In un mondo sempre più digitalizzato, affidare i dati a server o dispositivi elettronici è ormai all’ordine del giorno.

Contrariamente a quanto avveniva con i registri cartacei, la tecnologia offre purtroppo più possibilità di divulgazione di dati personali, in quanto questi sono reperibili anche da remoto se il malintenzionato ha le giuste abilità informatiche.

Ovviamente il cittadino non è totalmente indifeso in questi casi ed è bene che sappia ciò che sta accadendo e soprattutto come muoversi per subire meno danni possibili.

Definizione di violazione o Data Breach

Quando si parla di violazione dei dati personali, altrimenti definita Personal Data Breach, si va ad intendere una violazione della sicurezza che causa, in maniera accidentale o illecita, perdita, modifica, distruzione, divulgazione non autorizzata o accesso ai dati personali.

Si avrà a che fare con una violazione quando si incappa in un incidente a livello della sicurezza, con conseguente violazione della riservatezza, della disponibilità o dell’integrità dei dati.

Un atto del genere può costituire un reale rischio per i diritti e le libertà proprie o di coloro ai quali sono riferiti i dati violati, dunque è necessario procedere in maniera rapida e precisa. E’ necessario soprattutto capire cosa fare operativamente in caso di Data Breach.

Vediamo i vari passaggi.

Registro delle violazioni

A prescindere dalla notifica al Garante, il responsabile deve formulare una documentazione di tutte le violazioni dei dati personali utilizzando un apposito registro.
Questo strumento consente alle autorità di fare tutte le eventuali verifiche del caso sul rispetto della normativa.

Quello che deve essere riportato all’interno del registro, per ogni violazione, comprende informazioni riguardanti prima di tutto le cause, i fatti ed i dati personali violati. A questo si aggiunge il rapporto degli effetti e delle conseguenze dell’atto ed i provvedimenti adottati per risolvere la cosa.

Non è specificato a livello legislativo un periodo preciso di conservazione del registro, quindi questo resta una decisione del responsabile stesso.
Ciò che deve essere tenuto presente è che però il registro sarà necessario nel caso in cui la persona venisse chiamata a fornire prove all’autorità di controllo.

Una procedura di notifica documentata consente inoltre di stabilire che cosa fare in caso di successive violazioni o rischi in atto.

La mancanza di una corretta documentazione di una violazione può avere conseguenze negative, come l’esercizio da parte dell’autorità di controllo dei suoi poteri (art.58 GDPR), così come l’imposizione di sanzione amministrativa pecuniaria (art.83 GDPR).

Gestione della violazione

La violazione dei dati personali deve essere gestita seguendo fasi ben precise.

Prima di tutto è fondamentale informare subito il responsabile della protezione dei dati.
Successivamente si procede con la valutazione dell’impatto e della portata. Questo consiste in:

 

• Accertamento della violazione
• Stima del numero delle persone interessate
• Determinazione della tipologia dei dati violati
• Elenco delle misure di sicurezza in atto prima della violazione.

Alle parti interessate deve essere notificata la violazione, soprattutto quando il rischio per i diritti e le libertà è elevato.
La comunicazione deve andare ad includere le informazioni relative al contatto del Responsabile della Protezione dei Dati ed i dettagli della violazione stessa. A questo si aggiungono il probabile impatto, le azioni già in atto e ciò che è stato avviato al fine di ridurre al minimo le conseguenze dovute alla violazione.

Coloro che hanno la responsabilità di gestire l’incidente devono portare avanti un’analisi approfondita seguendo due strade:

 

• Attuazione delle possibili misure al fine di ridurre il rischio e favorire il contenimento di altri accessi non autorizzati
• Continuo perfezionamento della stima delle persone interessate nella violazione e dei relativi dati coinvolti.

Quando finalmente la violazione dei dati personali è contenuta, l’organizzazione ha il compito di effettuare un riesame ed un monitoraggio delle misure adottate. Questo ha lo scopo di trovare metodi per rafforzare la sicurezza ed evitare che si ripresenti una situazione simile.
Tali misure devono dunque essere monitorate al fine di garantire un’implementazione ottimale ed efficace.

