Data Breach, Come Comportarsi in Caso di Violazione

Il Regolamento Europeo in materia di Privacy prevede che in caso di violazione dei database l'azienda ne faccia notifica entro 72 ore all'autorità di controllo. Tre giorni.

Ora, tu imprenditore, puoi veramente essere sicuro di avere tutte le carte in regola per rispondere alle domande del garante?

A partire dal prossimo 25 maggio 2018, il Regolamento Europeo 679/2016 (GDPR) introduce per tutti i titolari l’obbligo di notifica e cominicazione di data breach, entro 72 ore dal momento in cui ne viene a conoscenza, all’autorità di controllo.

L’obbligo di notifica all’autorità competente si rende necessario in presenza di violazioni di dati personali che possano mettere a rischio o compromettere le libertà e i diritti dei soggetti interessati, mentre se ci si trova di fronte ad un rischio elevato, scatta anche l’obbligo di comunicazione ai singoli interessati.

Gli articoli 33 e 34 del GDPR riportano i termini e le modalità con le quali il titolare del dato deve provvedere alla notifica e/o comunicazione di data breach.

Eventuali ritardi o omissioni di notifica se non adeguatamente giustificati, possono comportare sanzioni con multe che possono arrivare a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell’enna precedente, se superiore, come previsto dall’articolo 83.

Quando si può Parlare di Data Breach?

Si verifica un caso di data breach se si verifica una divulgazione o un accesso non autorizzato o accidentale, se si verifica un’alterazione o la perdita, l’ impossibilità di accesso o la distruzione, accidentale o non autorizzata, di dati personali.

Ovviamente in questi casi non rientra solamente il furto o il danno provocato da soggetti terzi malintenzionati, ma anche la perdita accidentale, quindi la cancellazione di dati per un errore umano o di sistema, o semplicemente l’impossibilità di accesso al dato, per esempio la perdita della password di accesso ad un archivio protetto, o la criptazione provocata da un’infezione da ramsonware.

Mettiamo, per esempio, che la violazione sia dettata da un dipendente che ha smarrito o è stato derubato del telefono/tablet aziendale.

Come si procede, chi apre la notifica di data breach? Chi si prende la responsabilità di parlare nel modo corretto con l'autorità?

Come Procede il Garante?

Una volta riconosciuta la violazione ci sono 72 ore in cui qualcuno in azienda - il responsabile del dato, per esempio, o il titolare - deve prendersi la responsabilità di attivare la procedura rispondendo a una lunga serie di quesiti e domande, tra cui: quando e dove è avvenuta la violazione, quali dati sono stati violati e il relativo ordine di importanza.

Ovvio, più è alta la delicatezza del dato,  maggiori saranno state le misure di sicurezza previste per proteggerlo. Puoi dimostrarlo? Puoi essere certo che i tuoi database fossero protetti nel modo migliore e proporzionato alla loro importanza? 

Come puoi facilmente immaignare, eventuali discrepanze tra tipologia del dato violato e i sistemi di protezione, saranno certamente oggetto di ulteriori verifiche da parte del garante. L'ultima cosa che devi sapere è che in caso di inadempienze le multe sono durissime: fino a 20milioni di euro o il 4% del fatturato annuo.