Data breach gestire una violazione
Dall'entrata in vigore del nuovo Regolamento per il trattamento dei dati personali noto come GDPR 679/2016 avvenuto il 25 Maggio 2018 si è parlato molto di violazione con il termine data breach. Le imprese hanno iniziato subito ad associare il termine di eventuale violazione con la parte del Regolamento che definisce le sanzioni.
Se da un lato questa associazione è corretta, ma dall'altra ha fatto spostare l'attenzione e le potenzialità che il GDPR può avere per un'impresa in termini di organizzazione e di reputazione, finendo per essere considerato un altro adempimento imposto dal legislatore.
Che cos'è il data breach?
L'articolo 33 del GDPR 679/2016 non chiarisce le circostanze
in cui identificare una violazione, preferisce non entrare nel merito evitando
di fare un elenco di situazioni possibili e probabili che in futuro dovrebbero
essere aggiornate portando a una revisione del regolamento.
Il Regolamento, nell'articolo indicato, pone l'attenzione
sulle conseguenze che la violazione può avere nei confronti dell'interessato.
Soltanto identificando le conseguenze e quindi il rischio per i diritti e le
libertà delle persone fisiche il titolare del trattamento riconosce la
violazione e le azioni da compiere.
Identificare le conseguenze è un processo a valle di operazioni e passaggi che il titolare del trattamento è tenuto a fare a monte come ad esempio l'analisi del rischio (Risk Analysis) o DPIA se richiesto, sono tutti questi passaggi nel nuovo Regolamento che aiutano a spiegare il termine di Accountability, cioè la responsabilizzazione del titolare del trattamento per adottare un comportamento per limitare i rischi per l'interessato.
Cosa fare in caso di violazione
Il titolare del trattamento è tenuto ad avvisare l'autorità di controllo, in Italia è il Garante della privacy, notificando con le opportune procedure cosa è successo, ed entro le 72 ore da quando è venuto a conoscenza della violazione.
Se il titolare del trattamento si avvale di uno o più
responsabili del trattamento, ognuno per il proprio ambito di competenza è
tenuto ad avvisare il titolare del trattamento appena viene a conoscenza della
violazione. Si identificano responsabili del trattamento coloro i quali sottoscrivono
con il titolare del trattamento un contratto come indicato dall'art 28 del GDPR;
ad esempio una società esterna a cui si affidano i propri dati per campagne di
newsletter, oppure una società che ha l'assistenza delle postazioni
informatiche, il commercialista o la società incaricata della gestione buste
paga.
Il titolare del trattamento è tenuto ad avvisare l'autorità di controllo comunicando le seguenti informazioni:
- Descrivere la natura della violazione dei dati personali, la categoria e il numero di interessati, anche in modo approssimativo
- Fornire i dati identificativi del DPO, responsabile della protezione dei dati nel caso sia nominato o altro punto di contatto presso cui ottenere informazioni. Questo non vuol dire che un responsabile del trattamento possa essere incluso quale contatto dove reperire informazioni senza che quest'ultimo sia d'accordo. Per questo motivo stipulare un contratto aiuta a definire compiti e azioni ben specifiche
- Descrivere le probabili conseguenze della violazione
- Descrivere le misure adottate dal titolare del trattamento per porre rimedio alla violazione, mitigandone gli effetti negativi
Il Regolamento viene incontro al titolare del trattamento nel caso non possa fornire queste informazioni contestualmente alla notifica della violazione, purché le stesse siano comunque raccolte e trasmesse in un secondo momento.
Quando comunicare la violazione all'interessato
L'articolo 34 del GDPR 679/2016 descrive il comportamento che deve essere adottato dal titolare del trattamento nei confronti dell'interessato in caso di violazione. Se il titolare del trattamento ritiene che il data breach costituisca un rischio per i diritti e le libertà dell'interessato deve avvisarlo senza ingiustificato ritardo da quando ne viene a conoscenza descrivendo con linguaggio semplice la natura della violazione. Il titolare del trattamento deve necessariamente adempiere oppure può evitare la comunicazione con l'interessato se:- Sono state messe delle misure di sicurezza tecniche e organizzative adeguate a rendere i dati incomprensibili a chi possa averli violati
- La comunicazione richiede uno sforzo sproporzionato per il titolare del trattamento, ad esempio non si conoscono i riferimenti o i dettagli dei dati violati o il numero di dati personali è eccessivo, il titolare del trattamento procede ad una comunicazione pubblica per informare gli interessati della violazione
Conclusione
Quest'ultimo passaggio è importante perché suggerisce al titolare del trattamento nel caso sia obbligato a dare comunicazione all'interessato della violazione ma impossibilitato a farlo privatamente a renderlo noto su pubblica piazza, si possono solo immaginare i danni reputazionali ai quali va incontro, dalla perdita di fiducia dei clienti, se è un soggetto quotato in borsa al crollo delle proprie azioni e oggetto di speculazioni.Quello a cui bisogna prestare attenzione è che il Regolamento impone di notificare al garante e o all'interessato la violazione entro i termini stabiliti, ma partendo dal presupposto che il titolare del trattamento ne sia a conoscenza.
Senza misure di prevenzione e controllo è impossibile capire se la propria infrastruttura informatica od organizzativa sarà violata o è attualmente oggetto di data breach
Molti titolari del trattamento, cosi come i responsabili del trattamento credono erroneamente che per data breach o violazione si intende solo ed esclusivamente attacco informatico di un hacker che ha preso di mira l'impresa, ma non è solo questo infatti:
- basta dimenticare un notebook in stazione
- subire un furto in auto dove c'era il telefono aziendale
- un furto presso la sede del cliente se spariscono postazioni di lavoro e relativi server.
- un faldone di documenti cartacei sottratto dalla pila di documenti sulla scrivania con accesso consentito al pubblico
Se hai bisogno di capire come la tua impresa è adeguata rispetto al nuovo Regolamento contattami al 3318671100 oppure scrivimi direttamente da qui