Esempi di violazione dei dati

La violazione dei dati personali può avvenire in vari modi, causata per esempio da:

• Infedeltà aziendale. Una persona interna all’azienda con autorizzazione ad accedere ai dati personali può farne copia e divulgarli pubblicamente.
• Accesso abusivo. Un individuo accede ai dati personali di un’altra persona in maniera non autorizzata e divulga quanto acquisito.
• Il furto ad esempio di un notebook può portare all’accesso tramite questo dei dati personali dell’individuo derubato.
• Perdita accidentale. Una persona che smarrisce un dispositivo come una chiavetta USB si espone alla violazione dei dati personali.

Tra i possibili scenari che possono portare ad una violazione dei dati personali si ha per esempio il dipendente di un carcere che ha il compito di copiare i dati di alcuni reclusi su un CD e invece li pubblica online.
Non appena questo viene scoperto, il carcere deve immediatamente mettere in atto la corretta procedura di gestione dell’evento, poichè i dati pubblicati contengono informazioni sensibili.
Se in origine i dati fossero stati criptati, l’incidente avrebbe senza dubbio causato molti danni in meno.
L’organizzazione in questo caso deve informare dunque l’autorità di protezione dei dati ed anche le persone.

Nel caso in cui, invece ad esempio un servizio cloud dovesse perdere vari hard disk all’interno dei quali si trovavano dati personali dei clienti, il servizio deve informare questi il prima possibile.
In questo caso l’azienda è tenuta ad informare subito i clienti, i quali possono avere il dovere di comunicare ciò all’autorità di protezione dei dati ed alle persone interessate.

Notifica della violazione

Quando si verifica una violazione dei dati personali, è necessario informare le autorità entro 72 ore dalla presa di coscienza del fatto ”senza ingiustificato ritardo”.

Nel caso in cui fosse coinvolta un’azienda, l’art.33 del GDPR afferma che, in caso di violazione dei dati, il responsabile del trattamento deve occuparsi di avvertire il titolare del fatto.
Quest’ultimo, a sua volta, avrà il compito di notificare la cosa all’autorità di controllo se ciò comporta un rischio per i diritti e le libertà di persone fisiche.

Quando l’ingiustizia subita può causare un elevato rischio per le persone coinvolte, queste devono essere informate, a meno che non siano già presenti efficaci misure di protezione a livello tecnico o amministrativo o altre strade in grado di garantire la non ripetibilità dell’atto illecito.

La legge prevede che la notifica debba riportare un ben preciso contenuto:

 

• Descrizione della natura della violazione dei datii personali violati. Questo comprende dove possibile le categorie ed il numero approssimativo di persone coinvolte, oltre a quello riguardante le registrazioni dei dati personali in questione.
• La comunicazione del nome e dei dati di chi aveva la responsabilità degli elementi violati, oltre a qualunque altro contatto presso il quale reperire utili informazioni.
• La descrizione delle possibili conseguenze della violazione
• La spiegazione delle misure adottate o da adottare per porre rimedio all’episodio o per attenuarne gli effetti negativi.

La notifica deve essere effettuata al Garante via PEC ed indirizzata a protocollo@pec.gpdp.it.
In alternativa può essere inviata via mail a protocollo@gpdp.it, sottoscritta digitalmente tramite firma elettronica qualificata o firma digitale, oppure con firma autografa. In tal caso la notifica deve essere presentata con la copia di un documento d’identità del firmatario.
L’oggetto della mail deve obbligatoriamente essere NOTIFICA VIOLAZIONE DATI PERSONALI , mentre la denominazione del titolare del trattamento è opzionale.

Dato che le violazioni dei dati personali possono arrivare ad avere conseguenze davvero significative sia dal punto di vista finanziario che della reputazione stessa di un’azienda, è necessario prestare grande attenzione a riguardo.

Giocare d’anticipo è sempre la strategia migliore, dunque per fare qualcosa a riguardo non serve attendere il fatto avvenuto, quanto piuttosto impegnarsi per impostare una procedura efficace.