News

GDPR Privacy

Data breach: cosa fare e come notificare il garante

A seguito dell’entrata in vigore del GDPR, si sente spesso parlare di “Data Breach” e dei connessi adempimenti posti a carico delle aziende italiane, tra i quali spicca senz’altro l’obbligo di segnalazione della violazione all’Autorità Garante per la protezione dei dati personali, entro 72 ore dal momento in cui l’azienda ne è venuta a conoscenza.

Ma cosa si intende per “Data Breach”? come si determina la gravità o meno di una violazione dei dati personali e, soprattutto, cosa deve fare il Titolare del trattamento dopo aver accertato una violazione dei dati personali trasmessi, conservati o comunque trattati dall’azienda? Ve lo spieghiamo di seguito.

Indice

Cos'è un Data Breach?

Il GDPR definisce Data Breach (nella versione italiana “violazione dei dati personali”) una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dall’azienda (https://www.garanteprivacy.it/data-breach).

Una violazione di sicurezza che impatta sui dati personali gestiti da un’azienda può compromettere la riservatezza, l’integrità o la disponibilità degli stessi.

Ecco alcuni possibili esempi di Data Breach secondo l’Autorità Italiana Garante per la protezione dei dati
personali:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti i dati personali trasmessi, conservati o comunque trattati dall’azienda;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

Che differenza c’è con un Data Leak?

Nell’ambito della sicurezza informatica, accanto alla parola “Data Breach” si legge spesso “Data Leak”; i due termini vengano utilizzati come sinonimi, tuttavia gli stessi non possono essere considerati tali.

Invero, i due termini Data Breach e Data Leak appartengono alla categoria degli incidenti di sicurezza informatica che compromettono la riservatezza e l’integrità dei dati aziendali e dei dati personali trattati da un’azienda.

La differenza tra le due figure risiede nel fatto che con il termine Data Breach si intende una violazione grave – anche accidentale – della sicurezza informatica da parte di un aggressore esterno, a seguito della quale i dati personali trattati dall’azienda e le informazioni riservate vengono compromessi o esposti senza autorizzazione, mentre con il termine Data Leak ci si riferisce alla perdita non autorizzata di dati sensibili o informazioni riservate causata da una divulgazione involontaria o intenzionale di dati e file da parte di individui che operano all’interno dell’organizzazione aziendale.

Ciò che conta, in ogni caso, è che in ambedue gli scenari sopra descritti il Titolare del trattamento dovrà in primo luogo verificare la gravità dell’incidente di sicurezza e l’impatto che lo stesso ha avuto sui dati personali e ciò al fine di valutare, come vedremo, la necessità o meno di notificare la violazione all’Autorità Garante per la protezione dei dati personali, nonché agli interessati.

Valutazione del Data Breach

Ai sensi dell’art. 33 del GDPR, in caso di Data Breach, il Titolare del trattamento deve dunque notificare la violazione all’Autorità Garante per la protezione dei dati personali, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza e ciò “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”; nel caso in cui la notifica al Garante venga effettuata dal Titolare del trattamento decorse le 72 ore, la notifica tardiva dovrà essere in ogni caso corredata dei motivi che ne hanno determinato il ritardo (art. 33, GDPR).

Una volta accertato il data breach, dunque, spetta in primis al Titolare valutare il rischio nei confronti degli interessati e la conseguente necessità di notificazione all’Autorità e/o la comunicazione agli interessati stessi così come disposto dall’art. 34 GDPR.

A tal riguardo, è indispensabile che la predetta valutazione sia supportata da idonea documentazione, che andrà conservata a cura del Titolare ed allegata ai documenti oggetto di valutazione, al fine di consentire eventuali controlli da parte dell’Autorità.

Con riferimento a possibili metodi di valutazione del rischio, diverse indicazioni sono state fornite dal Gruppo di lavoro “Articolo 29” (ora EDPB, European Data Protection Board) e inserite nelle Linee Guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati (GDPR).

Al fine di valutare la gravità della violazione e quindi il grado di rischio per gli interessati, l’EDPB suggerisce di
prendere in considerazione:

  • le caratteristiche particolari del titolare e degli interessati;
  • il numero delle persone fisiche coinvolte;
  • il tipo di violazione;
  • la natura della violazione;
  • il carattere sensibile e il volume dei dati personali violati;
  • la facilità di identificazione delle persone fisiche interessate.

Le Linee Guida dell’EDPB richiamano altresì le raccomandazioni elaborate dall’ENISA (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione) quale strumento utile al Titolare del trattamento per valutare la gravità della violazione.

Le raccomandazioni sopra citate contengono una metodologia operativa per la determinazione del livello di gravità di una violazione necessario per gestire le fasi successive alle violazioni e, dunque, la notifica nei confronti del Garante e la comunicazione della violazione agli interessati.

