Data Breach

Cosa è un data breach?

Come precisato dal Garante della Privacy, un data breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, con la compromissione di riservatezza, integrità o la disponibilità di dati personali.

Esistono numerosi esempi di data breach, il Garante ne cita alcuni, come l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, la divulgazione non autorizzata dei dati personali.

Cosa fare in caso di data breach?

Il titolare del trattamento, possibilmente entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione di dati personali al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento, indipendentemente da eventuali notifiche al Garante, è tenuto a documentare le violazioni occorse ai dati personali predisponendo ad esempio un apposito registro delle violazioni, che consenta all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Chiaramente, il responsabile del trattamento che viene a conoscenza di una eventuale violazione dei dati personali che rientri nella definizione di data breach è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Oltre che al Garante della Privacy, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, a meno che abbia già preso misure tali da ridurne l’impatto.

Cosa comunicare al Garante?

Il Garante della Privacy deve essere informato circa i dettagli della violazione, così come indicati nell’art. 33, par. 3 del Regolamento (UE) 2016/679 e riportati nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali.

Come guida per la compilazione, sono utili utili le linee guida prodotte dal Working Party che descrivono in dettaglio le istruzioni per la compilazione del modulo di segnalazione al Garante secondo il regolamento 2016/679.

Per comodità, è disponibile sul sito del Garante un modello di notifica data breach al Garante in formato PDF, da scaricare e compilare sul proprio dispositivo per procedere al successivo invio.

In generale, per poter rispondere alle domande poste dal Garante della Privacy, può essere strategico far eseguire dall’azienda un’attività d’indagine informatica finalizzata a cristallizzare le prove digitali rilevate nell’ambito del data breach e produrre una relazione tecnica che ne documenti i dettagli, come la data d’inizio e di fine, il tipo di dati personali oggetto di violazione, la quantità, le modalità con le quali è avvenuto l’attacco o la perdita di dati, le contromisure prese dall’azienda.


Contatta lo Studio d'Informatica ForensePer informazioni o preventivi contattate lo Studio d'Informatica Forense tramite la Pagina Contatti o compilando il modulo seguente.

Nome o Ragione Sociale *

Email *

Telefono

Messaggio *

Ho letto l'informativa sul trattamento dati *
Do il mio consenso al trattamento dati *