Il data breach è una violazione dei dati personali che ne compromette la sicurezza, comportando un’illecita o accidentale distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati. Innanzitutto bisogna ricordare che la sicurezza del trattamento è un obbligo previsto dall’articolo 32 del GDPR, il quale impone al titolare ed al responsabile del trattamento di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. Un data breach può verificarsi quando le misure tecniche e organizzative a sicurezza del trattamento non sono adottate o si rilevano essere state non adeguate.
Il data breach è integrato solo quando esiste la probabilità che la violazione dei dati personali che si è verificata presenti un rischio per i diritti e le libertà degli interessati. In caso contrario, ovverosia quando sia improbabile che tale rischio si verifichi, non si tratterà tecnicamente di un “data breach”, bensì di un semplice incidente di sicurezza. L’incidente di sicurezza non comporta gli obblighi previsti dal GDPR.
Sia gli incidenti di sicurezza che i data breach devono comunque essere documentati affinchè le autorità di controllo possano verificare il rispetto della normativa. Nella valutazione del fatto, il titolare può chiedere supporto informativo al responsabile coinvolto nel trattamento colpito dall’incidente/dal data breach.
Il data breach deve essere notificato all’autorità di controllo nazionale incaricata della protezione dei dati (in Italia, il Garante) entro 72 ore dal momento in cui il titolare ne è venuto a conoscenza. Il responsabile del trattamento che viene a conoscenza del data breach lo comunica immediatamente al titolare. La notifica deve contenere almeno la natura della violazione, i dati di contatto del DPO e una descrizione delle probabili conseguenze della violazione e delle misure adottate per attenuarne gli effetti negativi. Nei casi in cui il titolare del trattamento non possa immediatamente fornire queste informazioni, egli potrà inoltrarle all’autorità di controllo in un momento successivo rispetto a quello della notifica della violazione.
Oltre alla notifica all’autorità, il data breach deve essere comunicato agli interessati se la violazione presenta un rischio per i diritti e le libertà di questi ultimi che raggiunga un livello “elevato”. La comunicazione non è obbligatoria in tre casi tassativi: (i) il titolare aveva già adottato misure di protezione adeguate a sicurezza dei dati prima della violazione, in particolare atte a rendere i dati oggetto della violazione incomprensibili ai non autorizzati (cifratura), (ii) il titolare ha adottato misure atte a scongiurare un rischio elevato per gli interessati dopo la violazione, o (iii) la comunicazione ad ogni interessato richiederebbe sforzi proporzionati, sostituendola quindi con una comunicazione pubblica.
Nel caso di mancato rispetto degli obblighi di notifica e comunicazione del data breach, il titolare sarà sanzionabile fino a 10 milioni di euro o per un importo pari al 2% del fatturato annuo. La stessa sanzione si applica al responsabile del trattamento che non dia il supporto richiesto al titolare del trattamento o che non effettui renda noto al titolare di essere venuto a conoscenza del verificarsi di un data breach.
Secondo alcuni report di settore, il costo medio totale di una violazione dei dati in Italia è pari a più di 3 milioni di euro ed è sensibilmente ridotto nelle imprese che hanno adottato procedure e piani di risposta ai data breach.
Nella metà dei casi, le cause di un data breach sono da individuarsi nell’errore umano o in un problema tecnico. Solo per l’altra metà la violazione dipende da un attacco malevolo ai sistemi del titolare del trattamento. Le violazioni colpiscono spesso le banche dati contenenti i nominativa dei clienti del titolare del trattamento, le quali possono formare oggetto di compravendita con un competitor oppure essere merce di riscatto richiesto al titolare stesso per rientrare in possesso dei nominativi.
Di seguito, indichiamo gli articoli correlati. Art. 28 GDPR - Responsabile del trattamento; Art. 32 GDPR - Sicurezza del trattameno; Art. 33 GDPR - Notifica di una violazione dei dati personali all'autorità di controllo; Art. 34 GDPR - Comunicazione di una violazione dei dati personali all'interessato; Art. 83 GDPR - Condizioni generali per infliggere sanzioni amministrative pecuniarie.
Il 6 giugno 2017, l’Autorità garante per la protezione dei dati personali (“Garante”) ha pubblicato la Relazione annuale, relativa all’attività svolta nell’anno...
A seguito del ricorso presentato dall’Autorità Garante per la Protezione dei Dati Personali contro un istituto di cura romano, la Suprema Corte ha ribadito il...