GDPR e Data Breach: guida pratica

gdpr data breach breve guida pratica

GDPR e Data Breach che relazione hanno? Cosa bisogna sapere?

Uno degli adempimenti più significativi introdotti dal Regolamento UE sulla Protezione dei dati (GDPR) consiste nell’obbligo, per le organizzazioni (amministrazioni pubbliche, aziende e professionisti) di comunicare all’Autorità Garante i casi di Data Breach, ovvero, tutte le violazioni riguardanti la perdita, la distruzione o la diffusione indebita dei dati personali trattati, nella misura in cui questi abbiano messo a rischio i diritti e le libertà dell’interessato.

Che cos’è dunque un Data Breach, quando si verifica, perché si verifica, come lo si deve valutare, cosa bisogna fare e quali sono le sanzioni?

Scopriamolo in questa guida.

INDICE:

Definizione di Data Breach

In disciplina di GDPR, un Data Breach è una violazione di dati personali accertata.

Si definisce Data Breach <<ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati>>, come da Regolamento Europeo (art. 4, c. 12).

Quando si verifica un Data Breach?

Un Data Breach si verifica quando la violazione dei dati personali presenta un rischio per i diritti e le libertà delle persone fisiche interessate.

Nella evenienza di un incidente che interessi tali dati, e nella misura in cui in particolare si determini una perdita di riservatezza o di integrità o di disponibilità (R.I.D.), il Titolare del trattamento di tali dati ha l’onere di verificare tempestivamente l’accaduto valutandone eventuali ricadute sugli interessati.

Qualora queste siano accertate, siamo in presenza di un Data Breach.

Questo normalmente non dovrebbe accadere, in quanto il Titolare, secondo il GDPR, ha l’obbligo di mettere in atto adeguate misure di sicurezza tecniche ed organizzative tanto idonee quanto efficaci, in grado di contrastare qualsivoglia evento negativo.

Ne sono un esempio gli attacchi informatici, eventi naturali, calamità, negligenze, accadimenti di natura dolosa, ecc.

La corretta determinazione di tali misure di sicurezza deve essere attuata attraverso un processo di valutazione preventiva del rischio.

Perché si verifica un Data Breach?

Un Data Breach si verifica perché le misure di sicurezza messe in atto dall’organizzazione non sono state sufficienti a fronte di qualsiasi evento negativo.

Relativamente ad un trattamento di dati effettuato da un Titolare (organizzazione), l’incidente è identificabile come Data Breach quando ha effetto su almeno uno dei tre elementi della R.I.D. , relativamente ai dati personali:

  1. R = Riservatezza: si intende garantire l’accesso alle informazioni esclusivamente ai soggetti che ne hanno effettivo diritto;
  2. I = Integrità: quando ci si riferisce alla caratteristica dell’informazione a non essere in alcun modo alterata o corrotta
  3. D = Disponibilità: l’informazione deve essere disponibile in caso di necessità

Come si deve valutare un Data Breach?

Per valutare un Data Breach occorre un preciso metodo che l’organizzazione deve avere già strutturato e valutato, definendo un processo di gestione.

Soltanto un metodo analitico organizzato consente una corretta valutazione e successivamente la sua gestione.

Per emergenze, segnaliamo che l’Autorità Garante ha reso disponibile di recente uno strumento di autovalutazione (procedura di self assessment).

Si tratta, nello specifico, di un’auto-analisi finalizzata alla individuazione delle azioni da intraprendere in caso di Data Breach.

Quando parliamo di Data Breach, come già detto, dobbiamo essere certi che si tratti effettivamente di una violazione di dati personali e che quindi abbia inciso su disponibilità, integrità e riservatezza (R.I.D.) di dati aventi natura personale. E non invece di un mero incidente di sicurezza.

Spesso si verificano eventi che in realtà non sono qualificabili come Data Breach.

Per questo motivo è bene, oltre che consigliato, essere in possesso di una “procedura integrata” che contempli tanto la gestione degli incidenti di sicurezza quanto quella del Data Breach.

Riteniamo altrettanto importante che l’organizzazione abbia creato un Team di gestione di questo tipo di eventi, disponibile ed in grado di operare in modalità H24, composto da competenze eterogenee in grado di valutare tutti gli aspetti dell’evento (da quelli tecnici a quelli legali).

Laddove non disponibile, l’intervento di un team di esperti più che consigliato è quasi obbligatorio al fine di evitare sanzioni impattanti.

Cosa fare in caso di Data Breach?

Come ogni altro tipo di incidente, in caso di Data Breach il primo obiettivo che si deve porre un’organizzazione è quello di interrompere gli effetti negativi dell’evento.

Questo può avvenire sia in forma temporanea (workaround) che in forma definitiva (eliminando le cause che hanno determinato l’evento)

Contestualmente, o comunque il prima possibile, occorre ripristinare gli eventuali dati personali compromessi.

A seconda che si sia trattato di un evento impattante sulla riservatezza o integrità o disponibilità dei dati, questa essenziale attività potrà avvenire in modalità completamente differenti.

