Con l’introduzione del GDPR, il regolamento europeo sul trattamento dei dati personali, la tutela della privacy dei dati informatici è diventato un tema importante nella vita professionale di aziende e professionisti. Con esso, un nuovo termine è entrato a far parte del vocabolario: Data Breach.
COSA SIGNIFICA DATA BREACH
Con Data Breach si intende una qualsiasi violazione alla sicurezza (informatica) che comporta l’accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi.
In sostanza, è una violazione alla riservatezza, all’integrità e anche alla disponibilità di tali dati.
Non sempre il Data Breach è un processo volontario, come nel caso di furti o attacchi informatici. A volte, la violazione è del tutto involontaria e nasce dall’adozione di scarse misure di sicurezza.
ESEMPI DI VIOLAZIONI
L’esempio tipico di Data Breach è l’accesso da parte di terzi ai dati a causa di furto o smarrimento del dispositivo di archiviazione.
Spesso la violazione deriva dal comportamento malevolo di soggetti autorizzati ad accedere ai dati e intenzionati a diffonderli pubblicamente o a comportamenti criminosi da parte di soggetti non autorizzati (attacchi informatici, clonazione di carte di credito, ecc.).
In questo ultimo caso, è ormai frequente l’uso di malware che “sequestrano” i pc e impediscono al proprietario di accedere ai propri dati fintantoché non viene pagato un riscatto.
COSA FARE IN CASO DI DATA BREACH
Ad oggi, dicembre 2019, sul sito ufficiale il Garante della Privacy spiega che, in caso di Data Breach, il titolare del trattamento dati* (che siate voi, un’azienda o un altro professionista) è tenuto a notificare la violazione al Garante stesso entro 72 ore dalla scoperta della falla, insieme ai motivi dell’eventuale ritardo nella comunicazione.
L’obbligo alla notifica riguarda solo violazioni ai dati personali che possono incidere significativamente sui soggetti coinvolti. Un esempio è quando il Data Breach espone i soggetti al rischio di discriminazione, al furto di identità, a frodi, a perdite finanziare, a danni alla reputazione e alla perdita di riservatezza di dati coperti dal segreto professionale.
La notifica deve contenere le informazioni indicate nell’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).
Allegato al provvedimento vi è un modello che può essere scaricato e compilato.
Una volta creata, la notifica deve essere sottoscritta con firma digitale e inviata al Garante tramite mail PEC a protocollo@pec.gpdp.it. Può anche essere inviata tramite email ordinaria a protocollo@gpdp.it sottoscritta con firma autografa e accompagnata dalla copia del documento d’identità del firmatario.
L’oggetto della mail deve essere “NOTIFICA VIOLAZIONE DATI PERSONALI”.
Oltre alla notifica al Garante, se la violazione comporta un rischio elevato per i diritti delle persone coinvolte, il titolare deve informare tutti gli interessati tramite i canali più appropriati, a meno che abbia già provveduto a dotare misure atte a limitare i danni.
Indipendentemente dalla notifica al Garante, il titolare tiene traccia di tutte le violazioni. Per farlo, può provvedere alla creazione di un apposito registro che permetterà all’Autorità di verificare il rispetto delle normative.
Il Garante sta lavorando per rendere disponibile a breve una procedura di segnalazione online.
Hai bisogno di migliorare le procedure di trattamento dei dati personali interne alla tua azienda? Scopri le nostre soluzioni.
[* Il titolare del trattamento non è chi gestisce i dati, ma chi decide le finalità e le modalità del loro trattamento. È il soggetto responsabile giuridicamente del rispetto degli obblighi normativi in materia di protezione dei dati, nazionali e internazionali.]
———-
LEGGI ANCHE:
Hai difficoltà a depositare con Service1? Forse è colpa dell’antivirus!