Con il termine data breach si fa riferimento a un “incidente” di sicurezza. Nello specifico s’intende la violazione dei dati personali, sensibili e riservati dell’utente.
La divulgazione dei dati sul web può avvenire:
- Per smarrimento (accidentale e involontario): quando è l’utente stesso a perdere il dispositivo contenente queste informazioni confidenziali;
- A causa di un furto: quando le informazioni vengono copiate e rubate da soggetti non autorizzati per compiere atti illeciti a proprio vantaggio;
- Per infedeltà aziendale: quando una persona interna sfrutta la propria autorizzazione ad accedere a determinati dati per produrne una copia e distribuirla al pubblico;
- Per accesso abusivo: quando viene effettuato un accesso coatto da parte di terzi non autorizzati.
In questi casi, i dati rischiano di essere consultati, modificati o manomessi per scopi non legittimi, a discapito del proprietario originario. Infatti, la violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di queste informazioni.
Esempi di data breach
I dati violati possono riguardare i seguenti ambiti:
- Finanziario: forme di pagamento (carte di credito, conti correnti bancari e postali);
- Sanitario: condizioni di salute personale (eventuali patologie e/o malattie);
- Proprietà industriale: segreti commerciali, brevetti, lista clienti, documentazione riservata, progetti finalizzati alla pratica di concorrenza sleale;
- Personale: documenti di identità o comunque di riconoscimento e codici personali.
Cosa fare in in caso di data breach?
Il titolare del trattamento (soggetto pubblico, azienda, associazione, partito, professionista…) deve notificare la violazione subita al Garante per la protezione dei dati personali entro settantadue ore dal momento in cui ne è venuto a conoscenza.
In caso di ritardo, la notifica dovrà essere corredata di giustificazione contenente le motivazioni di quest’ultimo.
La segnalazione deve quindi avvenire per quanto possibile in maniera tempestiva, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e la libertà delle persone fisiche. Se invece fosse il responsabile del trattamento ad accorgersi per primo di questa possibile intrusione indesiderata, egli è tenuto ad avvisare immediatamente il titolare in modo che possa attivarsi per risolvere il problema.
Nel caso in cui questa violazione rischi di avere delle ripercussioni notevoli anche su altre persone, il titolare ha l’obbligo di comunicarlo ai diretti interessati, utilizzando i canali più idonei, a meno che non abbia già provveduto a ridurne al minimo l’impatto.
Il titolare del trattamento deve inoltre documentare tutte le violazioni dei dati a prescindere dal Garante, poiché queste fungono da prova per consentire all’Autorità di effettuare eventuali verifiche e controlli sul rispetto della normativa. Si tratta di un apposito registro, nonché di un elenco aggiornato delle violazioni subite, con il dettaglio delle circostanze e degli esiti. Per di più l’inventario deve adottare misure che ne garantiscano integrità e l’immodificabilità.
Che tipo di violazioni vanno notificate?
Vanno segnalate solo le violazioni che rappresentano un pericolo oggettivo per gli individui e che possono provocare effetti avversi significativi, arrecando danni fisici, materiali o immateriali. Questo include la perdita di controllo sui propri dati personali, la limitazione di alcuni diritti, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro importante svantaggio economico o sociale.
Come inviare la notifica?
La notifica deve essere inviata al Garante tramite posta elettronica ordinaria o certificata, e deve inoltre essere sottoscritta attraverso la firma digitale. È inoltre necessario che venga allegato un documento di identificazione del firmatario.
Nell’oggetto del messaggio bisogna inserire obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
Le azioni del Garante
Il Garante può attuare delle misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Sono previste, inoltre, delle sanzioni pecuniarie che possono arrivare fino a dieci milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
L’ordinamento giuridico italiano ed europeo
Con il Provvedimento del Garante per la Protezione dei Dati Personali in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) del 4 aprile 2013, pubblicato sulla Gazzetta Ufficiale n. 97 del 4 aprile 2013, il Garante ha dato attuazione alla direttiva europea 2009/136/CE – che ha modificato, in parte, la direttiva 2002/58/CE – sulla privacy nel settore delle comunicazioni elettroniche.
Il Garante, in caso di violazione, ha un ruolo primario, in quanto ha il compito di avvisare l’Autorità e gli utenti a seguito di attacchi informatici o eventi avversi (per esempio incendi) che possano mettere a rischio i dati, provocandone la perdita, la distruzione o anche la diffusione involontaria.
I titolari del trattamento, al contrario, sono tenuti a condurre un accertamento preliminare in merito ai dati e alle conseguenze negative in cui si andrebbero a imbattere, mettendo successivamente in atto delle misure di sicurezza adatte.
Come prevenire il data breach
Esistono vari strumenti utili a prevenire il data breach:
- Sviluppo e manutenzione dei sistemi adottati;
- Dare la priorità alla riservatezza, all’integrità e alla privacy;
- Accertarsi che tutte le attività informatiche siano svolte in sicurezza, con programmi anti-virus aggiornati per fare in modo che, sia il software che i dati del sistema, siano sempre al sicuro;
- Rispettare rigorosamente le leggi civili, penali e qualsiasi altro requisito in tema di sicurezza;
- Minimizzare l’interferenza e il sovraccarico del sistema operativo;
- Effettuare periodicamente dei test di verifica per assicurarsi che il protocollo di sicurezza scelto sia adeguato ed efficiente.
Infine è caldamente consigliato, soprattutto se si tratta di imprese, di stipulare una polizza assicurativa a copertura del rischio di data breach, che garantisca l’indennizzo nel caso in cui si verifichi. L’assicurazione infatti risarcisce l’azienda dei costi che deve sostenere per fronteggiare e riparare l’inconveniente; infine può, se previsto dalla polizza, coprire anche le eventuali spese legali che questa dovesse affrontare.
A cura di
Rebecca Brighton
FONTI:
CREDITS: