gdpr data breach breve guida pratica

GDPR e Data Breach che relazione hanno? Cosa bisogna sapere?

Uno degli adempimenti più significativi introdotti dal Regolamento UE sulla Protezione dei dati (GDPR) consiste nell’obbligo, per le Organizzazioni (amministrazioni pubbliche ed aziende) di comunicare all’Autorità Garante i casi di Data Breach, ovvero, tutte le violazioni riguardanti la perdita, la distruzione o la diffusione indebita dei dati personali trattati, nella misura in cui questi abbiano messo a rischio i diritti e le libertà dell’interessato.

Che cos’è dunque un Data Breach, quando si verifica, perché si verifica, come lo si deve valutare, cosa bisogna fare e quali sono le sanzioni?

Scopriamolo in questa breve guida.

Redazione Unolegal
Ufficio Compliance

INDICE:


Data Breach: definizione

Si definisce Data Breach <<ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati>>, come da Regolamento Europeo (art. 4, c. 12).

In parole semplici,  in disciplina di GDPR, un Data Breach è una violazione di dati personali, accertata nei termini di cui si è già accennato.

Quando si verifica un Data Breach?

Un Data Breach si verifica quando la violazione dei dati personali presenta un rischio per i diritti e le libertà delle persone fisiche interessate.

Nella evenienza di un incidente che interessi tali dati, e nella misura in cui in particolare si determini una perdita di riservatezza o di integrità o di disponibilità (R.I.D.), il Titolare del trattamento di tali dati ha l’onere di verificare tempestivamente l’accaduto valutandone eventuali ricadute sugli interessati.

Qualora queste siano accertate, siamo certamente in presenza di un Data Breach.

Questo normalmente non dovrebbe accadere, in quanto il Titolare, secondo il GDPR, ha l’obbligo di mettere in atto adeguate misure di sicurezza tecniche ed organizzative tanto idonee quanto efficaci, in grado di contrastare qualsivoglia evento negativo.

Ne sono un esempio gli attacchi informatici, eventi naturali, calamità, negligenze, accadimenti di natura dolosa, ecc.

La corretta determinazione di tali misure di sicurezza deve essere attuata attraverso un processo di valutazione preventiva del rischio.

Perché si verifica un Data Breach?

Un Data Breach si verifica perché le misure di sicurezza messe in atto dall’organizzazione, non sono state sufficienti a fronte di qualsiasi evento negativo. Relativamente ad un trattamento di dati effettuato da un Titolare (Organizzazione), l’incidente è identificabile come Data Breach quando ha effetto su almeno uno dei tre elementi della R.I.D. , relativamente ai dati personali:
  1. R = Riservatezza, si intende garantire l’accesso alle informazioni esclusivamente ai soggetti che ne hanno effettivo diritto;
  2. I = Integrità, quando ci si riferisce alla caratteristica dell’informazione a non essere in alcun modo alterata o corrotta
  3. D = Disponibilità, l’informazione deve essere disponibile in caso di necessità

Come si deve valutare un Data Breach?

Per valutare un Data Breach occorre un preciso metodo che l’Organizzazione deve avere già strutturato e valutato, definendo un processo di gestione.

Soltanto un metodo analitico organizzato consente una corretta valutazione e successivamente la sua gestione.

Per emergenze, segnaliamo che l’Autorità Garante ha reso disponibile di recente uno strumento di autovalutazione (procedura di self assessment).

Si tratta, nello specifico, di un’auto-analisi finalizzata alla individuazione delle azioni da intraprendere in caso di Data Breach.

Quando parliamo di Data Breach, come già detto, dobbiamo essere certi che si tratti effettivamente di una violazione di dati personali e che quindi abbia inciso sulla disponibilità, integrità e riservatezza (R.I.D.) di dati aventi natura personale. E non invece di un mero incidente di sicurezza.

Spesso si verificano eventi che in realtà non sono qualificabili come Data Breach.

