Cos’ è un data breach nel GDPR?

A proposito del data breach l’art. 4 del Regolamento Europeo asserisce: "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati". 

Il data breach si verifica quando vi è una qualsiasi violazione di dati personali: l’evento che si manifesta dolosamente o accidentalmente consiste nella perdita di documenti cartacei, perdita di una chiavetta USB, furto, etc. 

 

Il data breach, ovvero la violazione dei dati personali può manifestarsi in diversi casi. Di seguito te ne riportiamo alcuni per farti comprendere quando si verifica un data breach. 

1.    Pubblicazione non autorizzata di dati sensibili. Un esempio di data breach può verificarsi nel caso in cui una persona, accedesse all’archivio per poi fare delle copie e pubblicare i dati rendendoli pubblici; 
2.    Perdita di documenti cartacei.     Il data breach, in questo caso accidentale, è la perdita di grandi moli di documenti contenenti dati sensibili; 
3.    Calamità naturali. Anche in caso di terremoto, i documenti cartacei sensibili possono andare persi e distrutti. 

 

Un esempio evidente di data breach è avvenuto proprio recentemente ed ha coinvolto il sito istituzionale dell’INPS per la richiesta del famoso bonus da 600 euro previsto dal Decreto Cura Italia del Governo in favore dei lavoratori autonomi.  

Anche se le previsioni di richiesta del bonus erano abbastanza prevedibili, nessuno si aspettava quello che è poi realmente accaduto. Le domande del bonus sono infatti aumentate esponenzialmente e purtroppo è accaduto che molti utenti abbiano avuto la possibilità di accedere per pochi minuti ad altri profili, a detta del presidente dell’INPS a causa di presunti attacchi hackers. 

Successivamente, invece, è stato dimostrato come l’accesso di alcuni utenti a dati sensibili di terzi sia stato dovuto a problemi di natura tecnico-informatica. 

A fronte dell’evento accaduto il Garante ha deciso di attuare il provvedimento secondo cui l’INPS ha l’obbligo di comunicare entro 15 giorni le violazioni di dati personali a tuti gli interessati e di informare in modo documentato il Garante delle forme di comunicazioni adoperate. 

La mancata osservanza degli obblighi consentirà al Garante di attivare una sanzione amministrativa pecuniaria. 

 

Nei casi su menzionati e in altri casi di data breach, come indicato nell’art. 33 del GDPR il responsabile del trattamento dei dati dovrà tempestivamente avvertire il titolare trattamento. Successivamente il titolare dovrà provvedere ad inviare la comunicazione dell’avvenuto data breach all’autorità di controllo, ovvero il Garante per la Privacy.  

L’articolo, inoltre, riporta espressamente che la notifica deve avvenire entro un tempo stabilito, cioè “entro 72 ore dal momento in cui ne è venuto a conoscenza.” 

Non sono per questo ammessi “ingiustificati ritardi” e comunque, qualora accadesse che la notifica venga presentata oltre il tempo indicato dalla norma, il titolare è tenuto a specificare i motivi arrecanti tale ritardo. 
Insieme all’obbligo di notifica al Garante Privacy vi è un obbligo di comunicazione agli interessati che consenta loro di agire a tutela della propria reputazione. 

In merito a quest’ultimo però c’è da sottolineare che va attuato solo nel caso in cui il data breach arrechi un alto rischio per i diritti e le libertà delle persone fisiche coinvolte. Nello specifico, tale comunicazione deve essere formulata nel modo più chiaro e trasparente possibile, prediligendo forme di comunicazione diretta. 

La differenza sostanziale tra i due obblighi è quindi data dall’entità del rischio causato dall’evento di data breach accaduto: mentre per l’obbligo di notifica è sufficiente un semplice rischio, la comunicazione all’interessato dovrà essere effettuata nel caso in cui il rischio per l’interessato di vedersi compromessa la propria reputazione è abbastanza elevato. 

 

In tutti i casi di data breach il Titolare del Trattamento dei dati personali ha l’obbligo di documentare in modo chiaro e puntuale tutte le violazioni di dati personali che si sono verificate. Tale documento è di fondamentale importanza e dovrà essere esibito qualora il Garante conduca degli accertamenti. 

 

Una violazione dei dati personali può comportare sanzioni pecuniarie davvero pesanti per le Pubbliche Amministrazioni e le imprese private.  Il Regolamento GDPR è chiaro in questo senso: multe fino a 10 milioni di euro e per le imprese può arrivare fine al 4% del fatturato annuo mondiale. 

Ma non finisce qui, poiché le sanzioni si estendono anche ai seguenti casi: 
 

Tra i tanti casi di data breach, molto probabilmente il caso della gestione cartacea è quello più diffuso poiché molto spesso la carta dei documenti sensibili può essere persa, distrutta o collocata in luoghi che possono essere facilmente accessibili da terzi. Per questi motivi le nuove soluzioni digitali, a patto che siano conformi al GDPR e sicure nella gestione informatica, consentono di ridurre notevolmente i casi di data breach. 

Il nostro software di gestione privacy in cloud On Privacy, ad esempio è studiato per la gestione semplificata della privacy di aziende e professionisti e consente di ridurre inutili sprechi di carta e di risorse economiche legati alla gestione cartacea.