Data breach: cosa fare?

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy 

Le violazioni di sicurezza possono riguardare dati personali: in tal caso occorre verificare con attenzione gli effetti della violazione e osservare gli specifici adempimenti previsti dalla normativa in materia di protezione dei dati personali. Ma cosa si intende per “violazione di dati personali” (o “data breach”)?

La violazione di dati personali (o data breach), secondo la definizione contenuta nell’art. 4 del Regolamento UE 2016/679, è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Come emerge dalla definizione, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali derivante dalla violazione di sicurezza può dipendere da un evento accidentale o da un atto illecito. Quindi, si è in presenza di un dato breach tanto nel caso di violazione di sicurezza che derivi, ad esempio, da un accesso abusivo ai sistemi di videosorveglianza da parte di cybercriminali, tanto nel caso in cui il dipendente della società che acceda al dispositivo di archiviazione o chi presta assistenza al sistema cancelli involontariamente i dati personali conservati al suo interno.

Cosa fare in caso di data breach

Nel caso di data breach occorre esaminare attentamente la violazione dei dati subita, analizzando e documentando tutte le circostanze ad essa relative e le sue conseguenze. In fase di valutazione, particolare attenzione deve essere prestata al rischio derivante dalla violazione per i diritti e le libertà delle persone fisiche cui si riferiscono i dati oggetto di data breach. Infatti, se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, sarà sufficiente, a fronte del principio di accountability, documentare la violazione subita e motivare le valutazioni per cui si ritiene che la stessa non presenti rischi per i diritti e le libertà delle persone fisiche. Qualora sia invece probabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento, come previsto dall’art. 33 del Regolamento UE 2016/679, dovrà effettuare la notifica al Garante privacy, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Peraltro, in caso di rischi elevati, oltre a notificare la violazione subita all’Autorità di controllo, il titolare del trattamento deve informare del data breach, senza ingiustificato ritardo, anche tutti gli interessati coinvolti, attraverso apposita comunicazione, come stabilito dall’art. 34 del Regolamento UE 2016/679.

Come valutare il rischio per i diritti e le libertà delle persone fisiche

Nel valutare il rischio derivante da un data breach, il titolare del trattamento deve considerare le circostanze specifiche della violazione. Si dovrà tenere conto, ad esempio, del tipo di violazione subita, della natura, dell’eventuale carattere sensibile e del volume dei dati personali oggetto di violazione, della facilità di identificazione delle persone fisiche, della gravità delle conseguenze per le persone fisiche, delle caratteristiche particolari dell’interessato e del titolare del trattamento, del numero di persone fisiche interessate e di altri eventuali aspetti generali che possono assumere rilievo. All’esito della valutazione, qualora dovesse ritenersi improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche, allora non si dovrà effettuare alcuna comunicazione; viceversa, se si dovesse configurare un rischio, si dovrà effettuare la notifica al Garante privacy e, se il rischio è elevato, sarà necessario anche darne comunicazione agli interessati.

Come presentare la notifica al Garante privacy

A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante privacy tramite apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità di controllo.

Strumenti per effettuare la valutazione 

Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante privacy ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment), che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.