gdpr data breach breve guida pratica

GDPR e Data Breach che relazione hanno? Cosa bisogna sapere?

Uno degli adempimenti più significativi introdotti dal Regolamento UE sulla Protezione dei dati (GDPR) consiste nell’obbligo, per le Organizzazioni (amministrazioni pubbliche ed aziende) di comunicare all’Autorità Garante i casi di Data Breach, ovvero, tutte le violazioni riguardanti la perdita, la distruzione o la diffusione indebita dei dati personali trattati, nella misura in cui questi abbiano messo a rischio i diritti e le libertà dell’interessato.

Che cos’è dunque un Data Breach, quando si verifica, perché si verifica, come lo si deve valutare, cosa bisogna fare e quali sono le sanzioni?

Scopriamolo in questa breve guida.

Redazione Unolegal
Ufficio Compliance

INDICE:

Definizione Data Breach

In disciplina di GDPR, un Data Breach è una violazione di dati personali accertata.

Si definisce Data Breach <<ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati>>, come da Regolamento Europeo (art. 4, c. 12).

Quando si verifica un Data Breach?

Un Data Breach si verifica quando la violazione dei dati personali presenta un rischio per i diritti e le libertà delle persone fisiche interessate.

Nella evenienza di un incidente che interessi tali dati, e nella misura in cui in particolare si determini una perdita di riservatezza o di integrità o di disponibilità (R.I.D.), il Titolare del trattamento di tali dati ha l’onere di verificare tempestivamente l’accaduto valutandone eventuali ricadute sugli interessati.

Qualora queste siano accertate, siamo in presenza di un Data Breach.

Questo normalmente non dovrebbe accadere, in quanto il Titolare, secondo il GDPR, ha l’obbligo di mettere in atto adeguate misure di sicurezza tecniche ed organizzative tanto idonee quanto efficaci, in grado di contrastare qualsivoglia evento negativo.

Ne sono un esempio gli attacchi informatici, eventi naturali, calamità, negligenze, accadimenti di natura dolosa, ecc.

La corretta determinazione di tali misure di sicurezza deve essere attuata attraverso un processo di valutazione preventiva del rischio.

Perché si verifica un Data Breach?

Un Data Breach si verifica perché le misure di sicurezza messe in atto dall’organizzazione, non sono state sufficienti a fronte di qualsiasi evento negativo. Relativamente ad un trattamento di dati effettuato da un Titolare (Organizzazione), l’incidente è identificabile come Data Breach quando ha effetto su almeno uno dei tre elementi della R.I.D. , relativamente ai dati personali:
  1. R = Riservatezza, si intende garantire l’accesso alle informazioni esclusivamente ai soggetti che ne hanno effettivo diritto;
  2. I = Integrità, quando ci si riferisce alla caratteristica dell’informazione a non essere in alcun modo alterata o corrotta
  3. D = Disponibilità, l’informazione deve essere disponibile in caso di necessità

Come si deve valutare un Data Breach?

Per valutare un Data Breach occorre un preciso metodo che l’Organizzazione deve avere già strutturato e valutato, definendo un processo di gestione.

Soltanto un metodo analitico organizzato consente una corretta valutazione e successivamente la sua gestione.

Per emergenze, segnaliamo che l’Autorità Garante ha reso disponibile di recente uno strumento di autovalutazione (procedura di self assessment).

Si tratta, nello specifico, di un’auto-analisi finalizzata alla individuazione delle azioni da intraprendere in caso di Data Breach.

Quando parliamo di Data Breach, come già detto, dobbiamo essere certi che si tratti effettivamente di una violazione di dati personali e che quindi abbia inciso sulla disponibilità, integrità e riservatezza (R.I.D.) di dati aventi natura personale. E non invece di un mero incidente di sicurezza.

Spesso si verificano eventi che in realtà non sono qualificabili come Data Breach.

Per questo motivo è bene, oltre che consigliato, essere in possesso di una “procedura integrata” che contempli tanto la gestione degli incidenti di sicurezza quanto quella del Data Breach.

