Che cos’è il data breach di cui spesso si sente parlare?

Si tratta di una violazione di sicurezza in cui dati sensibili, personali, protetti o riservati, in modo – volontario, illecito o anche involontario -, vengono copiati, tramessi ad altri, distrutti, rubati o utilizzati da un soggetto senza autorizzazione.

In pratica, un data breach avviene con la divulgazione di questi dati in un ambiente che non garantisca l’adeguata sicurezza, di cui il web è un esempio lampante.

Secondo il Regolamento generale sulla protezione dei dati, ‘dato personale’ indica qualsiasi tipo di informazione riguardante una persona fisica che sia identificata o identificabile.

La diffusione di questi dati può avvenire:

  • accidentalmente: causa perdita o smarrimento di chiavette USB, per esempio
  • a causa di un furto: per esempio, rubando e diffondendo i dati contenuti in un notebook
  • a causa di infedeltà aziendale: un data breach può avvenire se una persona che ha accesso a dati privati di una azienda ne diffonde pubblicamente il contenuto
  • a causa di un accesso abusivo: si verifica un data breach se in modo non autorizzato si accede o si rubano dati che poi vengono divulgati

Più in concreto questi dati possono riguardare gli ambiti:

  • finanziario: entrando in possesso di dati di conti correnti o carte di credito
  • sanitario: con informazioni private sullo stato di salute di una o più persone
  • personale: i dati di documenti o codici personali
  • proprietà industriale: dati riguardanti segreti commerciali, brevetti, elenchi di clienti, documentazioni riservate o dati di progetti con finalità sleali.

Come comportarsi in caso di data breach?

Il titolare del trattamento (soggetto pubblico, associazione, impresa, partito, professionista…) deve notificare al Garante per la protezione dei dati personali la avvenuta violazione entro 72 ore dalla scoperta, – per quanto più possibile – e senza ritardo immotivato.

Qualora la violazione dei dati personali possa costituire un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve comunicare la violazione all’interessato senza ingiustificato ritardo, salvo che almeno una di queste condizioni sia soddisfatta: che il titolare abbia già in precedenza reso i dati incomprensibili a chiunque non sia autorizzato ad avervi accesso, che nel frattempo abbia provveduto a scongiurare il sopraggiungere di un rischi elevato o che la comunicazione richieda sforzi sproporzionati rispetto all’avvenuta effrazione.

Oltre le 72 ore il ritardo della comunicazione deve essere adeguatamente giustificato, inoltre se la violazione implica un forte rischio per i diritti delle persone, il titolare deve informare tutti gli individui coinvolti utilizzando i canali e i mezzi più idonei.

La notifica deve essere inviata al garante della protezione dei dati personali indicando:

  • una descrizione della natura del fatto (specificando il più possibile categorie e numero indicativo delle persone coinvolte e categorie e volume indicativo dei dati privati implicati)
  • il nome e i riferimenti precisi per contattare li responsabile della comunicazione o comunque un referente competente e designato
  • una descrizione dei possibili esiti o conseguenze causati dalla violazione
  • una descrizione delle misure di cui ci si sta servendo o che si propone di adottare per ovviare alla situazione e un breve resoconto delle misure che si indicano per mitigare possibili effetti negativi
  • Motivazione del ritardo della notifica (oltre 72 ore dal fatto)

 Il metodo migliore per prevenire il data breach e quello di valutare anticipatamente i possibili rischi e passare poi a definire le misure di sicurezza da adottare da un punto di vista sia tecnologico che organizzativo.

Il garante può prescrive misure correttive e prevedere sanzioni pecuniarie anche ingenti.

Vuoi saperne di più? Scrivici

Privacy Policy