L'ABC del GDPR: la violazione dei dati personali (data breach)

La violazione dei dati personali, nota anche come data breach, è in una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e questa può comportare la compromissione della riservatezza, dell’integrità o della disponibilità dei dati personali. Dunque, quando si tratta di una violazione dei dati, la tempestività è essenziale.

Prima di addentrarci nell’analisi del contesto e del contenuto della notifica di una violazione dei dati, è interessante evidenziare come rendere sicuro il trattamento dei dati in modo da prevenire un data breach.

Nel primo paragrafo dell’articolo 32 del GDPR (regolamento generale sulla protezione dei dati) vengono elencate alcune delle possibili misure utilizzabili per trattare i dati in sicurezza e queste sono:

• la pseudonimizzazione e la cifratura dei dati personali;

• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Vi sono poi altre misure adottabili, come:

• un sistema di autenticazione a due o più fattori (sottolineerei l’obsolescenza della password, misura di sicurezza ormai non più sufficiente a tutelare i dati delle imprese);

• installare un sistema antivirus efficace e aggiornato, possibilmente non disattivabile da un utente;

• effettuare dei backup frequentemente;

• formare il personale dipendente del titolare del trattamento affinché possano riconoscere e prevenire potenziali minacce e infine, avere un piano di risposta ben definito per ridurre significativamente i tempi di reazione e limitare i danni in caso di violazione.

  
  

Passando alla seconda domanda, l’articolo 33 impone al titolare del trattamento l’obbligo di notificare all'autorità di controllo competente senza ritardi ingiustificati e, ove possibile, entro 72 ore dalla scoperta, la violazione dei dati (altrimenti, se comunicate in ritardo, le notifiche riguardo la violazione devono essere accompagnate dai motivi del ritardo). Oppure, se è il responsabile del trattamento a venire a conoscenza di una eventuale violazione, quest’ultimo è tenuto a informare tempestivamente il titolare in modo che esso possa attivarsi. Al terzo paragrafo dell’articolo troviamo il contenuto richiesto per la notifica.

Una notifica deve almeno descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati e dei dati personali in questione; comunicare i dati di contatto del responsabile della protezione dei dati; descrivere le probabili conseguenze della violazione dei dati personali e descrivere le misure adottate o di cui si intende adottare per porre rimedio alla violazione dei dati personali.

In più, qualora la violazione comporti un rischio elevato per i diritti delle persone, secondo l’articolo 34, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, salvo che abbia già preso misure tali da ridurne l’impatto.

La comunicazione deve essere chiara e comprensibile, spiegando la natura della violazione, le sue probabili conseguenze e le misure che sono state o saranno adottate per mitigare i suoi effetti negativi. Inoltre, dovrebbe includere consigli pratici su come gli individui possono proteggersi ulteriormente, ad esempio cambiando le password o monitorando i loro conti bancari.

Le violazioni dei dati personali non hanno conseguenze solo nei confronti dell’interessato, ma anche sull’organizzazione e gli individui coinvolti. Ad esempio, la mancata notifica di una violazione dei dati può portare a pesanti sanzioni pecuniarie. Secondo il GDPR, tali sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dell'impresa, oppure, possono verificarsi dei danni reputazionali: la fiducia dei clienti è cruciale per qualsiasi impresa, una violazione dei dati non gestita correttamente può danneggiarne seriamente la reputazione, causando la perdita di clienti.

In conclusione, la trasparenza e la tempestività nella notifica delle violazioni sono fondamentali non solo per evitare sanzioni e danni reputazionali, ma anche per mantenere la fiducia degli utenti e proteggere i loro dati personali. Adottare una strategia proattiva e chiara, combinata con l'uso di strumenti adeguati e avere un personale formato e aggiornato, permette alle aziende di affrontare con competenza e sicurezza eventuali incidenti di sicurezza. La conformità agli articoli 32, 33 e 34 del GDPR rappresenta quindi un pilastro nella protezione dei dati personali e nella gestione del rischio aziendale.