Il Data Breach

Il Regolamento Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, all’articolo 4 definisce il data breach, in italiano “violazione dei dati personali”, come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Le tipologie di data breach, quindi, sono molteplici e possono configurarsi nel furto o nell’accidentale cancellazione di dati da un database, ma anche in un attacco malware che impedisca l’accesso ai sistemi informatici o in un blackout che renda i dati temporaneamente non disponibili.
Il considerando 85 del Regolamento Europeo ci rammenta perchè è importante la gestione tempestiva delle violazioni </br>
Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.

Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Rivestono pertanto particolare importanza le procedure per la gestione del Data Breach.

Tutta la società a vari livelli deve essere coinvolta

Fondamentale è la formazione degli autorizzati al trattamento che devono poter riconoscere le violazioni, o almeno in caso di dubbi sapere a chi rivolgersi, in modo che l’azienda possa gestire e segnalare tempestivamente la violazione.

Importanti sono i flussi informativi con diagrammi semplici ed efficaci evitando la burocratizzazione del processo.

Le procedure debbono essere inoltre flessibili verificate e aggiornate periodicamente seguendo il principio di accountability previsto dall’art.24 GDPR 679/2016