IPSOA, 19/03/2018, Giovanni Ziccardi - Professore Associato di Informatica Giuridica presso la facoltà di Giurisprudenza dell’Università degli Studi di Milano
Privacy: come gestire un data breach
Il data breach consiste in una violazione dei dati che determina la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali. E’ in definitiva un’anomalia che colpisce i dati dell’interessato, che fuoriescono da un archivio custodito e iniziano a circolare e a diventare pubblici. Il GDPR vuole che tali eventi siano comunicati al Garante della privacy e agli interessati: la mancata notifica espone l’azienda all’applicazione di elevate sanzioni. Come evitare il rischio di data breach? Quali misure è opportuno adottare?
Il Regolamento UE 2016/679 - GDPR in materia di protezione dei dati personali dedica una disciplina specifica al “data breach”, ossia all’ipotesi di una violazione dei dati idonea a comportare – accidentalmente o come conseguenza di un illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Si tratta dell’incubo peggiore previsto dal Legislatore europeo nella nuova società dell’informazione, dove anche grandi piattaforme e server/servizi custodiscono i dati di milioni di utenti con indirizzi e-mail, credenziali, indirizzi e numeri di carte di credito.
Una violazione di questi tipi di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni gravissimi alle persone fisiche.
Tali danni possono consistere, ad esempio, nella perdita del controllo dei dati ...
...
Notifica al Garante
Per tale ragione, l’Articolo 33 del GDPR prevede che, in caso di violazione di archivi contenenti dati personali (ma, anche, in caso di smarrimento o furto di una chiavetta, di un hard disk esterno o di un computer portatile) il titolare del trattamento debba notificare la suddetta violazione all’autorità di controllo competente (ossia: al Garante) entro 72 ore dal momento in cui ne è venuto a conoscenza.
...
Considerazioni finali
Gli obblighi della notifica e della comunicazione, sebbene richiedano adempimenti specifici, non possono essere letti e interpretati correttamente senza considerare la loro correlazione con l’intero GDPR. In particolare, in tal senso, sono fondamentali gli Articoli 24 e 32 del GDPR, che impongono ad ogni titolare di:
1) mettere in atto misure tecniche e organizzative adeguate per garantire il rispetto del GDPR
2) essere in grado di dimostrare che il trattamento sia effettuato conformemente al GDPR
3) riesaminare e aggiornare tali misure quando necessario
4) garantire un livello di sicurezza adeguato al rischio
...