Per questo motivo è bene, oltre che consigliato, essere in possesso di una “procedura integrata” che contempli tanto la gestione degli incidenti di sicurezza quanto quella del Data Breach.

Riteniamo altrettanto importante che l’Organizzazione abbia creato un Team di gestione di questo tipo di eventi, disponibile ed in grado di operare in modalità h24, composto da competenze eterogenee in grado di valutare tutti gli aspetti dell’evento (da quelli tecnici a quelli legali).

Laddove non disponibile, l’intervento di un team di esperti più che consigliato è quasi obbligatorio al fine di evitare sanzioni impattanti.

Cosa fare in caso di Data Breach?

Come ogni altro tipo di incidente, in caso di Data Breach il primo obiettivo che si deve porre un’Organizzazione è quello di interrompere gli effetti negativi dell’evento.

Questo può avvenire sia in forma temporanea (workaround) che in forma definitiva (eliminando le cause che hanno determinato l’evento)

Contestualmente, o comunque il prima possibile, occorre ripristinare gli eventuali dati personali compromessi.

A seconda che si sia trattato di un evento impattante sulla riservatezza o integrità o disponibilità dei dati, questa essenziale attività potrà avvenire in modalità completamente differenti.

Ad esempio, se una serie di dati personali si “corrompe” per un guasto tecnico, l’operazione di ripristino dei backup sarà quella da attuare. Purtroppo, nel caso di perdita di riservatezza le possibilità di recupero saranno assai ridotte, anche se esistono strumenti in grado di recuperare ad esempio dati rubati e finiti nel dark web.

Riportiamo di seguito delle informazioni utili per conoscere come procedere.

Procedura Data Breach

Come segnalare un Data Breach? Esiste una procedura? Cosa occorre conoscere? Ma soprattutto come ci si deve comportare?

Come segnalare un Data Breach

L’Autorità Garante della privacy GDPR ha rilasciato un servizio web utile come strumento di autovalutazione identificare e successivamente segnalare e le violazioni dei dati personali. 

Snellimento e semplificazioni sono i due ingredienti essenziali, conditi con una procedura di auto-valutazione, come detto più in alto nella guida.

Cosa cambia?  Nulla, oltre alla predetta autovalutazione.

In ogni caso, il Titolare del trattamento è tenuto a mantenere un Registro che evidenzi tali eventi avvenuti all’interno della propria Organizzazione.

Esiste un modello segnalazione Data Breach?

Si, è un modello compilato ed offerto dal Garante utile per procedere alla segnalazione in caso di comprovato Data Breach. Reperibile a questo link.

Entro quanto tempo va segnalato un Data Breach?

Entro 72 ore deve avvenire il (normale) processo di notificazione.

Chi deve segnalare un Data Breach?

Il Titolare del trattamento deve segnalare il Data Breach. Nella pratica, specie se è stato creato un Team di gestione sarà bene che sia lo stesso ad occuparsene, coinvolgendo il DPO ove presente per le valutazioni del caso.

E gli interessati/utenti coinvolti?

Il GDPR prevede, all’art. 34, che nel caso in cui la violazione presenti un “…rischio elevato per i diritti e le libertà delle persone fisiche” il Titolare è tenuto altresì a comunicare “senza ingiustificato ritardo” la violazione dei dati personali all’interessato.

Notifica garante privacy: e se si decidesse di non segnalare un Data Breach?

Precisiamo che queste considerazioni non sono una esortazione a non effettuare la prevista segnalazione ma una semplice riflessione sul tema.

La domanda che tutti si pongono di fronte ad un evento valutato come effettivo Data Breach è quella se sia opportuno o meno effettuare una segnalazione.

Ci sono naturalmente pro e contro, come in tutti i contesti: analizziamo in breve le possibilità.