Riteniamo altrettanto importante che l’Organizzazione abbia creato un Team di gestione di questo tipo di eventi, disponibile ed in grado di operare in modalità h24, composto da competenze eterogenee in grado di valutare tutti gli aspetti dell’evento (da quelli tecnici a quelli legali).

Laddove non disponibile, l’intervento di un team di esperti più che consigliato è quasi obbligatorio al fine di evitare sanzioni impattanti.

Cosa fare in caso di Data Breach?

Come ogni altro tipo di incidente, in caso di Data Breach il primo obiettivo che si deve porre un’Organizzazione è quello di interrompere gli effetti negativi dell’evento.

Questo può avvenire sia in forma temporanea (workaround) che in forma definitiva (eliminando le cause che hanno determinato l’evento)

Contestualmente, o comunque il prima possibile, occorre ripristinare gli eventuali dati personali compromessi.

A seconda che si sia trattato di un evento impattante sulla riservatezza o integrità o disponibilità dei dati, questa essenziale attività potrà avvenire in modalità completamente differenti.

Ad esempio, se una serie di dati personali si “corrompe” per un guasto tecnico, l’operazione di ripristino dei backup sarà quella da attuare. 

Purtroppo, nel caso di perdita di riservatezza le possibilità di recupero saranno assai ridotte, anche se esistono strumenti in grado di recuperare ad esempio dati rubati e finiti nel dark web.

Riportiamo di seguito delle informazioni utili per conoscere come procedere.

Procedura Data Breach: come, quando e cosa fare

Esiste una procedura data breach
Come segnalare, cosa occorre conoscere ma soprattutto come ci si deve comportare?


Come segnalare un Data Breach

L’Autorità Garante della privacy GDPR ha rilasciato un servizio web utile come strumento di autovalutazione identificare e successivamente segnalare e le violazioni dei dati personali. 

Snellimento e semplificazioni sono i due ingredienti essenziali, conditi con una procedura di auto-valutazione, come detto più in alto nella guida.

Cosa cambia?  Nulla, oltre alla predetta autovalutazione.

In ogni caso, il Titolare del trattamento è tenuto a mantenere un Registro che evidenzi tali eventi avvenuti all’interno della propria Organizzazione.


Esiste un modello segnalazione Data Breach?

Si, è un modello compilato ed offerto dal Garante utile per procedere alla segnalazione in caso di comprovato Data Breach. Reperibile a questo link.


Entro quanto tempo va segnalato un Data Breach?

Entro 72 ore deve avvenire il (normale) processo di notificazione.


Chi deve segnalare un Data Breach?

Il Titolare del trattamento deve segnalare il Data Breach. Nella pratica, specie se è stato creato un Team di gestione sarà bene che sia lo stesso ad occuparsene, coinvolgendo il DPO ove presente per le valutazioni del caso.


E gli interessati/utenti coinvolti?

Il GDPR prevede, all’art. 34, che nel caso in cui la violazione presenti un “…rischio elevato per i diritti e le libertà delle persone fisiche” il Titolare è tenuto altresì a comunicare “senza ingiustificato ritardo” la violazione dei dati personali all’interessato.

Notifica Garante Privacy: e se si decidesse di non segnalare un Data Breach?

La notifica al Garante Privacy è vivamente consigliata.

Precisiamo che queste considerazioni non sono una esortazione a non effettuare la prevista segnalazione ma una semplice riflessione sul tema.

La domanda che tutti si pongono di fronte ad un evento valutato come effettivo Data Breach è quella se sia opportuno o meno effettuare una segnalazione.

Ci sono naturalmente pro e contro, come in tutti i contesti: analizziamo in breve le possibilità.

