Data Breach: valutazione e procedura di gestione
Il GDPR introduce per il Titolare del trattamento l’obbligo di notificare all’Autorità di controllo la violazione dei dati personali (Data Breach) che comporti rischi non trascurabili per i diritti e le libertà dell’individuo. Quando la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all'interessato. La Data Breach è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
In breve, con Data Breach si intende un incidente della sicurezza che riguarda i dati personali e per causa del quale il Titolare del trattamento non è, almeno temporaneamente, in grado di assicurare la riservatezza, l’integrità, la disponibilità. (Per un'analisi più appronfondita, gli utenti di Federprivacy possono scaricare il documento "Data Breach Valutazione e procedura di gestione" di Luciano Corino e Cristiana Burali):
A titolo di esempio:
- qualora il personale di un ospedale non avesse accesso anche solo temporaneamente ai dati dei pazienti, potrebbe sussistere un rischio non trascurabile per gli interessati che potrebbero vedere compromesso il proprio percorso di cura;
- se una società, a causa di un temporaneo blackout, non avesse modo di accedere ai dati personali dei propri clienti per inviare una newsletter é molto probabile che ciò non comporti rischi tali da determinare la notifica all’Autorità
Compete al Titolare del trattamento il compito di valutare ogni possibile impatto di una Data Breach sull’interessato e agire di conseguenza.
Una violazione dei dati personali può comportare danni fisici, danni materiali o danni immateriali.
Questi possono includere la perdita di controllo sui propri dati personali, la limitazione dei diritti, discriminazioni, furto o frode dell’identità, perdite finanziarie, danni alla reputazione, divulgazione non autorizzata di dati personali protetti da segreto professionale e, in generale, ogni impatto di carattere economico o sociale. Nel caso in cui la violazione comporti simili effetti sugli interessati, il Titolare del trattamento deve non solo notificare la violazione all’autorità, ma anche comunicare la violazione alle persone coinvolte nel più breve tempo possibile.
Il considerando 85 GDPR individua nel contenere i danni per gli interessati una delle principali finalità della notifica. In questo senso, qualora la violazione abbia coinvolto tipologie di persone o di dati tali da poter causare danni rilevanti per le persone fisiche (furto di identità, frodi, perdite finanziarie, etc.) è fondamentale che la notifica indichi ed evidenzi tali categorie nel rispetto del requisito espresso dall’art. 33 par 3.c.
Da tutto ciò deriva la fondamentale importanza di intercettare in tempi molto brevi la Data Breach, di disporre di un metodo riconosciuto di valutazione dell’entità (severity) dei possibili impatti sui diritti e le libertà delle persone coinvolte, di seguire una procedura rigorosa e verificata per la corretta gestione dell’evento nei tempi stabiliti.
La valutazione dell’impatto sui rischi per i diritti e le libertà da attuare in seguito ad una data breach non coincide con il risk assessment previsto per la DPIA ex art. 35, laddove il focus è di natura preventiva. In caso di violazione dei dati, il Titolare del trattamento dovrebbe effettuare una analisi del contesto e delle circostanze, individuare i dati colpiti e quindi la probabilità e l’entità del potenziale impatto sugli interessati.