Come Agire in Caso di Data Breach o Violazione dei Dati Personali

Il tema della sicurezza online è in continua evoluzione ed il principale obiettivo del Garante della Privacy è infatti quello di assicurarsi che i dati personali degli utenti sul web siano costantemente protetti, mai violati e, se compromessi, che gli autori di determinate violazioni siano giustamente puniti. Si parla di data breach (ovvero di violazione dei dati personali) quando si verifica per l’appunto una violazione della sicurezza online che, in maniera accidentale o volontaria, comporta la distruzione/ la perdita/ la modifica/ la divulgazione non autorizzata/ l’accesso a dei dati personali di un altro utente. 

Questi tipi di incidenti informatici, che siano essi di natura dolosa o colposa, possono comunque compromettere la riservatezza, la disponibilità e l’integrità dei dati personali. Esempi di queste violazioni possono essere l’acquisizione di dati personali da parte di terzi non autorizzati, la divulgazione non autorizzata dei dati personali, la volontaria e colposa alterazione di dati personali, un attacco esterno da parte di un hacker che impedisce il futuro accesso ai dati, un incidente colposo dovuto ad eventi avversi quali incendi o altre calamità, il furto o la perdita di dispositivi informatici su cui erano salvati dati personali.

In quest’ulltimo caso, si parla di una specifica tipologia di Data Breach chiamata “fuga di dati”: con questa espressione, è solito intendere la divulgazione, volontaria o involontaria, di dati personali e/o sensibili a terzi non autorizzati. Ciò può avvenire a causa di un attacco informatico da parte di un hacker, che ha quindi volontariamente violato la sicurezza di un sistema di informazioni sensibili, o a causa di un semplice errore da parte di un impiegato o di una società. Anche in quest’ultimo caso, però, pur non trattandosi di un’azione dolosa, le conseguenze sono egualmente gravi: basti pensare a dei dati bancari che, se illegalmente divulgati, possono dar vita a spostamenti di denaro illeciti per conto di terzi.

Trattandosi quindi di un numero illimitato di pericoli che si intercorrono in questi casi, è bene sapere come comportarsi in caso di data Breach, fuga di dati e violazione di informazioni personali in generale. A tal proposito, il titolare del trattamento ha diritto di notificare la violazione ricevuta all’autorità di controllo, in forza dell’articolo 33 del GDPR (General Data Protection Regulation). Il GDPR è difatti il punto di riferimento ormai da anni per tutti coloro i quali subiscono torti in ambito della web reputation e quindi vogliono sapere come procedere legalmente nel caso in cui i loro dati personali siano compromessi o divulgati contro le loro volontà.

Nello specifico, nell’articolo 33 del GDPR sono precisate le modalità ed i termini entro i quali un utente ha diritto di notificare la violazione dei suoi dati personali all’autorità di controllo. Egli deve presentare la notifica entro 72 ore dal momento in cui è venuto a conoscenza della suddetta violazione, a meno che non si tratti di un rischio che non metta particolarmente in pericolo i diritti e le libertà di persone fisiche. Se ciò non avviene entro le 72 ore, la notifica dovrà essere corredata dai motivi del ritardo. Successivamente a tale notifica, il responsabile del trattamento dei dati sarà tenuto ad informare il titolare del trattamento senza ingiustificato ritardo.

La suddetta notifica, ai sensi dell’articolo 33 del GDPR, deve contenere innanzitutto la natura della violazione dei dati (compresa di categorie e numero di dati compromessi), oltre ai nomi ed ai contatti del responsabile della protezione dei dati. Inoltre, è fondamentale indicare le probabili conseguenze che questa violazione dei dati personali ha portato/porterà, insieme alle misure adottate o che si intendono adottare da parte del titolare del trattamento per ovviare o attenuare tali conseguenze negative.