L’espressione data breach appartiene al mondo della gestione dei dati personali; viene utilizzata per identificare le violazioni dei sistemi di sicurezza messi a punto dal titolare del trattamento dei dati personali, che comportano, accidentalmente o con finalità illecita,
- la distruzione
- la perdita
- la modifica
- la divulgazione non autorizzata
- l’accesso
ai dati personali trasmessi, conservati o comunque trattati dal titolare.
Il concetto può apparire complesso, ma ecco alcuni esempi che lo rendono immediato e mostrano quanto l’eventualità di data breach sia tutt’altro che remota:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
La notifica del data breach al Garante
Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, causando danni fisici, materiali o immateriali, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.
La notifica deve essere trasmessa entro 72 ore dal momento in cui il titolare viene a conoscenza del data breach e, in caso di trasmissione oltre il termine delle 72 ore, motivando il ritardo.
A partire dal 1° luglio 2021 la notifica deve essere inviata al Garante tramite apposita procedura online raggiungibile CLICCANDO QUI. Rispetto a quanto accadeva in precedenza (invio a mezzo PEC di modulo sottoscritto digitalmente), questa modalità consente a ogni titolare di valutare attraverso la procedura di autovalutazione se sia necessario o meno procedere alla notifica al garante.
Altri adempimenti
Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali che ritiene più idonei, a meno che non abbia già preso misure tali da ridurne l’impatto.
In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutte le violazioni dei dati personali.
In genere si predispone un apposito registro che consenta di tracciare tutte le informazioni sufficienti a ricostruire l’accaduto, individuare eventuali responsabili, dare evidenza delle azioni intraprese per gestire la violazione e contenere il suo impatto, registrare la valutazione del rischio per i diritti delle persone in funzione del quale si è fatta seguire o meno la notifica al garante, dimostrare il rispetto del termine delle 72 ore e dettagliare le ragioni dell’eventuale ritardo della notifica. Per altro il registro, tenendo traccia delle violazioni nel tempo, può rappresentare un’utile fonte di informazioni sull’efficacia delle misure di sicurezza messe in atto, indirizzando il titolare nel miglioramento della gestione della privacy della sua organizzazione.