Data breach: come gestire una violazione di dati personali?

Data breach: come gestire una violazione di dati personali?

di Davide Stefanello - Privacy e cybersecurity

Una violazione dei dati personali (data breach) è definibile come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, così come indicato dall’art. 4, punto 12 del Regolamento (UE) 2016/679 (GDPR).
Tale definizione permette di comprendere che un data breach è una tipologia di incidente di sicurezza che determina la compromissione di dati personali: a causa di tale evento il Titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati di cui all’art. 5 del GDPR.
È pertanto fondamentale che il Titolare del trattamento sia in grado di identificare e gestire tempestivamente una violazione dei dati personali, in quanto dalle azioni di risposta attuate dipende la tutela dei diritti e delle libertà degli interessati coinvolti nella violazione.

Una volta acquisita la segnalazione relativa ad un incidente di sicurezza, è opportuno analizzarla e valutarla in modo da confermare o escludere che si tratti di una violazione di dati personali.
Nel caso in cui la valutazione confermi che l’incidente costituisca un data breach, è necessario essere in grado in breve tempo di stimarne l’impatto per gli interessati attraverso un’analisi del rischio, così da identificare la probabilità dello stesso.
Il rischio costituisce infatti la probabilità che la violazione causi un danno agli interessati, pertanto, una volta identificato un data breach, è mandatorio riconoscere la probabilità o l’improbabilità che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Riconoscere la presenza di un rischio probabile consente di indirizzare idonee attività correttive per mitigare gli impatti del data breach sugli interessati.
Tale valutazione è fondamentale anche per comprendere se sia necessario o meno effettuare la notifica al Garante per la protezione dei dati personali.
Queste considerazioni devono essere realizzate in tempi stringenti, in quanto l’art. 33 del GDPR specifica che la notifica deve essere effettuata “senza ingiustificato ritardo e, ove possibile, entro 72 ore” dal momento in cui il Titolare del trattamento sia venuto a conoscenza della violazione.
Per quanto non costituisca la regola, è altresì possibile inviare la notifica una volta scadute le 72 ore, corredando il documento con i motivi del ritardo.
Inoltre, il termine di 72 ore definito dalla normativa solleva un problema rilevante: è necessario stabilire l’esatto momento in cui il Titolare sia venuto a conoscenza della violazione e tale operazione può risultare difficoltosa a seconda delle circostanze del data breach.

Un aspetto non meno rilevante è l’eventuale comunicazione agli interessati, ai sensi dell’art. 34 del GDPR, che il Titolare del trattamento deve effettuare nel caso in cui la violazione comporti un rischio elevato per gli stessi.
Una comunicazione tempestiva consente alle persone fisiche di prendere adeguati provvedimenti per proteggersi dalle eventuali conseguenze negative della violazione, pertanto devono essere valutati con cura il linguaggio e la chiarezza espositiva.

Un’organizzazione deve disporre di un efficiente processo da attuare per rispondere al data breach entro i termini stringenti indicati dalla normativa.
Il processo di gestione di una violazione di dati personali deve guidare i soggetti preposti alle varie funzioni organizzative attraverso l’intero ciclo di vita di una violazione.
Un’importante risorsa che può guidare la stesura di un’idonea procedura di gestione è il documento elaborato dal Gruppo di Lavoro Articolo 29 (ora European data Protection Board – EDPB) recante le “Linee guida sulla notifica delle violazione dei dati personali ai sensi del Regolamento (UE) 2016/679” (WP 250 rev.01) (1).
Infatti, tale documento, pubblicato nel 2017 ma emendato nel 2018 in ottica GDPR, offre un prezioso e dettagliato supporto ai Titolari del trattamento che decidano di cristallizzare le modalità di risposta ad un data breach in una procedura ben definita.


 

(1) Cfr. ec.europa.eu