Cybersecurity e Data Breach: consigli operativi
EDPB ha pubblicato le nuove linee guida in materia di violazione dei dati personali; vediamo come comportarci.
Le violazioni di dati personali non riguardano solo i trattamenti effettuati tramite supporti informatici. Anche la perdita di un documento cartaceo rientra in questa tipologia di eventi.
Analizzando la definizione, si scopre, infatti, che con il termine data breach si intende una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Il GDPR, in questi casi, impone tassativamente tre attività prioritarie: un’analisi interna dell’impatto della violazione, l’eventuale notifica al Garante, e l’eventuale notifica agli interessati.
Gli ultimi due adempimenti non sono sempre necessari, e richiedono un’attenta verifica preliminare.
Nel dettaglio, l’art. 33 GDPR dispone che: “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.
Il successivo articolo 34 prevede, inoltre, un ulteriore notifica diretta agli interessati coinvolti, ove ci sia un rischio elevato per i loro diritti e libertà.
La valutazione circa il rischio per i diritti e le libertà delle persone fisiche coinvolte e la successiva attività di verifica del rischio elevato sono attività altamente discrezionali.
Secondo il principio di accountability viene lasciata ampia discrezionalità ai Titolari del trattamento in merito ai criteri da utilizzare per valutare l’entità e la gravità di quanto subito.
Per soccorrere i vari soggetti coinvolti nei precedenti adempimenti l’European Data Protection Board (EDPB) ha pubblicato lo scorso 14 gennaio le proprie linee guida in materia.
Il documento analizza le più comuni violazioni di dati personali suddividendole in macro-gruppi come gli attacchi da parte di ransomware, le violazioni dovute ad errori umani, o come anticipato la perdita, o il furto, di documenti cartacei.
Per ciascun scenario analizzato l’EDPB indica una serie di misure di sicurezza che, laddove applicate e tenendo conto delle caratteristiche uniche e specifiche di ciascun trattamento, potrebbero aiutare a ridurre la possibilità che una violazione si verifichi in futuro, o comunque mitigare gli effetti negativi sugli interessati.
A livello operativo gli step da seguire saranno i seguenti.
Preliminarmente sarà sempre necessario valutare la gravità della violazione subita con riferimento ai trattamenti effettuati, e alle persone fisiche coinvolte.
Una volta ottenuto un dato certo circa l’entità del data breach si procederà con esaminare il rischio per i diritti e le libertà degli interessati coinvolti. Ove la risposta sia affermativa sarà necessario procedere con la notifica al Garante entro 72 ore dalla scoperta dell’avvenimento (tramite procedura on line disponibile sul sito dell’Autorità).
In caso contrario, sarà sufficiente documentare l’accaduto tramite apposito registro riportando le ragioni che hanno determinato la non necessarietà dell’attivazione della procedura.
L’ultimo passaggio riguarderà la notifica agli interessati coinvolti, obbligatoria solo qualora vi sia un rischio elevato per i loro diritti e libertà. In quest’ultima evenienza non vi è una procedura ad hoc prevista dal Garante, ma sarà necessario utilizzare le modalità ritenute più efficaci dal titolare del trattamento.
Ricordiamo, infine, che il mancato rispetto degli artt. 33 e ss GDPR comporta l’applicazione delle sanzioni previste dal Regolamento.