Come agire nel momento in cui la sicurezza dei propri dati personali è violata: le strategie da attuare contro il data breach.
La sicurezza dei dati personali riveste un’importanza fondamentale nell’era digitale attuale, dove la quantità e il valore dei dati raccolti, archiviati e trattati dalle organizzazioni continuano a crescere esponenzialmente. Questa importanza si manifesta in diversi aspetti chiave che riguardano tanto gli individui quanto le organizzazioni, i quali devono essere capaci di attuare le giuste strategie al fine di mitigare il possibile rischio di un data breach.
Cos’è una violazione di dati personali (data breach)?
Si tratta di un incidente di sicurezza che porta, accidentalmente o illecitamente, alla distruzione, perdita, modifica, rivelazione non autorizzata o accesso ai dati personali trattati, conservati o trasmessi.
Le violazioni dei dati personali possono influire negativamente sulla confidenzialità, sull’integrità, o disponibilità dei dati personali. Tra gli esempi più comuni, ci sono:
- Accesso o acquisizione illecita di dati da parte di soggetti non autorizzati;
Furto o smarrimento di dispositivi elettronici contenenti dati personali;
Modifiche non consentite a dati personali;
Interruzione dell’accesso ai dati a causa di cause fortuite, attacchi informatici, virus, malware, ecc;
Distruzione o perdita di dati personali dovuta a disastri, incidenti, incendi, o altre catastrofi.
Condivisione non autorizzata di dati personali.
Le conseguenze di un attacco per individui ed organizzazioni
Quando i dati personali sono violati, si verifica una serie di eventi che possono avere impatti significativi sia sulle persone fisiche che sulle organizzazioni coinvolte. Una violazione dei dati può, in sostanza, prevedere un accesso non autorizzato ad informazioni sensibili ma anche perdite accidentali, distruzioni o alterazioni dei dati. Ecco cosa accade tipicamente in seguito a una violazione dei dati agli individui:
- Rischio di furto d’identità: i dati personali esposti possono essere utilizzati per commettere frodi o furti d’identità, mettendo a rischio la sicurezza finanziaria degli individui;
Perdita di privacy: informazioni personali sensibili, come dati bancari, indirizzi, o condizioni di salute, possono diventare pubbliche o cadere nelle mani sbagliate;
Stress e ansia: la preoccupazione per le possibili conseguenze di una violazione dei dati può causare stress e ansia agli individui colpiti;
Costi economici: ci si ritrova ad affrontare spese per proteggere la propria identità, come la sottoscrizione a servizi di monitoraggio del credito o la sostituzione di documenti d’identità.
Di seguito, invece, le conseguenze per le organizzazioni:
- Sanzioni legali ed economiche: le violazioni dei dati possono comportare pesanti sanzioni finanziarie per le organizzazioni, in base alle leggi sulla protezione dei dati applicabili, come il GDPR nell’UE;
Perdita di fiducia dei clienti: una violazione dei dati può erodere la fiducia dei clienti in un’organizzazione, influenzando negativamente la reputazione e i rapporti a lungo termine;
Costi di ripristino: le spese per affrontare una violazione includono indagini forensi, notifiche agli interessati, miglioramenti della sicurezza e risarcimenti per gli individui coinvolti;
Impatto operativo: l’interruzione delle operazioni aziendali può verificarsi durante e dopo l’indagine di una violazione dei dati;
Rischi legali: le aziende possono affrontare cause legali da parte di individui o gruppi colpiti dalla violazione dei dati.
Procedure da seguire in caso di violazione della sicurezza dei dati personali
Nel momento in cui un ente (sia esso pubblico o privato, come imprese, associazioni, partiti politici, professionisti, ecc.) rileva una violazione dei dati personali, deve agire senza perdere. tempo. Nello specifico, è necessario notificare la violazione all’Autorità Garante per la protezione dei dati personali entro 72 ore da quando si è verificata la violazione, a meno che non si ritenga che la stessa non presenti rischi per i diritti e le libertà degli individui.
Se un responsabile del trattamento viene a sapere di un possibile data breach, è suo dovere informare immediatamente l’ente responsabile, al fine di permettergli di prendere le necessarie precauzioni.
Qualora la notifica al Garante sia effettuata dopo le 72 ore, è indispensabile fornire una spiegazione dettagliata del motivo alla base di tale ritardo.
Inoltre, se la violazione presenta un rischio alto per i diritti degli individui, l’ente responsabile deve informare direttamente le persone interessate in maniera efficace, a meno che non siano già state adottate misure atte a mitigare significativamente il rischio.
Indipendentemente dalla comunicazione all’Autorità Garante, l’ente responsabile deve tenere traccia di tutte le violazioni dei dati personali, ad esempio attraverso la creazione di un registro ad hoc. Questa documentazione sarà utile all’Autorità per eventuali ispezioni sulla conformità alle norme vigenti.
Quali violazioni dei dati personali richiedono la notifica?
È necessario notificare quelle violazioni di dati personali che potrebbero portare a conseguenze negative gravi per gli individui, tra le quali possiamo annoverare, ad esempio, danni fisici, perdite economiche o danni alla reputazione.
Queste possono far riferimento a situazioni, legate – ad esempio – alla perdita di controllo sui propri dati, alla restrizione dei diritti personali, ma anche a discriminazione, furto di identità, rischi di truffe, compromissione della privacy di dati tutelati da segreto professionale, impatti finanziari negativi, danno alla reputazione personale o altri svantaggi economici o sociali di rilevante entità.
Procedura di invio della notifica per la violazione dei dati personali al Garante
Dal 1° luglio 2021, le notifiche relative alle violazioni dei dati personali devono essere effettuate attraverso una specifica procedura online, disponibile sulla piattaforma digitale dell’Autorità Garante per la protezione dei dati personali. Questo servizio è accessibile direttamente all’indirizzo web https://servizi.gpdp.it/databreach/s/ (come indicato nel Provvedimento del 27 maggio 2021).
All’interno del sito, è possibile consultare un modello di esempio. Questo documento non deve essere inviato come notifica, ma può essere utilizzato come guida per prepararsi adeguatamente alla comunicazione effettiva delle informazioni richieste dall’Autorità.
Per dare maggiore supporto, in tal senso, ai titolari del trattamento dei dati nella gestione degli obblighi normativi, l’Autorità ha sviluppato uno strumento di autovalutazione. Questo strumento aiuta a identificare le misure da adottare in risposta a una violazione dei dati personali causata da incidenti di sicurezza.
Interventi e sanzioni applicabili dal Garante per la protezione dei dati
Nel contesto di una violazione delle norme stabilite dal Regolamento UE 2016/679, il Garante ha l’autorità di imporre misure correttive, come delineato nell’articolo 58, comma 2, del suddetto regolamento.
Lo stesso può includere la valutazione e la richiesta di miglioramento delle misure di sicurezza tecniche e organizzative messe in atto per proteggere i dati compromessi.
In caso di non conformità, il Garante può applicare sanzioni economiche importanti, che possono raggiungere anche una somma pari a 10 milioni di Euro o, per le aziende, fino al 2% del loro fatturato globale annuo, a seconda di quale sia l’importo maggiore.