Ad esempio, se una serie di dati personali si “corrompe” per un guasto tecnico, l’operazione di ripristino dei backup sarà quella da attuare. 

Purtroppo, nel caso di perdita di riservatezza le possibilità di riduzione del danno saranno assai ridotte, anche se esistono strumenti in grado di recuperare ad esempio dati rubati e finiti nel dark web.

Riportiamo di seguito delle informazioni utili per conoscere come procedere.

Procedura Data Breach: cosa fare, come e quando

Esiste una procedura data breach
Vediamo ora come effettuare la segnalazione, cosa occorre conoscere ma soprattutto come ci si deve comportare.

Come segnalare un Data Breach

L’Autorità Garante della privacy GDPR ha rilasciato un servizio web utile come strumento di autovalutazione identificare e successivamente segnalare e le violazioni dei dati personali. 

Snellimento e semplificazioni sono i due elementi essenziali, abbinati ad una procedura di auto-valutazione, come detto più in alto nella guida.

Cosa cambia?  Nulla, oltre alla predetta autovalutazione.

In ogni caso, il Titolare del trattamento è tenuto a mantenere un Registro che evidenzi tali eventi avvenuti all’interno della propria organizzazione.

Esiste un modello segnalazione Data Breach?

Si, è un modello compilato ed offerto dal Garante utile per procedere alla segnalazione in caso di comprovato Data Breach. 

Entro quanto tempo va segnalato un Data Breach?

Entro 72 ore deve avvenire il (normale) processo di notificazione.

Chi deve segnalare un Data Breach?

Il Titolare del trattamento deve segnalare il Data Breach. Nella pratica, specie se è stato creato un Team di gestione sarà bene che sia lo stesso ad occuparsene, coinvolgendo il DPO, ove presente, per le valutazioni del caso.

E gli interessati/utenti coinvolti?

Il GDPR prevede, all’art. 34, che nel caso in cui la violazione presenti un “…rischio elevato per i diritti e le libertà delle persone fisiche” il Titolare è tenuto altresì a comunicare “senza ingiustificato ritardo” la violazione dei dati personali all’interessato.

Notifica Garante Privacy: e se si decidesse di non segnalare un Data Breach?

La notifica al Garante Privacy è vivamente consigliata.

Precisiamo che queste considerazioni non sono una esortazione a non effettuare la prevista segnalazione ma una semplice riflessione sul tema.

La domanda che tutti si pongono di fronte ad un evento valutato come effettivo Data Breach è quella se sia opportuno o meno effettuare una segnalazione.

Ci sono naturalmente pro e contro, come in tutti i contesti: analizziamo in breve le possibilità.

Possibili “scenari”:

  1. Non si effettua la notifica, nessuno se ne accorge, e non ci sono conseguenze:
    nulla accade. Spesso le organizzazioni scelgono di rischiare non segnalando alcuni eventi di minore importanza assumendosi il rischio di ricevere una sanzione.
  2. Non si effettua la notifica, ma qualcuno se ne accorge, e ci sono conseguenze:
    l’omessa segnalazione viene svelata o a seguito di un accertamento dell’Autorità Garante o su “segnalazione” di un interessato, e l’organizzazione potrebbe incorrere in una sanzione inasprita.
  3. Si effettua la notifica, e non ci sono conseguenze:
    si tratta dello scenario “ideale”. Avendo adempiuto a quanto illustrato in precedenza, non si verificano conseguenze sanzionatorie.
  4. Si effettua la notifica, e si manifestano conseguenze anche importanti:
    questo caso purtroppo non infrequente e si verifica quando la notificazione è causa di conseguenze per l’organizzazione, determinando come minimo una verifica ispettiva, e nei casi più complessi anche importanti sanzioni. 

Consigliamo vivamente di rispettare le normative vigenti. 

E di concludere la segnalazione annotando prontamente l’accaduto in un Registro dedicato.

Sanzione GDPR in caso di data breach

Sanzione GDPR? Che cos’è? Vediamo cosa prevede il Regolamento Europeo.

Nel caso in cui le organizzazioni (pubbliche amministrazioni, imprese) non rispettino gli obblighi previsti dal GDPR in materia di Data Breach, il Regolamento prevede sanzioni pecuniarie fino a 10.000.000 euro o al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (primo scaglione), ovvero fino a 20.000.000 euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore (secondo scaglione).

Meglio essere preparati in materia.
Scopri i corsi di formazione privacy ideati per diverse figure professionali.

GDPR e Data Breach: la tua organizzazione è pronta?

La materia GDPR e Data Breach è complessa e richiede competenze specifiche. Ricordiamo che è molto importante predisporsi adeguatamente: il rischio sanzionatorio è davvero elevato.

Per prevenire il verificarsi di un evento di Data Breach ed essere pronti a rispondere tempestivamente arginando il più possibile i danni è fondamentale adottare specifiche metodologie.
 
I nostri consulenti sono a tua completa disposizione per approfondire la materia, al fine di evitare danni di natura economica e reputazionale che potrebbero avere impatti molto rilevanti.
 
Torna in alto