Cos’è una violazione dei dati personali?
L’art. 4 del GDPR definisce la violazione dei dati personali (data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Per chiarire meglio questa definizione, proviamo a fare alcuni esempi concreti di violazione dei dati personali:
Distruzione: per sbaglio cancello una cartella che conteneva dati dei miei clienti (nome, mail, telefono…) e non ho copia di quei dati da nessuna parte;
Perdita: non ricordo più la password che mi fa accedere ai dati personali contenuti nella chiavetta USB del mio ufficio (e non ho nessuna copia di backup);
Modifica: un mio dipendente accede ad un file condiviso e modifica dei dati senza autorizzazione perché, ad esempio, pensava fossero sbagliati;
Divulgazione: un dipendente pubblica sui social delle foto che riprendono alcuni suoi colleghi durante l’attività lavorativa. Seppur la finalità avesse un fine goliardico, rimane comunque una violazione.
Accesso non autorizzato: invio una mail contenente dei dati personali di alcuni clienti, mettendo però, per distrazione, in copia conoscenza destinatari che non avrebbero dovuto ricevere quella mail.
In questi casi l’autore della violazione compie l’atto specifico in maniera involontaria (o volontariamente, ma in buona fede).
L’articolo 4 del GDPR parla anche di violazioni non solo accidentali, ma anche “illecite”, ovvero come conseguenza di una condotta criminale.
In tal caso si parlerà di:
Distruzione Distruzione volontaria: elimino volontariamente dei dati personali contenuti in una cartella (conscio del fatto che non esistano copie di backup)
Perdita di accesso l’esempio più comune è quello del CriptoLoker: cripto tutti i dati contenuti nei pc di un’azienda e chiedo un riscatto per renderli nuovamente visibili
Modifica Compromissione: manometto volontariamente dei dati personali
Divulgazione Diffusione: diffondo sul web foto e video personali di altre persone con l’intenzione di rovinare la loro reputazione
Accesso non autorizzato Intrusione: un hacker penetra nei sistemi di una compagnia telefonica per copiare tutte le liste di clienti e leads
Cosa fare in caso di violazione dei dati personali?
L’articolo 33 del GDPR ci dice che “In caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all’autorità di controllo competente […] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.”
Cosa dovrà contenere l’eventuale notifica al Garante?
L’elenco dei contenuti della notifica viene riportato sempre nell’articolo 33 del GDPR:
- Natura della violazione;
- Categorie e numero approssimativo degli interessati;
- Categorie e numero approssimativo dei dati in questione;
- Nome e dati di contatto del DPO (Data Protection Officer) ove presente;
- Descrizione di probabili conseguenze della violazione;
- Descrizione delle misure adottate o che si vogliono adottare per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.
Il legislatore specifica anche che “Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo”.
Il Titolare del trattamento dovrà, infine, tenere traccia di tutti i data breach sospetti, i data breach effettivi, delle circostanze, delle conseguenze e delle misure adottate per porvi rimedio in un registro dedicato.
Tale documento consente all’autorità di controllo di verificare il rispetto della procedura di gestione del data breach.
In tutto questo, agli interessati devo comunicare qualcosa?
A chiarire questo aspetto è l’articolo 34 del GDPR:
“Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
[…]
La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali […]”.
Quando, invece, non è necessaria la comunicazione all’interessato?
L’articolo 34 del GDPR continua:
“Non è richiesta la comunicazione all’interessato se è soddisfatta una delle seguenti condizioni:
1. il Titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
2. il Titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
3. detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.”
Gestire un data breach con GDPR Zucchetti
GDPR Zucchetti dà la possibilità di gestire, descrivere, aggiornare e registrare tutto quello di cui abbiamo trattato finora, in pochi passaggi e attraverso un’interfaccia semplice ed intuitiva.
Per prima cosa, è necessario nominare il responsabile della gestione dei data breach che, eventualmente, potrà a sua volta creare un Team per la valutazione delle singole violazioni.
È molto semplice tenere traccia di tutte le segnalazioni dei data breach (o sospetti tali) tramite la funzione “Segnalazioni”.
Valutazione del data breach con GDPR Zucchetti
Nel caso in cui la segnalazione, dopo una verifica approfondita, non si rivelasse una vera e propria violazione dei dati, il software permette di contrassegnare la segnalazione come chiusa senza conseguenze.
In caso contrario si prosegue con l’analisi del data breach.
Analisi e notifica del data breach al Garante e agli interessati con GDPR Zucchetti
Con GDRP Zucchetti recuperare tutte le informazioni necessarie per descrivere il data breach e, successivamente, inoltrare la notifica al Garante, è un gioco da ragazzi!
Tramite la caratteristica di propedeuticità del software, è impossibile procedere alla compilazione di una sezione, senza aver prima terminato quella precedente.
In questo modo, il software obbliga l’utente ad inserire tutte le informazioni richieste senza il rischio di dimenticarsi dei passaggi.
Una volta analizzato il data breach e inserite tutte le informazioni necessarie, il software alimenterà in automatico il registro dei data breach per tenere traccia di tutte le violazioni avvenute in azienda.
È fondamentale che questo documento sia completo e aggiornato costantemente, in quanto è spesso oggetto di verifica e ispezione da parte dell’autorità di controllo.
Subire una violazione di dati personali in azienda è più facile e frequente di quanto non si possa pensare!
Non farti trovare impreparato: GDPR Zucchetti è la soluzione comoda e veloce per gestire anche questo tipo di imprevisti che possono tradursi in sanzioni!
Contattaci e fissa un appuntamento per scoprire tutte le funzionalità di GDPR Zucchetti!