Cosa fare in caso di data breach

L’espressione data breach è stata coniata nell’era digitale, sta ad indicare una fuga di dati avvenuta in un sistema che è atto a proteggerli. Il GDPR, cioè il Regolamento sulla protezione dei dati personali, attua l’obbligo di segnalare l’anomalia nei sistemi che sono preposti a contenere i dati personali degli utenti, la stessa entro 72 ore. Secondo il GDPR il termine “data breach” definisce la violazione di sicurezza la quale implica involontariamente ovvero in modo illecito la perdita, la distruzione, la modifica e la divulgazione non autorizzata dei dati personali trasmessi a quel determinato portale. Ovviamente tale tipo di apprensione di dati presuppone comunque un accesso abusivo dati personali trasmessi, conservati o comunque trattati in qualsiasi modo e maniera. Ai sensi della legislazione europea di protezione dei dati personali la notifica di eventuali violazioni di dati deve avvenire possibilmente senza ingiustificato ritardo e, laddove sia possibile e conoscibile deve avvenire non oltre le 72 ore dalla conoscenza della violazione. In ogni caso, l’eventuale ritardo dovrà essere chiaramente motivato.

L’obbligo di notifica ai sensi dell’art. 33 GDPR

Siffatto obbligo di notifica viene posto in essere dall’art. 33 del GDPR e presuppone un dovere generalizzato in capo al titolare del trattamento di avvertire gli interessati della violazione ovvero del data breach; inoltre deve essere avvisata dell’accaduto anche l’autorità preposta al controllo, in acronimo: DPO, la quale risulta essere competente ai sensi dell’art. 55 GDPR e ss.. ancora, ulteriore notifica deve essere inoltrata all’Autorità di controllo dello stabilimento principale o dello stabilimento unico del Titolare interessato dalla violazione. Il contenuto minimo della notifica deve comprendere sicuramente le informazioni determinate nell’art. 33. 

Cosa fare in caso di data breach

Uno degli ultimi casi in Italia di data breach risale al 2020, quando gli aspiranti avvocati iscritti sulla piattaforma del ministero hanno dovuto fare i conti con la diffusione e l’accesso abusivo ai propri dati personali. In questo caso, oltre ad avere diversi disagi come ad esempio quello di dover cambiare password agli account, alla mail etc., c’era anche il rischio di vedersi apprese o modificate le preferenze scelte per l’esame da sostenere. Come detto, oltre la notifica entro 72 ore ad opera del titolare del trattamento, che nel caso di specie era il Ministero della Giustizia, ove i dati venivano raccolti. Sul punto è necessario chiarire che laddove si ritenga che la violazione comporti un rischio molto grave per i diritti delle persone i cui dati sono stati violati, il titolare deve comunicarla anche a tutti gli interessati, attraverso i canali più idonei, salvo che non abbia già preso che ne riducono l’impatto gravoso.

Cosa fa il Garante Privacy

A seguito della notifica il Garante, vale a dire l’autorità preposta al controllo dei dati personali e della privacy, può attuare misure correttive laddove venga rilevata una violazione delle disposizioni del GDPR. Ancora, lo stesso può predisporre misure atte ad assicurare la tutela tecnica ed organizzativa che viene applicata ai dati oggetto di violazione. Altresì sono state previste anche delle sanzioni pecuniarie il massimo ammontare arriva a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.