Data Breach: istruzioni pratiche per l’uso
Gli articoli 33 e 34 del GDPR sono dedicati al data breach, ovvero alla gestione della ‘violazione dei dati personali’. Per meglio comprendere gli obblighi e le modalità di gestione del data breach, è necessario innanzitutto chiarire il significato di tale espressione.
DI COSA SI TRATTA?
Per data breach si intende la violazione, accidentale o illecita, che comporta la distruzione, la perdita, la modifica o la divulgazione non autorizzata dei dati personali. Non è rilevante, secondo il GDPR, se la violazione sia accidentale o illecita: ciò che importa, è che vi sia stata violazione dei dati.
Non v’è differenza, in altri termini, se il data breach si è verificato per un attacco informatico da parte di hacker, o se si è verificato per un errore di invio di una e.mail. La violazione, infatti, accidentale o illecita che sia, determina sempre, in capo al Titolare, l’insorgere di alcuni specifici obblighi. Vediamo nel dettaglio di cosa si tratta.
COME COMPORTARSI?
Innanzitutto, l’art. 33 del GDPR stabilisce che il Titolare è tenuto a documentare qualsiasi violazione dei dati personali; indicando in un apposito registro la tipologia della violazione, le circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
In primo luogo, pertanto, è necessario che il Titolare si doti di un registro ove annotare i data breach, ma, soprattutto, predisponga una procedura che definisca le modalità di gestione della violazione dei dati. In altri termini, è opportuno che ogni incaricato al trattamento conosca, allorché si verifichi un data breach, il referente a cui segnalarlo, affinché siano messe in atto le misure necessarie a porre rimedio alla violazione.
La violazione, poi deve essere notificata al più presto, e comunque entro 72 ore dal momento in cui il Titolare ne è venuto a conoscenza, al Garante della Privacy. La notifica non è necessaria se è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. La notifica deve:
a) descrivere la violazione.
b) descrivere la categoria e numero degli interessati.
c) descrivere le possibili conseguenze.
d) indicare i dati di contatto del DPO.
e) descrivere le misure adottate per porre rimedio alla violazione.
Qualora poi la violazione dei dati personali possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare deve comunicare, senza ingiustificato ritardo, la violazione ad ogni interessato.
QUANDO OMETTERLA?
Tale comunicazione può essere omessa qualora:
a) il titolare abbia attuato misure tecniche e organizzative adeguate di protezione dei dati personali oggetto di violazione, in particolare quelle destinate a rendere i dati personali incomprensibili (come in caso di cifratura dei dati).
b) qualora il titolare, successivamente alla violazione, abbia adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.
c) la comunicazione richieda sforzi sproporzionati al rischio.
Si confida che questa breve guida pratica possa essere utile nella gestione più celere delle operazioni necessarie da porre in essere in caso di violazione dei dati personali.
Con provvedimento 30.7.19 il Garante ha adottato uno schema di notificazione del data breach, reperibile al link sottostante
Per maggiori approfondimenti si rimanda, oltre che agli articoli del GDPR menzionati, anche le linee guida adottate dal ‘Gruppo di lavoro art. 290 il 3.10.17, emendate il 6.2.18.
Per ulteriori informazioni
