Cos’è un data breach?
Il data breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Vediamo come riconoscere un data breach e, soprattutto, cosa fare nelle 72 ore successive che la normativa privacy ci concede per notificare la violazione al Garante privacy.
Alcuni possibili esempi di data breach:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Cosa fare in caso di violazione dei dati personali?
Comunicare immediatamente il sospetto di un data breach alla propria Azienda (Titolare o Responsabile del trattamento coinvolto nella violazione di sicurezza) e valutare insieme al team preposto se si tratti effettivamente di una violazione di dati personali, di quale gravità e che impatto potrebbe avere sugli interessati.
Quando notificare al Garante il data breach?
Il Titolare del trattamento (soggetto pubblico, impresa, associazione, partito, libero professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il Titolare in modo che possa attivarsi di conseguenza.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Quando comunicare il data breach anche agli interessati coinvolti?
Se la violazione comporta un rischio elevato per i diritti delle persone, il Titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Registro data breach aziendale
Il Titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche relative allo storico delle violazioni e sul rispetto della normativa.