Procedura in caso di violazione dei dati personali (Data Breach)
1. Violazione dei dati personali Data Breach
La violazione dei dati personali c.d. “data breach” è regolato dagli articoli 33,34 del Regolamento Europeo 679 / 2016 (GDPR).
Per violazione dei dati personali o “data breach” si intende la violazione di sicurezza che comporta accidentalmente, o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
La violazione dei dati personali è un evento che può influire sulla:
I. riservatezza, tramite divulgazione o accesso non autorizzato o accidentale;
II. integrità, tramite alterazione non autorizzata o accidentale;
III. disponibilità, tramite perdita, inaccessibilità, o distruzione, accidentale, o non autorizzata, dei dati personali custoditi in qualsiasi formato.
A titolo esemplificativo e non esaustivo possiamo considerare la seguente tabella di esempio in cui si riportano alcuni scenari di violazione di dati personali classificati per gravità crescente per le libertà e i diritti degli interessati:
|
Incidente |
Categoria |
Gravità della violazione |
|
Accesso accidentale da un solo utente |
Riservatezza |
Basso |
|
Accesso accidentale da un numero circoscritto di utenti |
Riservatezza |
Medio |
|
Accesso male intenzionale e/o diffusione pubblica |
Riservatezza |
Alto |
|
Informazioni aggiornate erroneamente e corrette prima dell'impiego dell'interessato |
Integrità |
Basso |
|
Informazioni aggiornate erroneamente e corrette a seguito richiesta dell'interessato. |
Integrità |
Medio |
|
Informazioni aggiornate erroneamente per cui non è possibile la correzione |
Integrità |
Alto |
|
Dati/Servizi non disponibili/corrotti ripristinabili da backup/servizi in breve tempo |
Disponibilità |
Assente |
|
Dati/Servizi non disponibili/corrotti ripristinabili da backup/servizi in tempi ragionevoli |
Disponibilità |
Basso |
|
Dati/Servizi non disponibili/corrotti ripristinabili da backup/servizi dopo un lungo periodo di tempo |
Disponibilità |
Medio |
|
Dati/Servizi non disponibili/corrotti impossibili da recuperare |
Disponibilità |
Alto |
Non ci sono delle regole fisse in grado di stabilire le soglie per cui scatta una violazione dei dati personali.
Ad esempio, le violazioni che riguardano la disponibilità dei dati, possono colpire aziende online che si occupano di acquisto/vendita di strumenti finanziari (azioni, obbligazioni, movimenti di borsa, etc.) in cui l’interruzione del servizio, anche per 2 minuti, impedisce agli utenti di accedere al proprio portafoglio con possibili riflessi e conseguenze patrimoniali.
Al contrario, una interruzione del servizio di 2 minuti, di una azienda che vende elettrodomestici all’ingrosso, non comporta conseguenze per le libertà e i diritti degli interessati.
2. Notifica della violazione al Garante Privacy e comunicazione agli interessati
Se la violazione comporta probabili rischi per i diritti e le libertà degli interessati, il Titolare del Trattamento, senza ingiustificato ritardo ed entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare tale violazione all’autorità di controllo competente (in Italia, il Garante Privacy).
Per la notifica al Garante è stato predisposto un modello di comunicazione dal Garante Privacy idoneo alla raccolta delle informazioni della violazione.
In ogni caso, la notifica dovrà contenere almeno una descrizione dei seguenti ambiti:
- · natura della violazione dei dati;
- · identità e coordinate di contatto del Titolare del Trattamento;
- · conseguenze della violazione;
- · misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione, incluse quelle per attenuarne gli effetti.
Nel caso in cui dalla violazione possa derivare un elevato rischio per i diritti e le libertà dell’individuo, il Titolare del Trattamento contatterà, senza alcun ritardo, gli interessati colpiti dalla violazione (siano essi dipendenti o clienti).
Tale comunicazione dovrà essere effettuata:
- · con un linguaggio semplice e chiaro indicando la natura della violazione dei dati personali;
- · mediante l’impiego dei mezzi di comunicazione che assicurano la certezza della trasmissione nonché velocità nella ricezione da parte degli interessati;
- · indicando le raccomandazioni eventualmente prescritte dal Garante a tutela degli interessati.
Il Titolare dovrà prevedere le risorse adeguate per rispondere alle informazioni/richieste provenienti dagli interessati che avranno ricevuto la notizia della violazione.
Ai sensi all'articolo 34 del GDPR, la comunicazione agli interessati non sarà necessaria nel caso in cui:
· Le misure tecniche ed organizzative adottate rendano i dati non intellegibili per i non autorizzati: sono casi circoscritti in cui i dati violati sono stati in precedenza cifrati e la chiave di decifratura è custodito in luogo diverso e protetto;
· Siano adottate misure idonee ad evitare il sopraggiungere di un rischio elevato per gli interessati: viene valutata la violazione singolarmente anche in relazione al contesto.