Possibili “scenari”:

  1. Non si effettua la notifica, nessuno se ne accorge, e non ci sono conseguenze:
    Nulla accade. Spesso le Organizzazioni scelgono di rischiare non segnalando alcuni eventi di minore importanza assumendosi il rischio di ricevere una sanzione
  2. Non si effettua la notifica, ma qualcuno se ne accorge, e ci sono conseguenze:
    l’omessa segnalazione viene svelata o a seguito di un accertamento dell’Autorità Garante o su “segnalazione” di un interessato, e l’Organizzazione potrebbe incorrere in una sanzione inasprita.
  3. Si effettua la notifica, e non ci sono conseguenze:
    quello “ideale”,  avendo adempiuto passo-passo facendo ciascuno la propria parte, non si verificano conseguenze sanzionatorie.
  4. Si effettua la notifica, e si manifestano conseguenze anche importanti:
    purtroppo non infrequente, si verifica quando la notificazione è causa di conseguenze per l’Organizzazione determinando come minimo una verifica ispettiva, e nei casi più complessi anche importanti sanzioni. Basti guardare le sanzioni che sono state irrogate nel corso del 2020 nonostante il contesto emergenziale.
Consigliamo vivamente di rispettare le normative vigenti. 

E di concludere la segnalazione annotando prontamente l’accaduto in un dedicato.

Le fattispecie vanno valutate attentamente

I nostri consulenti sono a tua disposizione per un supporto professionale

Sanzione GDPR in caso di data breach

Sanzione GDPR? Che cos’è? Vediamo cosa prevede il regolamento europeo.

Nel caso in cui le Organizzazioni (pubbliche amministrazioni, imprese) non rispettino gli obblighi previsti dal GDPR in materia di Data Breach, il regolamento prevede sanzioni pecuniarie fino a 10.000.000 euro o al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (primo scaglione), ovvero fino a 20.000.000 euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore (secondo scaglione).

Meglio essere preparati in materia? Giusto?
Scopri i corsi di formazione privacy ideati per diverse figure professionali.

GDPR e Data Breach: are you ready?

La confusione che si è generata tra GDPR e Data Breach è tanta.

Anche se tutti noi ci auguriamo di non dover mai utilizzare queste indicazioni, ricordiamo un’ultima volta che è molto importante predisporsi adeguatamente: il rischio sanzionatorio è davvero elevato.

Per prevenire il verificarsi di un evento di Data Breach ed essere pronti a rispondere tempestivamente arginando il più possibile i danni è fondamentale adottare specifiche metodologie.
 
Il consiglio è quello di dotarsi dell’aiuto di professionisti al fine di evitare danni di natura economica e reputazionale che possano avere un impatto devastante sull’azienda.
 
Speriamo che questa semplice, ma completa guida possa essere stata di ausilio alla comprensione del tema trattato.

Hai bisogno di consulenza in materia di privacy e GDPR?

Informativa breve sul Trattamento
ex art. 13 del Regolamento Generale per la Protezione dei Dati UE 2016/679 (di seguito GDPR)
v5.0 01/05/2021
Sistemi HS S.p.A. con sede in Via Torino, 176 – 10093 Collegno (TO),  facente parte del Gruppo SISTEMI UNO, (di seguito Gruppo), in qualità di Titolare del Trattamento (art. 24 del GDPR), si impegna costantemente nel tutelare i Dati Personali (di seguito DP). Il Titolare tratterà i DP (art. 4 par. 1 del GDPR), per le finalità che seguono. Gestione dell’invio delle informazioni richieste tramite il modulo di contatto, la cui base giuridica del trattamento è l’esecuzione di un contratto del quale l’Interessato, per l’effetto, è parte (art. 6 par. 1 lett. b del GDPR). I DP potranno essere altresì trattati, sulla base del manifestato consenso, per comunicazioni promozionali e di marketing, e sulla base di un ulteriore esplicito consenso, saranno comunicati alle altre Società del Gruppo per le medesime finalità. Al riguardo, tali attività di Trattamento saranno effettuate in conformità al Provvedimento del GPDP del 4 luglio 2013. Per ogni ulteriore chiarimento o dettaglio si rimanda alla Privacy Policy.
Letta e compresa l’informativa, e quanto di cui a corredo:
Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.