È evidente, dunque, che la suddetta valutazione ricopre aspetti di carattere giuridico e tecnico informatico, motivo per cui è consigliabile che il Titolare contatti immediatamente il proprio consulente privacy e il tecnico IT, nonché il DPO (Data Protection Officer) ove presente, così da avere una visione omnicomprensiva del problema e dei possibili risvolti pratici.

Cosa fare in caso di Data Breach?

In caso di Data Breach (verificato o sospetto), il Titolare del trattamento deve pertanto procedere tempestivamente nel seguente modo:

  1. Chiamare immediatamente il consulente privacy, il tecnico IT o il DPO, ove presente.
  2. Impedire ulteriori perdite di dati: se si tratta di un incidente informatico, è necessario portare offline i device interessati, ma non spegnerli.
  3. Registrare il momento della scoperta, inviando una e-mail al consulente privacy e al DPO (ove presente) e specificando chi ha scoperto la violazione, chi l’ha segnalata, a chi è stata segnalata, chi altro ne è a conoscenza e che tipo di violazione si è verificata.

Colui che per primo all’interno dell’organizzazione aziendale viene a conoscenza del Data Breach deve prendere nota del dispositivo che è stato colpito, della causa e dell’entità della violazione, delle categorie e del numero approssimativo di persone interessate, delle categorie e del volume approssimativo dei dati personali interessati, nonché delle possibili conseguenze della violazione dei dati personali.

Nel frattempo, è necessario che il Titolare valuti attentamente la necessità di notificare, o meno, la violazione al Garante e agli interessati.

Indipendentemente dalla suddetta valutazione, è in ogni caso necessario che il Titolare provveda ad annotare la violazione sul c.d. “Registro dei Data Breach” e ad inviare tutto il file via pec alla propria pec (in modo da marcarlo con data certa).

Come notificare il garante?

A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità e raggiungibile al seguente indirizzo https://servizi.gpdp.it/databreach/s/ .

Nella stessa pagina è disponibile altresì un modello facsimile, da NON utilizzare per la notifica al Garante, ma utile per conoscere i contenuti che andranno comunicati al Garante.

Per agevolare il Titolare del trattamento, il Garante ha altresì ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza; il documento è consultabile al seguente link https://servizi.gpdp.it/databreach/s/

Sanzioni in caso di mancata notifica

La mancata notifica di una violazione dei dati personali all’autorità di controllo costituisce una violazione degli obblighi del titolare del trattamento previsti dal GDPR. In particolare, l’articolo 83, paragrafo 4, lettera a), del GDPR stabilisce che la violazione degli obblighi del titolare del trattamento è soggetta a sanzioni amministrative pecuniarie fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Perché scegliere BSD Legal nella gestione del Data Breach

Affrontare un data breach non significa soltanto porre rimedio ai danni immediati, ma anche saper gestire con metodo e rapidità i primi momenti di paura e incertezza, quando ogni ora può fare la differenza.

Grazie ai propri professionisti e al network di tecnici specializzati, BSD Legal è in grado di attivare, già dalle prime fasi, un team di incident response calibrato sulla natura dell’attacco e sulle
specifiche esigenze dell’azienda. Questo approccio modulare garantisce un supporto tempestivo e concreto per contenere l’incidente.

Siamo inoltre profondamente convinti che la collaborazione proattiva con l’Autorità Garante – come evidenziato anche dalla più recente giurisprudenza – sia un elemento cardine nella riduzione del rischio sanzionatorio. La nostra esperienza ci consente di fornire le informazioni corrette e complete al Garante, lavorando al fianco del cliente per mettere in atto le opportune misure correttive. Dall’analisi del rischio fino alla scelta delle azioni più efficaci, supportiamo l’impresa nel navigare con sicurezza questo delicato passaggio.

Una comunicazione efficace e trasparente è poi centrale per minimizzare le ripercussioni sulla reputazione del brand. Grazie all’esperienza maturata in numerosi scenari critici, BSD Legal aiuta
l’organizzazione a comprendere rapidamente la tipologia di violazione subita, fornendo così le basi per l’eventuale notifica al Garante e agli interessati nei tempi previsti dalla legge. Il giusto approccio comunicativo diventa infatti decisivo per limitare al massimo le possibili ripercussioni su credibilità e fiducia del mercato.

Ad emergenza conclusa, però, dovrà iniziare un nuovo percorso di conformità. Il data breach non è solo un “incidente da archiviare”, ma un’opportunità di miglioramento. Proprio per questo, a seguito di ogni violazione, forniamo sempre un piano di remediation che tenga conto delle priorità e delle risorse disponibili, evitando investimenti insostenibili ma garantendo un miglioramento concreto nel tempo. Attraverso la formazione del personale e l’implementazione di solide pratiche di governance dei dati, aiutiamo l’organizzazione ad evolversi e a dimostrare alle Autorità, e al mercato, di aver tratto insegnamento dall’esperienza.

Articoli correlati

Direttiva NIS 2: cos'è, a chi si rivolge e entrata in vigore
DPO: è obbligatorio? Quali sono i suoi compiti?
Tutte le news