La sicurezza è di fondamentale importanza in un mondo sempre più basato sui dati. Scopriamo cosa fare quando un’azienda deve affrontare un data breach.
Con l’espressione data breach si intende “ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, come da Regolamento Europeo (art. 4, c. 12).
Il data breach rappresenta in sostanza una perdita di riservatezza o di integrità o di disponibilità (R.I.D.) dei dati. Il titolare del trattamento dei dati in oggetto avrà quindi l’obbligo di verificare tempestivamente l’accaduto, valutandone le eventuali conseguenze sugli interessati.
Si parla di data breach quando a seguito di un attacco informatico, negligenze, calamità naturali e/o accadimenti di natura dolosa, i dati trattati vengono distrutti, diffusi, divulgati e/o persi.
Secondo il regolamento UE sulla protezione dei dati, meglio noto come GDPR, vi è l’obbligo per le organizzazioni (siano esse aziende e/o amministrazioni pubbliche) di comunicare all’Autorità Garante i casi di data breach. È sicuramente uno degli adempimenti più importanti e significativi introdotti da questa normativa.
Quando si verifica un data breach?
Si parla di data breach quando le misure cautelative utilizzate per la salvaguardia dei dati messe in atto da un organizzazione non sono state sufficienti. Nello specifico, quando almeno uno dei tre elementi della R.I.D. viene meno. Vale a dire:
- Riservatezza: con questo termine di indica la garanzia che l’accesso ai dati sia riservato ai soggetti che ne hanno effettivo diritto
- Integrità: l’informazione non dovrà essere in alcun modo alterata o corrotta
- Disponibilità: l’informazione deve essere sempre disponibile in caso di necessità
Come riconoscere un data breach?
L’organizzazione in oggetto deve avere stabilito un iter nonché aver individuato un team di persone qualificate a valutare e strutturare il riconoscimento di un data breach. Potendo contare su un processo di gestione già definito, la valutazione sarà più immediata e semplice.
Se, e solo se, si verifica un’effettiva violazione dei dati personali che abbia inciso sulla riservatezza, integrità e disponibilità, si potrà parlare di data breach. Diversamente, l’accaduto potrà essere derubricato a mero incidente di sicurezza.
Per garantire l’adeguata gestione e valutazione dello stato di emergenza qualora non fosse stato istituito e istruito un team interno, consigliamo di interpellare l’intervento di un team di esperti e/o di utilizzare lo strumento di autovalutazione messo a disposizione dell’Autorità Garante.
Che cosa fare in caso di data breach?
Come per ogni situazione di emergenza, nel caso in cui si verifichi un data breach, il primo obiettivo dell’organizzazione sarà di limitare i danni avvenuti come conseguenza dell’evento. Gli interventi, che potranno essere in forma definitiva o temporanea, avranno come finalità il ripristino degli eventuali dati personali compromessi.
È responsabilità del titolare del trattamento segnalare al Garante entro 72 ore dall’evento l’accaduto, tenendo aggiornato un registro che documenti e notifichi gli avvenimenti riscontrati nella propria organizzazione. Qualora sia presente all’interno dell’organizzazione, oltre al team di gestione è necessario coinvolgere anche il DPO.
Gli utenti interessati a questa violazione dei dati dovranno essere avvisati dell’accaduto secondo l’art. 34 del GDPR. Diversamente, il titolare e l’organizzazione saranno esposti a ragionevole rischio di incorrere in sanzioni.
Nel malaugurato caso in cui un’organizzazione non rispetti gli obblighi previsti e indicati dal GDPR relativi al data breach, sono previsti rettifiche economiche salate: dai 10.000 euro fino al 4% del fatturato annuale dell’esercizio precedente.
Immagine via Unsplash
