info@rpadvisor.it

Privacy

Data Breach

Per Data Breach, si intende una violazione dei dati personali, in altri termini, “una violazione della sicurezza, che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione, accesso, copia o consultazione non autorizzate di dati personali trasmessi, conservati o comunque trattati” (Art. 4 Regolamento UE 2016/679).

Gli eventi che possono causare un Data Breach sono molteplici, tra i più frequenti ricordiamo la perdita accidentale dei dati personali, un’infedeltà aziendale da parte di un dipendente, un accesso non autorizzato ai sistemi informatici, o un furto, un furto, o qualsiasi altro evento non autorizzato o voluto.

Stante la pericolosità di questa “fuga di dati”, è fondamentale che chiunque venga a conoscenza di un possibile Data Breach ne dia immediata comunicazione al Titolare del Trattamento, specificando la natura dei dati coinvolti e descrivendo l’evento.

Difatti, l’avviso di avvenuto Data Breach può provenire internamente, per tramite di incaricati al trattamento dei dati, o dall’esterno per tramite del Responsabile del trattamento, di un Interessato o di altri soggetti che vengono a conoscenza della violazione.

Venuto a conoscenza di una violazione dei dati, il Titolare del trattamento si adopererà per identificare la tipologia di violazione verificatasi, effettuando dapprima una sommaria valutazione circa i danni occorsi, e stimando i tempi necessari al ripristino dei dati, oltre a valutare se di fatto la violazione dei dati personali possa presentare un rischio per i diritti e le libertà delle persone fisiche.

In quest’ultimo caso, il Titolare dovrà provvedere alla notifica della violazione all’Autorità di controllo entro 72 ore dal momento in cui è venuto a conoscenza e, se del caso, procedere anche con la comunicazione agli Interessati coinvolti.

 

Se, invece, dall’analisi effettuata non emergerà alcun rischio per gli Interessati, il Titolare non sarà obbligato né a procedere con la notifica all’Autorità né con la comunicazione ai soggetti Interessati.

Sarà però necessario comprovare e documentare le ragioni della mancata notifica e l’assenza dei rischi.

In entrambi i casi il Titolare del trattamento dovrà comunque documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio, in un apposito registro che avrà l’onere di conservare e di tenere aggiornato. 

Confidentiality breach

Si parla di confidentiality breach in caso di Divulgazione o accesso non autorizzato o accidentale a dati personali. 

Divulgazione nel caso vengano portati a conoscenza di soggetti non autorizzati, si definisce invece accesso quando qualcuno di non autorizzato entra a  conoscenza di dati, sia in modo digitale che analogico.

Availability breach

Si parla di availability breach in caso di perdita o distruzione sia accidentale che non autorizzata di dati personali. Apparentemente potrebbero avere lo stesso significato ma in realtà vi è una profonda differenza, in quanto, nel caso della perdita i dati potrebbero comunque esistere da qualche parte ma il titolare del trattamento potrebbe averne perso il controllo o l’accesso o il possesso, mentre nel caso della distruzione i dati stessi non esistono più e nessuno ci potrà mai accedere in qualche modo

Integrity breach

Si parla di Integrity breach in caso di modifica e/o alterazione non autorizzata o accidentale di dati personali nel caso in cui vengano posti in essere cambiamenti non autorizzati ai dati così come raccolti e/o archiviati.

Una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse

Quali figure vengono interpellate in caso di data breach?

Nel caso in cui si dovesse verificare una violazione dei dati (data breach) in azienda le figure che vengono subito interpellate sono:

  • Titolare del trattamento – Il quale coordina l’intero processo di gestione della violazione ed è responsabile di ogni decisione a riguardo.
  • Amministratore di Sistema – È il delegato aziendale, in possesso di specifiche conoscenze tecniche e con possibilità di accesso ai sistemi aziendali che, una volta informato della situazione, analizza e accerta l’accaduto e ne verifica le cause.
  • Responsabile Privacy interno – Si occupa dell’attivazione del piano una volta informato dal Titolare del trattamento circa l’occorrenza di un Data Breach, provvedendo a darne immediata informazione al DPO con cui collaborerà nella gestione della violazione e nella valutazione circa la necessità di porre in essere tutte le formalità nei confronti del Garante per la Protezione dei Dati Personali e degli interessati coinvolti.
  • DPO – Funge da collegamento tra Società/azienda e l’Autorità di Controllo, è incaricato di coordinare la comunicazione a quest’ultima dell’intervenuto Data Breach e di concordare un piano con il Titolare del trattamento e con il Responsabile Privacy interno che, nella tutela degli utenti e dell’Azienda, possa porre rimedio alla situazione verificatasi.

Cosa fare in caso di data breach?

1.

Comunicazione ed individuazione dell'evento

La prima fase consiste nell’individuazione di un evento che determini un possibile Data Breach.

Chiunque venga a conoscenza di un possibile data breach ne deve dare immediata comunicazione al Titolare del Trattamento, specificando i dati coinvolti e descrivendo l’evento, attraverso la compilazione di appositi modelli predisposti e forniti dalla società/azienda.

