Cosa fare in caso di data breach

Il data breach è  una violazione della sicurezza che comporta la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. La violazione può essere accidentale (ad esempio un incendio che distrugge un archivio) oppure intenzionale (un ransomware inoculato da un hacker nel pc di una rete aziendale al fine di chiedere un riscatto per la “liberazione” dei dati). 

Molto spesso queste violazioni comportano un pericolo per le persone a cui si riferiscono i dati violati e possono anche causare danni fisici, materiali o immateriali. La indebita diffusione di dati personali e sensibili potrebbe, infatti, essere alla base di discriminazione, furto di identità, frode, perdita finanziaria e di altri eventi negativi.

Nonostante i Titolari pongano in essere misure di sicurezza volte a prevenire i data breach, questi si verificano continuamente, poiché nessuno strumento di tutela è efficace al 100%.

Ogni Titolare deve, dunque, essere preparato a una siffatta eventualità e conoscere in anticipo i passi da intraprendere a seguito di una violazione della riservatezza, che possa comportare un rischio per i diritti delle persone. La legge esige, infatti, una risposta tempestiva.

L’art. 33 del GDPR richiede, infatti, che questa venga notificata al Garante per la Protezione dei dati Personali entro 72 ore dal momento in cui si è venuti a conoscenza della violazione. La medesima norma definisce anche quale deve essere il contenuto minimo della dichiarazione. Essa deve:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

La notifica può essere inviata via PEC, oppure utilizzando la nuova procedura online presente sul sito del Garante.

A seguito della ricezione, l’Autorità valuterà se il data breach è conseguenza di una violazione delle disposizioni del Regolamento da parte del Titolare. In tal caso, potrà disporre l’adozione di misure correttive (anche di natura tecnica e organizzativa) e comminare sanzioni pecuniarie, che possono arrivare fino a 10 milioni di euro, o corrispondere al 2% del fatturato mondiale dell’impresa).