Negli ultimi tempi sono sempre più frequenti i casi di attacchi informatici alle aziende, che possono mettere gravemente a rischio la sicurezza dei dati personali trattati. In questi casi si parla di “data breach“: una violazione della sicurezza dei dati che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, il furto, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati che può compromettere la riservatezza, l’integrità o la disponibilità dei dati personali ed aziendali.
Alcuni esempi di data breach aziendale sono, l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware, ecc.), la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali.
COME AFFRONTARE UN DATA BREACH
In questi casi la prima cosa da fare è sicuramente agire immediatamente rafforzando le difese per mettere al riparo i dati da ulteriori rischi di sicurezza ed evitare ulteriori danni.
In seconda battuta va valutato rapidamente se esiste la probabilità che “la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. In questo caso è necessario procedere con la notifica al Garante, secondo quanto previsto dall’articolo 33 del Regolamento Ue sulla protezione dei dati n. 2016/679, RGPD. Per fare la notifica ci si collega al sito del garante e si compila il modulo on line.
C’è poi un altro articolo dell’RGPD (art. 34) che obbliga ad informare la persona danneggiata dalla violazione, se tale informazione non è di dominio pubblico. Ad esempio se ad una banca rubano le password con cui i clienti si collegano al conto on line, i clienti ovviamente rischiano che qualcuno si appropri del contenuto del conto corrente, è logico quindi che i clienti della Banca debbano essere avvisati subito (in questo caso ad esempio, per un cambio urgentemente di credenziali e riferimenti relativi al c/c).
Immediato pensare alla perdita di credibilità e al danno di immagine. Nel caso in cui il data breach non rappresenti un danno ai diritti o alle libertà dell’interessato, la comunicazione può essere evitata: in particolare se la violazione non presenta un rischio elevato e se i dati non sono stati persi.
LE LINEE GUIDA DEL GARANTE EUROPEO PER LA GESTIONE DEI DATA BREACH
Per non lasciare nulla al caso, il Garante Europeo ha diffuso un documento (Linee Guida n. 1/21 reperibile sul sito www.edpb.eu), in cui sono elencati 18 casi, per ognuno dei quali si indica se si deve fare o no la notifica al Garante e la comunicazione agli interessati. Alle aziende e ai professionisti rimane il compito di vedere se il guaio capitato, rientra in uno di questi esempi e seguire il vademecum.
Da tenere presente che la mancata notifica al Garante espone l’azienda che la omette, ad una sanzione fino a 10 milioni di euro o per le multinazionali, fino al 2% del fatturato mondiale annuo, dell’anno precedente all’avvenuto data breach.