Nel caso in cui la comunicazione implicherebbe sforzi sproporzionati, la Società procederà, in accordo alle disposizioni normative, ad una comunicazione pubblica ( es. a mezzo stampa, newsletter, sito internet) o a una misura simile, tramite la quale gli interessati potranno essere informati con analoga efficacia.
3. Annotazione all’interno del registro delle violazioni
Il Titolare del Trattamento annota all’interno del Registro delle Violazioni dei dati tutti i data breach avvenuti, inserendo i relativi dettagli del caso come specificati di seguito.
In caso di notifica al Garante, il registro viene compilato contestualmente alla comunicazione, avendo cura di inserire tempestivamente gli elementi che dovessero emergere all’esito di ulteriori verifiche. In caso contrario, tale decisione viene documentata all’interno del Registro delle Violazioni, dettagliando i motivi per cui il Titolare ritiene improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.
All’interno del registro vanno annotati anche i pareri espressi dal Garante in risposta alla notifica in precedenza trasmessa
Il Registro delle violazioni deve essere strutturato in modo da garantire l’integrità e l’immodificabilità delle registrazioni in esso contenute.
È possibile conservare copia delle versioni del file contenete il registro apponendo la firma digitale del Titolare del Trattamento o del legale rappresentante della Società.
È opportuno inoltre memorizzare gli incidenti registrati all’interno dei sistemi pertinenti di ogni area:
· registro degli eventi potenzialmente rilevanti sotto il profilo della sicurezza informatica;
· registro degli incidenti IT;
· log degli eventi relativi agli incidenti che riguardano la sicurezza fisica (intrusione) o immagini raccolte dal sistema di video-sorveglianza (se disponibili);
· registro delle anomalie di tipo informatico segnalate dagli utenti/addetti.
4. Registro delle violazioni
Il Registro delle violazioni è un documento, in formato cartaceo od elettronico, nel quale sono annotati tutti gli eventi di data breach di cui si è venuti a conoscenza, anche se non comunicate all’autorità di controllo o agli interessati, nonché le conseguenze e i provvedimenti adottati.
Tale registro, manutenuto, alimentato e conservato dal Titolare del Trattamento deve contenere le seguenti informazioni utili anche per la determinazione della gravità della violazione:
|
Data e ora Registrazione della violazione |
Cioè la data e ora in cui è stata annotata nel registro la notizia della violazione |
|
Finalità del Trattamento |
La finalità del Trattamento così come indicata all'interno del registro |
|
Soggetto che ha identificato l’evento |
La persona che ha rilevato la violazione |
|
Titolare / Responsabile del trattamento |
La denominazione sociale del titolare del trattamento |
|
Data e ora violazione |
Data e ora in cui è avvenuta la violazione |
|
Categoria interessati; |
La categoria di interessati es. dipendenti, clienti, prospect, minori etc. |
|
Tipologia dei dati violati; |
Tipologia dei dati violati es. dati comuni, particolari, giudiziari etc. |
|
Tipo di violazione |
Tipo di violazione (riservatezza, disponibilità, integrità); |
|
Facilità di identificazione dei dati violati, cioè se i dati violazioni n; |
Il concetto che esprima la facilità di identificare l'interessato violato. Es. se viene smarrito un estratto conto bancario, su cui è riportato il nome e cognome del titolare del conto, è immediatamente possibile determinare l'identità dell'interessato. Diversamente, possono essere violati documenti in cui vengono riportati dei dati che non riportato il nome per cui è possibile ricondurre queste informazioni all'identità dell''interessato incrociando i dati con altre fonti dati. |
|
Presenza di dati di minori o soggetti svantaggiati; |
Presenza di dati di minori o soggetti svantaggiati (anziani, portatori di handicap) |
|
Numero di interessati oggetto di violazione; |
Numero di interessati oggetto di violazione; |
|
Volume dei dati personali violati; |
Numero di dati violati inteso come numero di informazioni o di record (righe di un database) |
|
Conseguenze per i diritti degli interessati; |
Conseguenze per i diritti degli interessati |
|
Misure adottate per la riduzione dei rischi legati alla violazione; |
Misure adottate per la riduzione dei rischi legati alla violazione |
|
Data e ora Notifica al garante |
Se l’evento ha dato seguito ad una notifica all’autorità di controllo, includendo l’indicazione di data e ora della stessa e copia del relativo modulo di segnalazione |
|
Motivazioni Notifica al Garante |
Ragioni per cui non si sia eventualmente ritenuto di procedere con la notifica all’autorità di controllo o con la comunicazione agli interessati o le ragioni per cui si sia proceduto con ritardo (i.e. dopo 72 ore dal momento in cui il Titolare ne è venuto a conoscenza). |
|
Notifica agli interessati |
Se l’evento ha dato seguito ad una comunicazione agli interessati, includendo l’indicazione di data e ora della stessa, copia del suo contenuto e prova dell’avvenuta trasmissione; |
