PREMESSA
In un’era digitale come quella in cui ci troviamo, le informazioni e i dati possono essere facilmente intercettati, copiati, trasportati e diffusi. Ogni sistema informativo e di comunicazione è potenzialmente soggetto ad attacchi ed intrusioni da parte di soggetti terzi non autorizzati.
Negli ultimi anni, infatti, le minacce cyber si sono ulteriormente evolute, sia sotto il punto di vista quantitativo che qualitativo.
DI COSA SI TRATTA?
Ai sensi dell’art. 4 GDPR per Data Breach si intende la violazione, volontaria o involontaria, della sicurezza dei dati personali di uno o più individui che può causare:
- Distruzione
- Perdita
- Modifica
- Divulgazione
- Accesso
POSSIBILI CAUSE DELLA VIOLAZIONE
Le cause principali di un Data Breach sono ascrivibili ad attacchi cyber, i quali sfruttano le vulnerabilità presenti nei sistemi. Dalle statistiche emerge, tuttavia, come la maggior parte delle violazioni derivi da errori umani o negligenza durante lo svolgimento delle attività da parte delle risorse aziendali (es: nuove installazioni, mutamenti architetturali, cambiamenti fornitori dei servizi IT, inesperienza…).
Di conseguenza, la preparazione del personale e la diffusione di una cultura della sicurezza informatica rappresentano elementi cruciali, non solo per un’efficace gestione dell’incidente, ma soprattutto in un’ottica di prevenzione.
COME TUTELARSI?
Occorre progettare sistemi e reti per monitorare le anomalie. In particolare, le organizzazioni necessitano di procedure e strategie volte alla protezione dei dati e delle informazioni, al fine di tutelarne:
1) Confidenzialità. Il dato non deve essere accessibili ai non autorizzati
2) Disponibilità. Il dato deve essere utilizzabile nel momento in cui è necessario
3) Integrità. Il dato non deve essere soggetto a modifiche non autorizzate
Le misure tecniche e organizzative predisposte devono riferirsi a tutto il ciclo di vita del trattamento, comprese quindi le fasi prodromiche e successive allo stesso (c.d. “privacy by design”) e il trattamento deve essere improntato sulla necessità, adeguatezza, periodo di conservazione e quantità dei dati raccolti, nonché sull’accessibilità ai dati medesimi (c.d. “privacy by default”).
OBBLIGHI
La violazione dei dati personali comporta, qualora la stessa rappresenti un rischio per le libertà e i diritti dell’interessato, l’obbligo in capo al titolare di notifica all’Autorità entro tempistiche stringenti e prestabilite (di regola, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui viene a conoscenza della violazione). Nei casi più gravi, la comunicazione deve essere effettuata anche nei confronti dell’interessato in modo da permettere a quest’ultimo di porre rimedio, in prima persona, ad eventuali conseguenze negative della violazione.
Nel valutare il rischio, il WP29 suggerisce di tenere in considerazione i seguenti fattori:
- Tipo di valutazione
- Gravità
- Volume dei dati personali
- Facilità di identificazione degli interessati
- Caratteristiche particolari degli interessati o del titolare
- Numero di persone coinvolte
COME INVIARE LA NOTIFICA AL GARANTE?
A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/.
Nella stessa pagina è disponibile un modello facsimile, utile per prendere coscienza dei contenuti che andranno comunicati ma che non potrà essere utilizzato per la notifica al Garante. È, infatti, necessario personalizzare ogni comunicazione.
Per semplificare gli adempimenti previsti, il Garante ha ideato e messo disposizione ai titolari del trattamento un apposito strumento di autovalutazione che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali.
SANZIONI
I Data Breach rappresentano spesso un danno ingente per le aziende che, alla luce delle normative nazionali e internazionali, possono essere soggette a pesanti sanzioni.
In caso di mancato adeguamento, imprese e professionisti possono incorrere in:
- sanzioni amministrative;
- sanzioni penali;
- richieste di risarcimento danni;
- divieto di trattamento dei dati personali raccolti fintantoché non venga ripristinata la conformità mancante.
Per quanto concerne l’aspetto pecuniario, il GDPR prevede sanzioni pari a:
· 10 milioni di euro o pari al 2% del fatturato dell’anno precedente per le imprese che non abbiano nominato il DPO, comunicato eventuali Data Breach all’Autorità Garante, violato le condizioni sul consenso al trattamento dei dati di minori o che abbiano trattato in maniera illecita i dati personali degli utenti;
· 20 milioni di euro o pari al 4% del fatturato dell’anno precedente per le imprese che abbiano trasferito illecitamente dati personali in altri Paesi o che non abbiano osservato un ordine imposto dal Garante.
