Privacy: come gestire un data breach

Il data breach consiste in una violazione dei dati che determina la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali. E’ in definitiva un’anomalia che colpisce i dati dell’interessato, che fuoriescono da un archivio custodito e iniziano a circolare e a diventare pubblici. Il GDPR vuole che tali eventi siano comunicati al Garante della privacy e agli interessati: la mancata notifica espone l’azienda all’applicazione di elevate sanzioni. Come evitare il rischio di data breach? Quali misure è opportuno adottare?
Il Regolamento UE 2016/679 – GDPR in materia di protezione dei dati personali dedica una disciplina specifica al “data breach”, ossia all’ipotesi di una violazione dei dati idonea a comportare – accidentalmente o come conseguenza di un illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Si tratta dell’incubo peggiore previsto dal Legislatore europeo nella nuova società dell’informazione, dove anche grandi piattaforme e server/servizi custodiscono i dati di milioni di utenti con indirizzi e-mail, credenziali, indirizzi e numeri di carte di credito.
Una violazione di questi tipi di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni gravissimi alle persone fisiche.
Tali danni possono consistere, ad esempio, nella perdita del controllo dei dati da parte degli interessati stessi, nella limitazione o soffocamento dei loro diritti, nella discriminazione nel contesto sociale dove vivono e lavorano, nell’usurpazione o nel furto di identità, in perdite finanziarie, nella decifratura non autorizzata della pseudonimizzazione, in un pregiudizio alla reputazione, nella perdita di riservatezza dei dati personali protetti da segreto professionale e, in generale, in tantissimi danni economici o sociali significativo.
Notifica al Garante
Per tale ragione, l’Articolo 33 del GDPR prevede che, in caso di violazione di archivi contenenti dati personali (ma, anche, in caso di smarrimento o furto di una chiavetta, di un hard disk esterno o di un computer portatile) il titolare del trattamento debba notificare la suddetta violazione all’autorità di controllo competente (ossia: al Garante) entro 72 ore dal momento in cui ne è venuto a conoscenza.
La comunicazione deve essere fatta anche a tutti gli utenti/interessati cui i dati si riferiscono, a meno che sia improbabile che quella violazione dell’archivio rappresenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale comunicazione deve essere accompagnata dalle ragioni del ritardo nell’agire in tal senso.
La notifica, in particolare, deve descrivere la natura della violazione, indicando – ove possibile – le categorie e il numero approssimativo dei dati personali violati e degli interessati coinvolti. Deve, inoltre, contenere il nome e i dati di contatto del responsabile della protezione dei dati o di un altro punto di contatto presso cui sia consentito ottenere più informazioni. Infine, deve descrivere le probabili conseguenze della violazione e le misure adottate, o di cui si propone l’adozione, al fine di porre rimedio alla violazione o di attenuarne i possibili effetti negativi.
Comunicazione all’interessato
Ai sensi dell’Articolo 34, poi, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe comunicarla senza indebito ritardo anche all’interessato stesso, consentendogli, in tal modo, di prendere le precauzioni necessarie.
L’articolo Privacy: come gestire un data breach proviene da Studio Alaimo Commercialisti Associati.
Powered by WPeMatico