Data breach, uno sguardo alle linee guida del 2016
13 Gennaio 2022
Cancelliamo
i Dati Indesiderati
Chiama Ora 06 39754846
L’espressione data breach è stata coniata nell’era digitale, sta ad indicare una fuga di dati avvenuta in un sistema che è atto a proteggerli. Il GDPR, cioè il Regolamento sulla protezione dei dati personali, attua l’obbligo di segnalare l’anomalia nei sistemi che sono preposti a contenere i dati personali degli utenti, la stessa entro 72 ore. Secondo il GDPR il termine “data breach” definisce la violazione di sicurezza la quale implica involontariamente ovvero in modo illecito la perdita, la distruzione, la modifica e la divulgazione non autorizzata dei dati personali trasmessi a quel determinato portale. Questo tipo di accessione al sistema informatico con la conseguente presa di possesso dei dati personali dei soggetti deve essere tutelata. Ai sensi della legislazione europea di protezione dei dati personali la notifica di eventuali violazioni di dati deve avvenire possibilmente senza ingiustificato ritardo e, laddove sia possibile e conoscibile deve avvenire non oltre le 72 ore dalla conoscenza della violazione e il ritardo dovrà essere chiaramente motivato.
Quali sono le possibili conseguenze di una violazione dei dati personali
Una violazione può avere diversi e potenziali effetti negativi significativi sulle persone fisiche. Tali danni, sebbene l’apprensione sia di dati immateriali e dunque non direttamente conferenti alla fisicità dei soggetti, possono causare non pochi danni nella sfera fisica e materiali dello stesso, come ad esempio la perdita del controllo sui propri dati personali, la limitazione dei diritti, la discriminazione, il furto d’identità, perdite finanziarie, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali e così via. A fronte di tutti questi possibili scenari, il regolamento sulla protezione die dati personali impone al titolare del trattamento la notifica delle violazioni accadute all’Autorità di controllo competente, vale a dire il garante privacy, il quale ha l’obbligo di prendere provvedimenti in merito, anche sanzionando le aziende che non hanno operato una buona politica sulla privacy e sulla prevenzione degli attacchi online.
Quando il titolare del trattamento viene “a conoscenza” di una violazione?
La notifica del titolare del trattamento deve essere effettuata entro 72 ore dalla conoscenza della violazione, ma in effetti cosa si intende “per conoscenza”, vediamo insieme. Il Gruppo di lavoro che ha stilato le linee guida in merito alla violazione dei dati personali del 2016 chiarisce che “il titolare del trattamento debba considerarsi a conoscenza nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali”. Il momento esatto in cui il titolare del trattamento potrà considerarsi a conoscenza della violazione, e dunque da quel momento inizierà il computo delle 72 ore, dipende anche dalla dalle circostanze in cui avviene la violazione. Ad esempio, ci sono alcune ipotesi in cui la violazione risulterà evidente e chiara sin dall’inizio, ma anche altri casi in cui per l’accertamento della stessa potrebbe occorrere più tempo al fine di stabilire se i dati personali siano stati in qualche modo compromessi.
Un esempio, al fine di chiarificare il tutto può essere il seguente, che le stesse linee guida riportano:
“In caso di perdita di una chiave USB contenente dati personali non crittografati spesso non è possibile accertare se persone non autorizzate abbiano avuto accesso ai dati. Tuttavia, anche se il titolare del trattamento non è in grado di stabilire se si è verificata una violazione della riservatezza, tale caso deve essere notificato, in quanto sussiste una ragionevole certezza del fatto che si è verificata una violazione della disponibilità; il titolare del trattamento si considera venuto “a conoscenza” della violazione nel momento in cui si è accorto di aver perso la chiave USB.”
Se un terzo avvisa il Titolare del trattamento che cosa succede, le indagini del Titolare
Laddove sia un terzo ad avvisare il titolare del trattamento della avvenuta violazione, quest’ultimo ha l’obbligo di effettuare una breve indagine al fine di stabilire se la violazione si sia verificata o meno. Durante il periodo di indagine il titolare del trattamento non può essere considerato “a conoscenza”., L’indagine iniziale deve avere avvio il prima possibile e deve definire con un ampio margine di certezza se la violazione sia stata posta in essere. Da qui si comprende come ad una prima indagine può seguirne un’altra più approfondita.