tutte le violazioni. Per tali ragioni si richiede la predisposizione di un registro interno delle violazioni, una sorta di registro degli eventi negativi, indipendentemente dal fatto che sia tenuto ad effettuare la notifica o meno.

La gestione del data breach

Per prevenire, gestire e risolvere episodi di perdita e/o distruzione dei dati personali è quindi necessario:

  • adottare un protocollo per la verifica dei processi aziendali per la tutela dei dati, per prevenire eventuali violazioni, per gestire e risolvere eventuali episodi di distruzione e/o perdita di dati;
  • effettuare test periodici per controllare la validità del protocollo e degli strumenti di prevenzione adottati;
  • ottenere una copertura assicurativa per eventuali casi di data breach;
  • compiere attività di indagine per individuare la natura e la portata della violazione.

E’ consigliabile inoltre l’adozione di un registro al fine di tracciare i casi di violazione con lo scopo di:

  • individuare e tenere sotto controllo i fattori di rischio;
  • valutare le misure e le procedure adottate attraverso ispezioni periodiche;
  • determinare la natura e la portata della violazione anche al fine di valutare l’eventuale notifica al garante;
  • aiutare a prevenire ulteriori perdite di dati;
  • conservare le prove della violazione in modo che possano essere usate anche in un’eventuale azione giudiziaria.

Sul sito della Garante della Privacy sono state pubblicate nel presente mese delle Linee Guida adottate dal Comitato Europeo per la protezione dei dati al fine aiutare le imprese e la pubblica amministrazione ad affrontare correttamente le violazioni dei dati e al fine di definire i processi di gestione del rischio.