Ogni azienda, organizzazione, ente subirà una violazione dati personali, almeno una volta nella vita. Cosa occorre fare in questo caso? Quali sono gli obblighi normativi?

Violazione dati personali (data breach): che cosa è?

Iniziamo dai fondamentali: per data breach / violazione dei dati personali si intende

"una violazione della sicurezza dei dati che comporta la distruzione, la perdita, la modifica, la diffusione non autorizzata o l'accesso ai dati personali trasmessi / conservati / trattati"

Con queste parole il nostro nostro Garante per la protezione dei dati personali definisce una violazione dati personali, specificando anche che tale violazione può essere sia accidentale che intenzionale.

In quali casi si ha una violazione dei dati personali?

Premesso che i possibili casi di violazione di dati personali sono pressoché infiniti, ne elenchiamo le principali categorie.

• Accesso non autorizzato:
  il più classico è l'accesso non autorizzato: una persona non autorizzata, accede ai dati di persone terze. Un esempio concreto? L'ASL che, per errore, invia i risultati di un esame diagnostico alla persona sbagliata. Non c'è intenzionalità, ciò non toglie che c'è stata una violazione dei dati personali del paziente sottoposto all'esame diagnostico. L'accesso non autorizzato può anche essere intenzionale: tutti gli attacchi ransomware sono di questo tipo. L'attaccante accede ai sistemi di un'azienda, ruba una copia dei dati che vi trova, cripta i restanti.
• Divulgazione accidentale (data leak) o intenzionale:
  la distinzione tra data breach e data leak non è nettissima, ma c'è chi ritiene il data breach come intenzionale e il data leak come accidentale. Assunta tale distinzione, il più comune esempio di data leak è la perdita di un dispositivo che contiene dati personali: pc, chiavetta USB, telefono ecc..
  N.B: in caso di furto / smarrimento di un dispositivo come quelli prima elencati contenente dati personali, non si parla di violazione dei dati se gli stessi sono stati criptati. Chiunque dovesse entrare in possesso del dispositivo, infatti, non potrebbe accedere ai file senza detenere la chiave di criptazione necessaria a riportarli in chiaro.
• Copia non autorizzata dei dati:
  avviane spesso in ambito aziendale: un dipendente copia dati personali dal server aziendale ad una chiavetta USB, magari per poter lavorare da casa. Anche questa è una violazione dei dati personali.
• Modifica non autorizzata dei dati:
  modificare dati personali senza esservi autorizzati costituisce violazione dei dati stessi.
• Perdita dell'accesso ai dati:
  anche la perdita di accesso ai dati è una violazione dei dati. Il Garante parla apertamente di "impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; ".
• Cancellazione dei dati personali:
  è il caso in cui i dati personali sono cancellati intenzionalmente oppure per incidente. Il Garante parla di "perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;"

Tutti i casi sopra esposti costituiscono violazione dei dati personali: il GDPR prevede specifici obblighi in questi casi.

Cosa prevede il GDPR in caso di violazione di dati personali?

Il GDPR, all'art. 33, prevede che il titolare del trattamento debba senza ingiustificato ritardo (nello specifico entro 72 ore dal momento in cui si viene a conoscenza della violazione) notificare al Garante la violazione di dati personali. Con una sola eccezione, ovvero il caso in cui la violazione dei dati non comporti rischio per i diritti e le libertà degli interessati coinvolti. Il responsabile del trattamento che viene a conoscenza di una violazione dei dati, deve avvisare tempestivamente il titolare.

L'art 34. del GDPR specifica che la notifica agli interessati è obbligatoria nei casi in cui la violazione dei dati personali comporti rischio per i diritti e le libertà degli interessati. Il titolare del trattamento deve quindi comunicarla utilizzando idonei canali (comunicazione diretta o pubblicazione della notizia tramite idonei canali). Il GDPR prevede che, nei casi in cui la platea da informare sia molto estesa, il titolare possa optare per un annuncio pubblico.

Il titolare del trattamento deve anche documentare tutte le violazioni di dati personali con apposito registro, predisponendo i materiali necessari così da consentire al Garante di effettuare le notifiche del caso. Per semplificare la gestione dei data breach abbiamo inserito nel nostro software GDPRlab il registro dei data breach e la possibilità di accesso diretto alla procedura telematica di notifica al Garante.

Vedi anche la scheda informativa del Garante > Violazioni di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679

Come notificare una violazione al Garante

L'art 33 GDPR specifica che occorre fornire al Garante tutte le informazioni relative al data breach:

• natura della violazione;
• ammontare approssimativo degli interessati riguardati;
• tipologia di dati violati;
• dati di contatto del responsabile della protezione dei dati personali;
• possibili conseguenze del data breach;
• misure di minimizzazione, di sicurezza e di risoluzione adottate.

Le responsabilità del titolare del trattamento e le sanzioni del Garante

Tutte le informazioni sopra indicati sono necessarie perché il Garante dovrà valutare, tra l'altro, anche le responsabilità del trattamento dei dati personali. La sanzione infatti arriva nel momento in cui il titolare non si sarà dimostrato accountable, responsabile appunto. Ad esempio nel caso in cui il titolare non abbiamo messo in atto tutte le misure tecniche e operative possibili per impedire la violazione di dati personali.

Un caso emblematico, da questo punto di vista, è quello che ha riguardato una Casa di Cura violata dal collettivo di hacktivisti LulzSec_Ita lo scorso anno. Gli hacktivisti hanno "bucato" la rete della struttura e pubblicato immagini radiografiche rubate. La casa di cura notifica correttamente la violazione al Garante ma viene comunque sanzionata perché i dati non erano criptati. In questo caso la casa di cura non ha messo in atto tutte le misure tecniche possibili a protezione dei dati, non si è dimostrata responsabile e quindi, pur vittima di un attacco hacker, è in parte responsabile della violazione dei dati.

Per approfondire > Hacktivisti pubblicano dati sanitari online: il Garante sanziona la casa di cura

Hai subito una violazione dei dati personali, ma non sai come comunicarla al Garante? Oppure non sai se, per il tipo di violazione subita, la comunicazione al Garante sia obbligatoria? Oppure ancora vuoi evitare di subirne in futuro? Chiedilo a noi, ti aiuteremo passo passo!