Al giorno d’oggi, se si ha intenzione di essere presenti sul web in maniera efficace è necessario essere consapevoli del significato di alcune espressioni, fondamentali per proteggere al meglio i dati personali che conserviamo in cloud o in altri contesti di archiviazione. Farlo significa, in concreto, informarsi su cosa vuol dire data breach e su come gestire questa eventualità. Se sei qui, significa che vuoi sapere qualcosa di più in merito.
Perfetto! Nelle prossime righe, abbiamo spiegato cos’è un data breach e come comportarsi quando si tratta di gestirlo.
Cos’è un data breach?
Quando si parla di data breach, si inquadra una fattispecie che si contraddistingue per una violazione di sicurezza che porta alla perdita, alla distruzione, alla modifica o alla diffusione – ovviamente senza autorizzazione – di dati personali.Entrando nel vivo dei casi in cui si può parlare di data breach, facciamo presente che, in questo novero, è possibile includere situazioni in cui un soggetto terzo non autorizzato accede a determinati dati personali o li acquisisce.
Si può includere sotto al cappello dei data breach anche la circostanza in cui si ha a che fare con un furto di un device informatico sul quale sono stati archiviati dei dati personali.
Cosa fare se si è vittime di un data breach?
Come è chiaro dall’ultimo punto elencato nel paragrafo precedente, tantissime persone possono cadere vittime di data breach. Basta avere un’attività, anche in Partita IVA, e trattare dati personali per lavoro, per poter parlare di violazione dei dati nelle situazioni in cui, come sopra ricordato, si perde o ci si vede rubare il pc o il cellulare.Chiarito questo aspetto, entriamo nel cuore del processo di gestione dei data breach. Il principale punto di riferimento normativo sono gli articoli 33 e 34 del GDPR. Quando si parla del primo, si apre il capitolo riguardante le indicazioni relative alla gestione aziendale a seguito del data breach e tutto quello che ruota attorno ai rapporti con il Garante nel momento in cui si rende conto che la propria realtà è stata interessata da una violazione dei dati.
Per quel che concerne invece l’articolo 34, facciamo presente che fornisce specifiche relative ai rapporti con gli interessati, ossia le persone legate ai dati oggetto di violazione.
Detto questo, ricordiamo che, quando si scopre di essere vittime di data breach, è necessario registrare la cosa. Per quanto riguarda la notifica, rammentiamo che, come evidenziato dal già citato articolo 33 del GDPR, nell’eventualità di un caso di violazione dei dati personali è necessario che il titolare del loro trattamento notifichi la situazione all’autorità competente – il Garante – entro e non oltre le 72 ore (questo limite va considerato a partire dal momento in cui ci si accorge del data breach).
Per essere precisi, è bene specificare che il quadro appena descritto, che viene approfondito nell’ambito del punto 1 del sopra citato articolo, vale nelle situazioni in cui, a seguito del data breach, può concretizzarsi un rischio per “i diritti e le libertà” delle persone fisiche coinvolte. In caso di ritardo, è essenziale, nell’ambito della notifica, esplicitare il motivo dello stesso.
La notifica al Garante in caso di data breach: che informazioni deve contenere?
A questo punto, è naturale chiedersi cosa si debba scrivere in una notifica al Garante in caso di data breach. La prima cosa da ricordare in merito è che, nell’oggetto del messaggio, deve essere necessariamente indicata la dicitura “Notifica violazione dati personali”.Risulta invece opzionale la presenza del nome del titolare del trattamento dei dati. Doveroso è specificare che, per snellire la procedura, il Garante ha messo a disposizione degli utenti un apposito modulo di self assestment, caratterizzato dalla presenza di una sezione di autovalutazione incentrata sulle azioni da intraprendere in caso di data breach.
Questa risorsa chiama in causa anche i punti da indicare nell’ambito della notifica dei data breach, contenuto che, per esempio, deve essere privo di qualsiasi riferimento ai dati oggetto di violazione.