Quando si parla di Data Breach facciamo riferimento alla violazione dei dati personali.
L'art. 4 del regolamento europeo, Reg. (UE) 769/2016, definisce la violazione dei dati personali (data breach) come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati".
Abbiamo redatto un corposo articolo, suddiviso in due parti, su GDPR e data breach, sulle sanzioni previste e su come evitarle.
Di seguito la prima parte.
1. DATA BREACH, COSA SI INTENDE
Come si evince dal citato articolo 4 reg. (UE) 679/2016 un data breach non è solo un evento doloso (esempio: un attacco informatico), ma può essere anche un evento accidentale (esempio: accesso abusivo, un incidente, la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali).
Ovviamente i titolari del trattamento devono predisporre le misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati trattati.
La violazione dei dati personali potrebbe comportare una:
- distruzione
- perdita
- modifica
- divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati
Queste azioni dannose, portate avanti in modo accidentale, occasionale o volontario, potrebbero portare a compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Di conseguenza, il soggetto lesivo potrebbe commettere un illecito doloso o colposo a danno del titolare del trattamento dei dati personali.
Nello specifico, le violazioni possono essere classificate in base ai seguenti tre principi della sicurezza delle informazioni (vedi parere Working Party art. 29 n. 3/2014):
- violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
- violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
- violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
2. DATA BREACH, ESEMPI PRATICI
Molte sono le azioni che possono essere considerate, dal Garante della Privacy, nocive in tal senso.
Possiamo ricordarne alcune:
- accesso o acquisizione dei dati da parte di terzi non autorizzati;
- furto o perdita di dispositivi informatici contenenti dati personali;
- deliberata alterazione di dati personali;
- impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- divulgazione non autorizzata dei dati personali;
- discriminazione;
- furto d’identità o il rischio di frode;
- perdita di riservatezza dei dati personali protetti dal segreto professionale;
- perdita finanziaria;
- danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
Il regolamento europeo, per ovviare a tale situazione nociva, prescrive specifici adempimenti nel caso di una violazione di dati personali.
È bene tenere a mente che, in caso di data breach, le azioni in violazione dei dati personali vanno notificate quelle che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Nel mondo tecnologico in cui noi oggi viviamo, è bene sempre tenere a mente che incorriamo ogni giorno in possibili violazioni dei nostri dati personali.
Soprattutto nell’uso delle piattaforme online, come Facebook, Instagram, LinkedIn ecc., il rischio risulta essere sempre più maggiore.
Può infatti capitare che un soggetto (Hacker) decida di entrare, attraverso le vostre credenziali, nella vostra pagina personale.
In quel momento, tale soggetto, ha la piena disponibilità dei dati inseriti nel profilo.
Di conseguenza, sono tante le possibili violazioni e perdita di dati in cui si può incorrere.
Nel caso di un cyber-attacco, cosa devo fare?
- Comunicazione al Garante: la notifica è necessaria in caso di potenziali danni ai soggetti interessati.
- Comunicazione agli interessati: la notifica dipende dalla natura dei dati violati e se è alto il livello di gravità dei potenziali danni.
- Commento: Se il rischio non è elevato, consigliamo al titolare del trattamento di informare l’interessato, a seconda delle circostanze del caso.
Pensiamo per esempio a un ipotetico software gestionale della clientela, il quale comunica direttamente con il cliente.
Potrebbe capitare che, in un momento di aggiornamento del software stesso, i campi personalizzati dedicati ai clienti potrebbero, anche per solo secondi, risultare visibili a soggetti terzi.
In tale situazione il software ha comunque l’obbligo di comunicare il presunto data breach ai clienti, anche se nessuno ha realmente compiuto una violazione dei dati personali.
Solo successivamente, se lo si ritiene opportuno, sarà necessario adire il Garante.
Per avere ogni informazione riguardo i rischi e le sanzioni in cui puoi incorrere in caso di data breach, contattaci subito scrivendoci all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.
Se vuoi continuare ad approfondire la nostra analisi, leggi la seconda parte dell’articolo.