Solitamente la comunicazione avviene internamente, per tramite di Incaricati o designati al trattamento dei dati, o proviene dall’esterno per tramite del Responsabile del trattamento. Talvolta, è l’Interessato stesso che si accorge di una violazione dei dati prima che il Titolare del trattamento ne venga a conoscenza. In questi casi, l’interessato può segnalare presunte inottemperanze, violazioni o problemi connessi al trattamento dei propri dati personali al Titolare del Trattamento o al Responsabile della Protezione dei Dati (DPO), attraverso i canali previsti nelle diverse informative fornite agli Interessati.

Si continua provvedendo all’identificazione della tipologia di violazione, affiancata da prime sommarie valutazioni di danni, tempi di ripristino e modalità di recupero dei dati.

2.

Analisi dei rischi sui diritti e libertà degli interessati

Venuto a conoscenza di una violazione dei dati, il Titolare del trattamento deve immediatamente procedere a valutare, in concreto, se la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

2.1 Assenza di rischi

In caso non ci fosse alcun rischio connesso all’attacco verso i dati personali coinvolti non sarà obbligatorio né procedere con la notifica all’Autorità Garante né con la comunicazione ai soggetti interessati.

Sarà però comunque necessario comprovare e documentare le ragioni della mancata notifica e l’assenza di rischi

2.2 Presenza di rischi

Nel caso in cui la valutazione effettuata dal titolare del Trattamento faccia emergere la presenza di rischi per i diritti e le libertà degli interessati, il Titolare del trattamento deve provvedere alla notifica della violazione all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica al Garante non sia effettuata entro 72 ore, il Titolare del trattamento deve indicare i motivi del ritardo

RP Advisor assiste le aziende nella corretta applicazione delle normative e le affianca nel rispetto agli obblighi in essa previsti, fornendo anche la figura di Data Protection Officer certificati.

Quali sono le conseguenze in caso di data breach ?

1.

Conseguenze per gli interessati

Una violazione può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, ad esempio la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale etc., nonché qualsiasi altro danno economico o sociale, sia fisici, che materiali o immateriali. Si rimanda al punto 4. per un elenco più completo delle casistiche in questione.

Di conseguenza, il Titolare del trattamento notificherà le violazioni all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, fatta salva l’improbabilità che la violazione presenti il rischio che si verifichino detti effetti negativi.

Laddove sia altamente probabile che tali effetti negativi si verifichino, il Titolare del trattamento comunicherà la violazione anche alle persone fisiche interessate senza ingiustificato ritardo

2.

Comunicazione al garante

In ossequio all’articolo 33, paragrafo 3, la notifica dovrà almeno:

  1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  3. descrivere le probabili conseguenze della violazione dei dati personali;
  4. descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi”.
3.

Comunicazione alle persone fisiche

In alcuni casi, oltre a effettuare la notifica all’Autorità di controllo, il Titolare del trattamento comunica la violazione alle persone fisiche interessate.

L’articolo 34, paragrafo 1, afferma che:
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

La notifica deve prevedere:

  • Descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali.
  • Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni.
  • Descrivere le probabili conseguenze della violazione dei dati personali.
  • Descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
Mentre non è necessario provvedere alla comunicazione quando: 
  • il Titolare ha implementato misure tecniche e organizzative adeguate
  • il Titolare ha successivamente adottato misure atte a scongiurare il verificarsi di rischi elevati per i diritti e le libertà degli interessati tale comunicazione richiederebbe sforzi sproporzionati, per cui può essere sostituita da una comunicazione pubblica
4.

Misure di risoluzione

Il Titolare del trattamento deve procedere alla messa in atto di misure atte alla risoluzione delle violazioni avvenute, ad arginare e sanare, ove possibile, le conseguenze sui diritti e le libertà degli interessati, nonché elaborare un piano con attività volte a prevenire futuri Data Breach.

5.

Registro data breach

Indipendentemente dal fatto che una violazione venga o meno notificata all’Autorità di controllo, il Titolare del trattamento deve documentare tutte le violazioni subite, annotandole nell’apposito registro redatto dalla società/azienda, come disposto dall’art.33, paragrafo 5 del GDPR.

Tale registro deve contenere le seguenti informazioni:

  • i dettagli relativi al Data breach (e cioè la causa, il luogo dove è avvenuto e la tipologia di Dati personali coinvolti nella violazione);
  • gli effetti e le conseguenze della violazione e il piano di intervento predisposto;
  • le motivazioni delle decisioni assunte a seguito del Data breach.

Si ribadisce che anche in caso di provata assenza di rischi è necessario registrare la violazione nell’apposito registro predisposto dalla Società/azienda.

Il Registro dei Data Breach deve essere continuamente aggiornato e messo a disposizione del Garante, qualora l’Autorità chieda di accedervi.

6.

Analisi post violazione

A conclusione del processo di gestione delle violazioni di dati personali si consiglia la raccolta finale delle evidenze, l’analisi delle informazioni giunte sul contesto di violazione osservato, e la valutazione delle stesse al fine di effettuare un’analisi post-incidente, per verificare l’efficacia e l’efficienza delle azioni intraprese durante la gestione dell’evento ed identificare possibili aree di miglioramento.

Scopri tutti i nostri servizi

Altre aree tecniche in cui operiamo

SECURITY
WHISTLEBLOWING
D-LGS 231/2001

RP Advisor Srl
P.iva 09694750960
REA: CO – 415782 

Contatti

Como: Via Padre Masciadri 2H Mariano Comense

Milano: Via San Pietro all’Orto 9

Roma: Via Nazionale 214

info@rpadvisor.it
+ 39 031 2250748