Che cos’è un data breach e come deve essere gestito?

Un Data Breach, se non correttamente gestito, può avere ripercussioni significative sulle persone fisiche coinvolte (interessati) ma anche sull’organizzazione che ricopre il ruolo di Titolare del trattamento. 


 

Il Regolamento (UE) 2016/679 (GDPR) definisce una violazione di dati personali (c.d. Data Breach) come una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Per Data Breach si intende dunque una tipologia di incidente di sicurezza che determina una violazione della riservatezza, dell’integrità o della disponibilità di dati personali, a causa della quale il Titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati di cui all’art. 5 del GDPR.

Un Data Breach può avere ripercussioni significative sia sull’organizzazione che ricopre il ruolo di Titolare del trattamento che sulle persone fisiche i cui dati sono violati.
Il Titolare può subire danni di natura economica, finanziaria e reputazionale: dai costi di un’interruzione delle attività operative alle eventuali sanzioni comminate dalle Autorità competenti fino alla perdita di fiducia nell’organizzazione stessa da parte dei propri stakeholder.
Per le persone fisiche, le conseguenze possono essere più o meno gravi a seconda della tipologia e del volume dei dati coinvolti: ad esempio, un accesso non autorizzato ai dati di un’azienda che produce beni alimentari potrebbe porre le basi per l’esecuzione di truffe e furti di identità ai danni dei clienti.
Diversamente, a seguito di una perdita di disponibilità dei propri dati, un’organizzazione operante nel settore della sanità potrebbe non essere in grado di garantire ai propri pazienti l’assistenza medica di cui hanno bisogno, compromettendone in maniera anche irreversibile la salute.

Al fine di minimizzare i possibili impatti negativi di una violazione di dati personali, è fondamentale che il Titolare del trattamento sia in grado di identificarla e gestirla tempestivamente.
Una volta acquisita la segnalazione relativa ad un incidente di sicurezza, è opportuno innanzitutto analizzarla e valutarla in modo da confermare o escludere che si tratti di una violazione di dati personali.
Nel caso in cui la valutazione confermi che l’incidente costituisce un Data Breach, è necessario essere in grado in breve tempo di stimarne la gravità e la probabilità del rischio che essa comporta per i diritti e le libertà delle persone fisiche.

Riconoscere la presenza di un rischio probabile consente di indirizzare idonee attività correttive per mitigare gli impatti della violazione sugli interessati.
Tale valutazione è fondamentale anche per comprendere se sia necessario o meno effettuare la notifica al Garante per la Protezione dei Dati Personali.
Queste considerazioni devono essere realizzate in tempi stringenti, in quanto l’art. 33 del GDPR specifica che la notifica deve essere effettuata “senza ingiustificato ritardo e, ove possibile, entro 72 ore” dal momento in cui il Titolare del trattamento sia venuto a conoscenza della violazione.
Per quanto non costituisca la regola, è altresì possibile inviare la notifica una volta scadute le 72 ore, corredando il documento con i motivi del ritardo.
Inoltre, il termine di 72 ore definito dalla normativa solleva un problema rilevante: è necessario stabilire l’esatto momento in cui il Titolare sia venuto a conoscenza della violazione e tale operazione può risultare difficoltosa a seconda delle circostanze del Data Breach.

Un aspetto non meno rilevante è l’eventuale comunicazione agli interessati, ai sensi dell’art. 34 del GDPR, che il Titolare del trattamento deve effettuare nel caso in cui la violazione comporti un rischio elevato per gli stessi.
Una comunicazione tempestiva consente alle persone fisiche di prendere adeguati provvedimenti per proteggersi dalle eventuali conseguenze negative della violazione, pertanto devono essere valutati con cura il linguaggio e la chiarezza espositiva.

Un’organizzazione deve quindi disporre di un efficiente processo di gestione dei Data Breach, in grado di guidare i soggetti preposti alle varie funzioni organizzative attraverso l’intero ciclo di vita di una violazione, rispettando i termini stringenti indicati dalla normativa.

Condividi

Condividi

Foto di Davide Stefanello

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche