Violazione dei dati personali o Data Breach: cos’è e come comportarsi

violazione dei dati personali

Quante volte, negli ultimi anni, hai sentito parlare di Data Breach: un evento che sussiste quando vi è una violazione dei dati personali.

In questo articolo voglio parlarti di come funziona un Data Breach, cosa fare quando si scopre una violazione dei dati personali ed infine tutto ciò da sapere al fine di evitare questo inconveniente.

Seguimi perché ti spiego, in parole semplici, cosa dice la legge e come proteggere i dati personali in caso di Data Breach.

Indice dei contenuti

Cosa si intende per violazione dei dati personali

Per violazione dei dati personali, o Data Breach, si intende un’azione dolosa o un accadimento accidentale durante il quale possono essere rubati, danneggiati, dispersi, divulgati o distrutti uno o più dati personali delle persone interessate.

A descrivere nel dettaglio i confini normativi di questa problematica ci pensa l’articolo 4 del GDPR. L’articolo in questione, infatti, è fondamentale per capire la definizione di tutto ciò che è interessato dal fenomeno del Data Breach: cosa sono i dati sensibili, chi è il Titolare del Trattamento o la definizione stessa di violazione dei dati personali.

Prima di procedere e conoscere come comportarsi in caso di necessità, voglio per chiarezza riportare alcuni esempi semplici ed efficaci di violazione dei dati personali.

Esempi di violazione dei dati personali

Per capire al meglio come funziona e in che contesti può accadere un Data Breach ti consiglio di leggere velocemente i seguenti esempi.

Sono pensati in modo tale da presentare degli accadimenti che possono accadere nella realtà e che abbiano un rischio e intensità differente. Ecco cosa potrebbe comunemente accadere nella vita di tutti i giorni:

  • Email inviata per errore a destinatari sbagliati (rischio basso-medio) – un’agenzia di marketing invia per errore una newsletter a un elenco sbagliato di clienti, rendendo visibili gli indirizzi email e di un diretto competitor. Si tratta di una violazione dei dati personali, ma con impatto contenuto, poiché gli indirizzi e il corpo della mail non rivelano informazioni sensibili (come il nome o il numero ti delefono);
  • Furto di un computer aziendale non cifrato (rischio medio-alto) – ad un dipendente viene rubato un computer aziendale contenente i dati personali di alcuni importanti clienti. Se il dispositivo non è protetto da crittografia, chiunque potrebbe accedere ai dati con conseguenze più serie in termini di riservatezza e rischio per gli interessati;
  • Accesso non autorizzato a un database sanitario (rischio molto alto) – un attacco informatico compromette i server di una clinica privata, esponendo dati sanitari dettagliati come diagnosi, terapie, esami medici, di centinaia di pazienti. Questo tipo di violazione è molto grave vista la natura sensibile dei dati delle persone coinvolte.

Questi sono esempi molto concreti che potrebbero capitare nella vita di tutti i giorni. Sorge dunque spontanea, arrivato a questo punto, una domanda: come reagire in caso di violazione?

Di seguito voglio mostrarti tutto ciò che devi conoscere e mettere in pratica qualora ti trovassi di fronte ad un tentativo o una messa in atto di Data Breach.

Vuoi evitare che un Data Breach mini la solidità del tuo business?

Contattami per una consulenza personalizzata!
Contattami Ora Scopri come posso aiutarti

Cosa fare in caso di violazione dei dati personali

Come hai potuto notare dai precedenti esempi, vi sono vari livelli di violazione dei dati personali. Ognuno di questi, infatti, andrà gestito seguendo un determinato modus operandi. Per far fronte a questo imprevisto dovrai conoscere alcuni passaggi fondamentali che sono:

  1. Notifica al Garante della Privacy;
  2. Comunicazione agli interessati;
  3. Obbligo di documentare la violazione avvenuta.

Notifica al Garante della Privacy

Secondo l’articolo 33 del GDPR il Titolare del Trattamento, una volta venuto a conoscenza della violazione dei dati personali, deve tempestivamente notificare l’accaduto al Garante della Privacy.

Anche il Responsabile del Trattamento ha l’obbligo di avvisare tempestivamente il Titolare del Trattamento o, se espresso nel contratto di nomina del Responsabile (o DPA), inviare lui stesso la notifica al garante per conto del Titolare.

Lo stesso articolo specifica che, tale avviso, deve essere effettuato entro 72 ore dall’avvenuta conoscenza dei fatti e, in caso di ritardo della comunicazione, il Titolare dovrà fornire un’adeguata giustificazione.

La comunicazione è quindi obbligatoria a meno che, come afferma la norma, “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.”.

Lo stesso articolo si esprime in merito ai requisiti minimi che la notifica deve garantire per essere efficace (ricordando che, eventuali altri dati, elementi e descrizioni approfondite, possono essere aggiunti anche successivamente al termine delle 72 ore). Tali requisiti, secondo l’art. 33 del GDPR, sono:

  • Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • Descrivere le probabili conseguenze della violazione dei dati personali;
  • Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Comunicazione agli interessati

Il secondo passaggio, che il Titolare del Trattamento è tenuto a compiere, è quello di capire se la violazione è suscettibile di creare un rischio alto o molto elevato per i diritti e le libertà delle persone interessate.

