IL DATA BREACH: UNA DEFINIZIONE
Uno dei fondamenti principali del nuovo regolamento europeo è sicuramente quello del data breach, che trova la sua definizione italiana in violazione dei dati personali.
La violazione di un dato personale, o di una categoria di dati, può derivare da diverse situazioni: infatti, esso non è solamente identificabile con un attacco hacker (o cyber attack), ma può anche avvenire a causa di una distrazione ed errore umano (si pensi per esempio al personale di un’azienda: può dimenticare o perdere un dispositivo cartaceo, o un dispositivo USB, notebook o hard disk), alla divulgazione anche non intenzionale o un accesso non autorizzato a dati riservati. O, ancora, il data breach può avvenire anche per una calamità naturale che distrugge un archivio o rovina irrimediabilmente i server in cui vengono contenuti i dati.
Anche i questi casi, il GDPR regolamenta le operazioni a carico delll’azienda che ha subito un attacco o una perdita di dati.
I PRIMI PASSI DA COMPIERE DOPO LA SCOPERTA DI UN DATA BREACH
Innanzitutto, chiunque evidenzi un data breach deve comunicare il fatto al Responsabile del trattamento, il quale è tenuto ad avvisare il Titolare del trattamento. La notifica alle autorità è obbligatoria nel caso in cui il data breach rischi di ledere i diritti e le libertà degli interessati.
Si può semplificare la normativa affermando che la notifica non è necessaria nei casi seguenti:
- Titolare ha attuato tutte le adeguate misure di sicurezza e di protezione dei dati;
- Titolare ha adottato nuove misure per tamponare la fuga di dati e per scongiurare un nuovo attacco;
- Se la comunicazione risulta di difficile attuazione, ossia se la violazione riguarda un numero considerevole di interessati, allora è contemplato l’avviso del data breach attraverso un comunicato pubblico;
COME SI DENUNCIA UN DATA BREACH
Il secondo passo che il Titolare deve compiere dopo la scoperta di una violazione dei dati personali è quella di avvisare le autorità competenti (ndr il Garante dela Privacy) entro 72 ore dalla scoperta dell’evento, tempo oltre il quale è necessario giustificare il motivo del ritardo.
Il Titolare deve quindi riferire il fatto e deve sporgere una denuncia scritta in cui devono obbligatoriamente comparire:
- Dinamica dell’evento;
- Tipo di dati coinvolti, quantificazione (anche sommaria) degli interessati colpiti dalla violazione;
- Dati di contatto del Titolare del trattamento o di un soggetto similare presente in azienda e facilmente raggiungibile;
- Le misure prese a seguito dell’attacco;
Il Garante della Privacy ha messo a disposizione un modello di denuncia del data breach: lo si può scaricare direttamente da questo link (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1915835 ).
Le autorità raccoglieranno la denuncia e provvederà a limitare i danni conseguenti alla violazione.
IL REGISTRO DELLE VIOLAZIONI E LE SANZIONI
Tutte le aziende sono obbligate a mantenere un registro delle violazioni, in cui vengono raccolti tutti i casi di data breach, anche quelli non comunicati alle autorità. Questi registri possono essere soggetti a controllo dal Garante della Privacy. Nel registro devono comparire:
- Data della violazione;
- Entità del danno;
- Riferimenti e contatti del Titolare del trattamento;
- Misure prese per ovviare al danno;
- Se la violazione è stata notificata o meno alle autorità competenti (in base a quanto descritto sopra, al capoverso “i primi passi da compiere dopo la scoperta di un data breach”);
- Se non è stato notificato nulla, motivare la mancata notificazione;
il GDPR ha previsto delle sanzioni molto salate nel caso in cui l’azienda non dovesse rispettare l’iter di notifica del data breach.
Precisazioni
Il Garante per la protezione dei dati personali ha dato disposizioni ben precise a chi tratta dati particolari, quali quelli biometrici, sanitari piuttosto che per le società telefoniche ed internet provider.
La notifica del data breach di dati biometrici deve pervenire alle autorità competenti entro 24 ore, mentre il termine è fissato per 48 ore dopo la scoperta del fatto per chi tratta i dossier sanitari elettronici.
Lo stesso termine di un giorno è previsto per le pubbliche amministrazioni.
Alle società telefoniche/internet provider sono concesse 24 ore dalla scoperta della violazione per notificare alle autorità competenti, mentre la notificazione agli interessati deve pervenire entro le 72 ore.