Possibili “scenari”:

  1. Non si effettua la notifica, nessuno se ne accorge, e non ci sono conseguenze:
    Nulla accade. Spesso le Organizzazioni scelgono di rischiare non segnalando alcuni eventi di minore importanza assumendosi il rischio di ricevere una sanzione
  2. Non si effettua la notifica, ma qualcuno se ne accorge, e ci sono conseguenze:
    l’omessa segnalazione viene svelata o a seguito di un accertamento dell’Autorità Garante o su “segnalazione” di un interessato, e l’Organizzazione potrebbe incorrere in una sanzione inasprita.
  3. Si effettua la notifica, e non ci sono conseguenze:
    quello “ideale”,  avendo adempiuto passo-passo facendo ciascuno la propria parte, non si verificano conseguenze sanzionatorie.
  4. Si effettua la notifica, e si manifestano conseguenze anche importanti:
    purtroppo non infrequente, si verifica quando la notificazione è causa di conseguenze per l’Organizzazione determinando come minimo una verifica ispettiva, e nei casi più complessi anche importanti sanzioni. Basti guardare le sanzioni che sono state irrogate nel corso del 2020 nonostante il contesto emergenziale.
Consigliamo vivamente di rispettare le normative vigenti. E di concludere la segnalazione annotando prontamente l’accaduto in un Registro Data Breach dedicato.

Le fattispecie vanno valutate attentamente

I nostri consulenti sono a tua disposizione per un supporto professionale

Sanzioni GDPR: in caso di data breach?

Nel caso in cui le Organizzazioni (Pubbliche Amministrazioni, imprese) non rispettino gli obblighi previsti dal GDPR in materia di Data Breach, il Regolamento prevede sanzioni pecuniarie fino a 10.000.000 euro o al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (primo scaglione), ovvero fino a 20.000.000 euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore (secondo scaglione).

GDPR e Data Breach: are you ready?

La confusione che si è generata tra GDPR e Data Breach è tanta.

Anche se tutti noi ci auguriamo di non dover mai utilizzare queste indicazioni, ricordiamo un’ultima volta che è molto importante predisporsi adeguatamente: il rischio sanzionatorio è davvero elevato.

Per prevenire il verificarsi di un evento di Data Breach ed essere pronti a rispondere tempestivamente arginando il più possibile i danni è fondamentale adottare specifiche metodologie.
 
Il consiglio è quello di dotarsi dell’aiuto di professionisti al fine di evitare danni di natura economica e reputazionale che possano avere un impatto devastante sull’azienda.
 
Speriamo che questa semplice, ma completa guida possa essere stata di ausilio alla comprensione del tema trattato.

Hai bisogno di consulenza in materia di privacy e GDPR?

Informativa breve sul Trattamento
ex art. 13 del Regolamento Generale per la Protezione dei Dati UE 2016/679 (di seguito GDPR)
v5.0 01/05/2021
Sistemi HS S.p.A. con sede in Via Torino, 176 – 10093 Collegno (TO),  facente parte del Gruppo SISTEMI UNO, (di seguito Gruppo), in qualità di Titolare del Trattamento (art. 24 del GDPR), si impegna costantemente nel tutelare i Dati Personali (di seguito DP). Il Titolare tratterà i DP (art. 4 par. 1 del GDPR), per le finalità che seguono. Gestione dell’invio delle informazioni richieste tramite il modulo di contatto, la cui base giuridica del trattamento è l’esecuzione di un contratto del quale l’Interessato, per l’effetto, è parte (art. 6 par. 1 lett. b del GDPR). I DP potranno essere altresì trattati, sulla base del manifestato consenso, per comunicazioni promozionali e di marketing, e sulla base di un ulteriore esplicito consenso, saranno comunicati alle altre Società del Gruppo per le medesime finalità. Al riguardo, tali attività di Trattamento saranno effettuate in conformità al Provvedimento del GPDP del 4 luglio 2013. Per ogni ulteriore chiarimento o dettaglio si rimanda alla Privacy Policy.
Letta e compresa l’informativa, e quanto di cui a corredo:
Condividi su twitter
Condividi su linkedin
Condividi su email

“3 anni dopo: oltre il GDPR?”

Iscriviti e partecipa al nuovo talk di Privacy Revolution!