Cosa fare in caso di violazione di dati personali

Definizione di data breach

Per violazione di dati personali o data breach si intende un incidente di sicurezza in cui i dati personali trattati, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da soggetti non autorizzati.

In tale situazione il titolare del trattamento è chiamato a intervenire seguendo una procedura già stabilita in precedenza su cui il regolamento individua le aree e i relativi obblighi in capo al titolare, che sono: tenuta del registro delle violazioni, valutazione del rischio potenziale ed eventuale obbligo di notifica all’autorità di controllo e agli interessati.

Tenuta del registro delle violazioni

Un archivio per tenere traccia e documentare ogni episodio di data breach. Ma non solo. Il registro delle violazioni non è un semplice storico ma uno strumento pratico, un’autentica contromisura che permette al titolare del titolare del trattamento di dimostrare l’applicazione del principio di accountability in relazione a tutte quelle situazioni in cui la tutela dei dati viene compromessa, indipendentemente dalla gravità dell’evento.

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, - recita l’art. 33 al paragrafo 5 - comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.

In particolar modo sarà tenuto a registrare, a prescindere dall’eventuale obbligo di notifica, i seguenti elementi:

• Dettagli della violazione;
• Cause della violazione;
• Fatti avvenuti;
• Dati personali coinvolti;
• Effetti sugli interessati;
• Conseguenze della violazione;
• Provvedimenti adottati per porvi rimedio.

Inoltre, per ogni decisione presa in risposta ad un evento di data breach, andranno documentati i ragionamenti che ne stanno alla base.

Nel caso, ad esempio, venga valutato che per una determinata violazione non sussista l’obbligo di notifica nè al garante e nè agli interessati, andranno comunque descritte le motivazioni che hanno portato a questa scelta e indicati i motivi per cui il titolare ritiene improbabile che la violazione presenti un rischio per diritti e le libertà delle persone fisiche e quindi esente dagli obblighi di comunicazione.

Gestione della violazione

Per agevolare il rispetto degli articoli 33 e 34 del Regolamento è richiesto al titolare del trattamento di disporre di una procedura di gestione delle violazioni che stabilisca cosa fare dopo esserne venuto a conoscenza.

In generale questo piano dovrà contenere procedure in merito a:

• Individuazione della violazione e punto di contatto;
• Contenimento degli effetti;
• Valutazione del rischio potenziale per gli interessati;
• Gestione degli obblighi di notifica.
  

Tra queste, la valutazione del rischio ricopre un’utilità fondamentale anche in relazione alle altre procedure di data breach. Permette di chiarire le misure tecniche e organizzative da adottare e stabilire l’eventuale obbligo di comunicare la violazione all’autorità di controllo e agli interessati.

Valutare il rischio a seguito di una violazione è diverso che valutare l’impatto di un trattamento.

La valutazione d’impatto analizza a priori il trattamento e ipotizza la probabilità che si verifichi un danno. Si basa quindi su eventi ipotetici.

La valutazione del rischio a seguito di violazione invece, riguarda un evento già accaduto e si concentra sul grado di rischio che si verifichi un determinato danno nei confronti degli interessati.

Il pregiudizio nei loro confronti può concretizzarsi, ad esempio,  in diverse forme e situazioni:

• Furto o usurpazione d’identità;
• Discriminazione;
• Perdite finanziarie;
• Pregiudizio alla reputazione;
• Perdita di riservatezza su dati protetti da segreto professionale;
• Decifratura illecita della pseudonimizzazione;
• Qualsiasi danno economico o sociale significativo;
• Privazione dei loro diritti e delle loro libertà;
• Impedimento ad esercitare controllo sui dati personali che li riguardano.
  

Il gruppo di lavoro dei Garanti Europei raccomanda di affrontare tale valutazione tenendo in considerazione i seguenti criteri:

• Tipo di violazione;
• Natura, carattere sensibile e volume dei dati personali;
• Facilità di identificazione delle persone fisiche;
• Gravità delle conseguenze per le persone fisiche;
• Caratteristiche particolari dell’interessato;
• Caratteristiche particolari del titolare del trattamento di dati;
• Numero di persone fisiche interessate;
• Aspetti generali.

Obbligo di notifica della violazione

Conclusa la valutazione del rischio a seguito della violazione, il titolare ha l’obbligo di notificare la violazione all’autorità di controllo a meno che “sia improbabile che tale evento presenti un rischio per i diritti e le libertà delle persone.”

Quando risulta obbligatoria, la notifica all’autorità di controllo, deve essere considerata come parte integrante delle procedure di gestione che il titolare adotta a priori per fronteggiare e gestire gli episodi di violazione dei dati personali trattati.

Notificare un data breach può avere vantaggi in merito alla gestione dell’incidente. Permette al titolare di ricevere consulenza dall’autorità di controllo rispetto alle misure di sicurezza da adottare e sulla decisione di notificare o meno agli interessati l’avvenuta violazione.

In generale, se dopo la gestione dell’incidente il rischio per gli interessati rimane elevato, potrebbe essere necessario avvertirli al fine di tutelarli dalle conseguenze dell’incidente avvenuto.

Una mancata notifica, quando richiesta,  può portare all’applicazione di una sanzione. ‍

Per tutelarsi da questi episodi sarà sempre necessario fornire motivazioni di eventuali ritardi ed è consigliabile tenere traccia di tutte le comunicazioni avvenute con gli interessati per dimostrare in ottica di accountability la propria efficacia, tempestività e trasparenza.

Se senti la necessità di confrontarti sulle contromisure e procedure da adottare in relazione a episodi di violazione, non esitare a contattarci.