Vai al contenuto

Data breach: di cosa si tratta e come fare la segnalazione

    Negli ultimi anni, si parla tantissimo di data protection. Con l’entrata in vigore del GDPR, infatti, è cambiato l’approccio al web sia lato tecnici sia lato utenti. Da non dimenticare, inoltre, è la confidenza con l’informativa sul trattamento dei dati anche in forma cartacea.

    Dal 2018 ad oggi, sono entrate nella nostra quotidianità anche diverse espressioni tecniche, come per esempio data breach. Di cosa si tratta di preciso? Cosa bisogna fare per effettuare la segnalazione. Scopriamo, nelle prossime righe di questo articolo, la risposta agli interrogativi appena citati.

    Cos’è un data breach?

    Iniziamo con il dire che il data breach viene citato per la prima volta nell’articolo 4 – comma 12 per la precisione – del GDPR. Quando lo si nomina, si inquadrano i casi in cui si concretizza, per motivi sia accidentali sia illeciti, una compromissione della sicurezza dei dati personali. Questi ultimi, perché vi siano le basi per parlare di data breach, possono essere:

    • Modificati
    • Divulgati
    • Visionati a seguito di accesso

    Dalle righe precedenti possiamo capire che si può parlare di data breach sia quando un professionista che tratta dati personali dimentica il pc non adeguatamente protetto da password sul taxi, sia quando  viene hackerato un cloud caratterizzato dalla presenza di dati personali.

    La segnalazione

    Il professionista o l’azienda che trattano dati personali e che hanno a che fare con un data breach sono obbligati, come evidenziato dall’articolo 33 del Regolamento Europeo, a notificare quanto successo al DPO (Data Protection  Officer). La segnalazione non può essere fatta a caso. Ecco i dettagli da considerare:

    • Descrizione chiara della natura della violazione.
    • Focus sulle categorie di interessati coinvolti, ma anche sul loro numero.
    • Descrizione delle possibile conseguenze derivanti dalla sopra citata violazione.

    I dettagli da considerare non finiscono certo qui! Essenziale, infatti, è che il titolare del trattamento dei dati specifichi chiaramente quale misure ha intenzione di adottare per tamponare gli effetti del data breach.

    Il modello del Garante e i tempi

    In caso di data breach, per fortuna non si brancola nel buio. Il Garante, infatti, ha messo a disposizione sul suo sito un modello che può essere utilizzato dalle realtà che trattano dati personali.

    Doveroso è anche il focus sui tempi. Il data breach, infatti, va notificato entro e non oltre le 72 ore dal suo verificarsi.

    La comunicazione agli interessati

    Il data breach va comunicato agli interessati al trattamento dei dati? In questo caso, ci viene incontro il contenuto dell’articolo 34 del GDPR. Cosa dice? Che nell’eventualità di un rischio elevato per i diritti e le libertà della persona fisica gli interessati devono essere informati senza ingiustificato ritardo.

    Cosa succede in caso di omessa segnalazione?

    La data protection è una materia complessa e, quando la si chiama in causa, sono diverse le eventualità da considerare. Una di queste riguarda l’omessa segnalazione di una violazione di dati. Cosa succede se la cosa dovesse venire a galla? Che la società o il professionista possono incorrere in sanzioni pecuniarie a dir poco notevoli.

    Le sanzioni

    A questo punto è naturale chiedersi a quanto ammontino le sanzioni in caso di non osservanza delle linee guida del Regolamento Europeo in tema di data breach. Il GDPR è molto chiaro in merito: si parla di cifre che possono arrivare fino 1 milione di euro o al 2% del fatturato, concretizzato a livello mondiale, dell’esercizio precedente rispetto a quello in cui il data breach si è verificato.

    Il registro

    In conclusione – ci sarebbe molto altro da dire sul tema – rammentiamo che è obbligo per il DPO tenere sia un registro dei data breach e dei potenziali rischi per la sicurezza dei dati, in modo da farsi un’idea in merito alle violazioni più frequenti e alla sicurezza.