Editoriale GDPR Privacy Sicurezza

Data Breach: cosa fare in caso di violazione dei dati?

La violazione dei dati comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
Proviamo a prendere in considerazione le azioni da compiere nel caso di perdita, distruzione, diffusione indebita di dati personali conservati, trasmessi o trattati a causa di attacchi informatici, accessi abusivi, incidenti o eventi avversi (incendi o calamità naturali).
Secondo il GDPR la notifica di eventuali violazioni di dati dovrà avvenire al diretto interessato senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
In particolare, l’articolo 33 dice:

Notifica di una violazione dei dati personali all’autorità di controllo

1) In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2) Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3) La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4) Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5) Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Le comunicazioni di data breach:

Quando la violazione dei dati personali presenta un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento, come abbiamo detto, comunica la violazione all’interessato senza ingiustificato ritardo. Tale comunicazione descrive con linguaggio semplice e chiaro la natura della violazione.

In che caso la comunicazione non è richiesta?

1) Nel caso in cui il titolare del trattamento ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
2) Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati
Detta comunicazione richiederebbe sforzi spropositati. In tal caso, si procede a una
comunicazione pubblica o a una misura simile.

La gestione del data breach:

Come si possono prevenire o evitare episodi di perdita e/o distruzione di dati personali:

• Impostare e gestire una rete firewall per proteggere il computer da accessi indesiderati
• Curare la formazione del personale nel corretto utilizzo di dati sensibili dei clienti
• Proteggere la riservatezza e l’integrità dei dati con i quali si lavora
• Effettuare controlli al fine di verificare se il protocollo aziendale funziona senza falle.
• Tenere nota di eventuali data breach e di come sono stati risolti
• Elaborare un piano in conformità al GDPR che si ponga degli obiettivi da raggiungere per essere completamente a norma.
• Il DPO (data Protection Officer) deve tenere un registro dei casi di data breach, sia quando si verificano sia quando se ne sia scampato il pericolo, per identificare con facilità il tipo e la natura delle violazioni ricorrenti.
Desideriamo focalizzarci su quest’ultimo punto perché, come si evince dall’articolo 37, la figura del DPO non sempre è necessaria:

 

Designazione del responsabile della protezione dati

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.
3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento.
5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

Oltre a questo, l’articolo che abbiamo riportato poc’anzi specifica che il DPO deve lavorare in totale autonomia nella gestione delle problematiche affidate e deve avere i giusti strumenti per assolvere ai compiti assegnati.
Il ruolo del DPO, seppur non sempre necessario, è molto importante perché è suo il ruolo di protezione dati. L’articolo 37 si conclude specificando proprio quali sono i suoi compiti: “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

In questo articolo abbiamo cercato di approfondire i problemi legati a un utilizzo non sicuro di dati sensibili in base al nuovo regolamento europeo sulla privacy. Ciò che emerge è la lunga strada da fare per giungere all’obiettivo tanto ambito: essere compliance.
Siamo in grado di metterci in regola? Indubbiamente è indispensabile iniziare con l’investire nella tecnologia. Ad esempio un software di qualità capace di scongiurare tutti i rischi legati al data breach e che permetta di condividere in sicurezza i dati può essere un ottimo punto di partenza.