Un data breach, in italiano violazione dei dati personali, è qualsiasi violazione di sicurezza che comporta accidentalmente o illecitamente la distruzione, perdita, modifica, divulgazione non autorizzata o accesso a dati personali trasmessi, conservati o trattati. La definizione dell'art. 4 GDPR è volutamente ampia: copre tanto un attacco informatico quanto un errore umano, come l'invio di una email con allegati sbagliati a destinatari non autorizzati. Contenuto informativo: la gestione di un data breach richiede sempre un DPO o un legale specializzato in protezione dei dati.
La parte più delicata, in pratica, non è riconoscere che è avvenuta una violazione, ma decidere correttamente e in tempo se notificarla, a chi, ed entro quale termine: gli errori di valutazione in questa fase generano spesso più rischio della violazione stessa.
La notifica al Garante entro 72 ore
L'art. 33 GDPR impone al titolare del trattamento di notificare la violazione all'autorità di controllo competente (in Italia il Garante per la Protezione dei Dati Personali) entro 72 ore dal momento in cui ne ha avuto conoscenza, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Se la notifica non avviene entro il termine, deve essere motivato il ritardo.
La notifica deve descrivere la natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti, le probabili conseguenze, e le misure adottate o proposte per porvi rimedio e attenuarne i possibili effetti negativi. Se non è possibile fornire tutte le informazioni contemporaneamente, possono essere fornite in fasi successive senza ulteriore ritardo ingiustificato.
Quando serve avvisare anche gli interessati
L'art. 34 GDPR pone una soglia più alta per la comunicazione diretta agli interessati: si applica solo quando la violazione presenta un rischio elevato per i loro diritti e libertà, non semplicemente un rischio. Furto di credenziali di accesso, esposizione di dati sanitari, finanziari o di categorie particolari sono gli scenari tipici in cui questa soglia viene superata.
La comunicazione deve essere scritta in linguaggio semplice e chiaro, descrivere la natura della violazione e contenere almeno il nome del DPO o di un altro punto di contatto, le probabili conseguenze, e le misure adottate o consigliate per attenuare i possibili effetti negativi, ad esempio il cambio immediato della password.
Il registro interno delle violazioni
Quando il titolare valuta che una violazione non sia notificabile, perché improbabile che comporti un rischio, deve comunque documentarla internamente: natura dell'incidente, categorie e numero approssimativo di interessati e dati coinvolti, conseguenze probabili, misure adottate. Questa documentazione, spesso organizzata in un registro dedicato, è ciò che il Garante richiede in caso di ispezione per verificare che la valutazione del rischio sia stata effettuata correttamente e non semplicemente omessa.
Le sanzioni per omessa o tardiva notifica
L'omessa o tardiva notifica di un data breach notificabile è sanzionata secondo l'art. 83.4 GDPR, fino a 10 milioni di euro o al 2% del fatturato annuo mondiale del gruppo, se superiore. Questa sanzione si aggiunge, e non sostituisce, l'eventuale sanzione per la violazione che ha causato la perdita di dati, se questa deriva a sua volta da una carenza nelle misure tecniche e organizzative di sicurezza richieste dall'art. 32 GDPR.
Domande frequenti
- Quando va notificato un data breach al Garante?
L'art. 33 GDPR impone la notifica entro 72 ore dal momento in cui il titolare ne ha avuto conoscenza, salvo che la violazione non presenti probabilmente un rischio per i diritti e le libertà delle persone fisiche.
- Quando bisogna avvisare anche gli interessati?
L'art. 34 GDPR richiede la comunicazione diretta quando la violazione presenta un rischio elevato, ad esempio in caso di furto di credenziali o dati sanitari o finanziari esposti, con linguaggio semplice e indicazione delle misure adottate.
- Cosa deve contenere il registro delle violazioni?
Anche le violazioni non notificate vanno documentate internamente: natura, categorie e numero approssimativo di interessati, conseguenze probabili e misure adottate, per permettere al Garante di verificare la valutazione in caso di controllo.
- Cosa rischia chi non notifica un data breach notificabile?
L'omessa o tardiva notifica è sanzionata fino a 10 milioni di euro o al 2% del fatturato annuo mondiale del gruppo, secondo l'art. 83.4 GDPR, in aggiunta a eventuali sanzioni per la violazione che ha causato la perdita di dati.