In tal caso, lo stesso Titolare ha l’obbligo di informare gli interessati sull’accaduto. Tuttavia, la comunicazione agli interessati è un atto che va trattato con delicatezza: onde evitare allarmismi inopportuni o reazioni avverse.

In molti casi, infatti, si tende ad aspettare il parere del Garante prima di procedere con questa azione. Il Garante, dopo aver studiato il caso specifico, può indurre il Titolare a produrre una comunicazione ufficiale agli interessati, specialmente se quest’ultimo non l’ha prodotta preventivamente.

Secondo l’articolo 34 del GDPR, la comunicazione agli interessati deve essere prodotta in un determinato modo: va redatta in maniera semplice, trasparente ed esaustiva osservando quanto viene definito nell’articolo 33, paragrafo 3, lettere b), c) e d).

Ma è sempre necessaria la comunicazione agli interessati da parte del Titolare? Il paragrafo 3 dell’articolo 34 afferma che non è richiesta la comunicazione se si riesce a soddisfare almeno una delle seguenti condizioni:

  • Il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • Detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Obbligo di documentare la violazione

Il terzo ed ultimo passaggio fondamentale è quello di redigere un documento dettagliato inerente alla violazione. La documentazione dovrà essere presentata al garante in maniera che quest’ultimo effettui tutte le verifiche e gli accertamenti del caso.

L’obbligo di documentare la violazione deriva dal rispetto del principio di trasparenza che il Titolare del Trattamento, per legge, deve osservare.

Nel documento dovranno essere inseriti la data e l’ora della violazione, una descrizione dettagliata delle conseguenze della violazione e l’elenco dei dati personali e degli interessati coinvolti dalla violazione. 

Devono essere annotati anche aspetti importanti come la data o l’ora della notifica della violazione all’autorità di controllo e, se necessario, indicare il motivo il motivo per il quale la comunicazione al garante è stata ritardata.

Devono essere messe per iscritto, inoltre, le cause della violazione ed infine i provvedimenti adottati o da adottare a seguito del Data Breach. 

Cosa comporta la violazione dei dati personali

Arrivato a questo punto dell’articolo potrebbe sorgere spontanea una domanda: se non rispetto l’iter appena descritto, cosa rischio in termini di sanzione?

Come espressamente definito all’interno del GDPR, il non rispetto delle norme e dell’iter previsto in caso di Data Breach produce una sanzione pari a 10 milioni di euro oppure un importo pari al 2% del fatturato annuo globale dell’azienda.

Nei casi più gravi, come l’inadeguato adempimento delle misure preventive di sicurezza in merito al Trattamento dei Dati Personali, le pene possono inasprirsi fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dell’azienda.

Come evitare un Data Breach

Quando si gestisce un business bisogna possedere una visione d’insieme molto approfondita, senza tuttavia perdere il focus sulla parte fondamentale che lo rende vivo.

Avere sotto controllo ogni procedimento, soprattutto quando si porta la propria azienda a livelli di forte espansione, è pressoché impossibile.

Ecco perché, delegando alcuni importanti aspetti a persone competenti ed esperienziate, si raggiunge la possibilità di accrescere il proprio business rafforzando la struttura che lo regge in piedi.

Come puoi quindi prevenire ed evitare che un Data Breach faccia vacillare o peggio ancora crollare tutto ciò che con impegno e dedizione hai creato?Semplice: affidando la gestione della privacy e l’adeguamento alle norme del GDPR ad un avvocato esperto in grado di garantire la conformità alla normativa sulla protezione dei dati.

Vuoi evitare che un Data Breach mini la solidità del tuo business?

Contattami per una consulenza personalizzata!
Contattami Ora Scopri come posso aiutarti

È stato utile questo articolo?

Clicca sulle stelle e dimmi se ti è piaciuto!

Punteggio medio: 0 / 5. Numero di voti: 0

Non ci sono voti, inizia tu!

Se hai trovato utile questo articolo...

Seguimi sui social!

Immagine di Oreste Maria Petrillo

Oreste Maria Petrillo

Sono l'Avv. Oreste Maria Petrillo, avvocato specializzato in Contrattualistica Digitale, e-Commerce e Compliance Aziendale per PMI, Professionisti e Start-Up. Con oltre dieci anni di esperienza nel settore legale, offro consulenza professionale per aziende e privati che operano nel mondo digitale. Il mio obiettivo è fornire soluzioni legali su misura, garantendo sicurezza e conformità in ogni ambito della vostra attività online.

Instagram Linkedin Youtube

Hai bisogno di una consulenza legale per la tua attività digitale?

Acquista ora

Ti aiuto a:

🛍️ Mettere a norma il tuo e-Commerce

🔒 Proteggere la tua attività e i tuoi dati personali

⚖️ Legalizzare il tuo marchio

📜 Tutelare la tua attività con contratti su misura

💼Ottenere una Compliance Aziendale robusta ed efficace

Condividi il post!