Sfatiamo alcune leggende metropolitane sul data breach.
Se non c’è accesso ai dati, non è data breach. FALSO.
Il data breach consiste in una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4.1 n. 12) GDPR). Pertanto, come confermato anche dal comitato europeo per la protezione dei dati, anche l’indisponibilità temporanea ad esempio per effetto di un ransomware o di un calo di tensione, è un data breach.
Non è data breach perché non coinvolge dati sensibili. FALSO.
Un data breach è tale se coinvolge dati personali, indipendentemente dalla loro tipologia. La valutazione della natura, sensibilità e volume dei dati personali oggetto di violazione riguarda invece la sussistenza o meno degli obblighi di notifica al Garante e comunicazione agli interessati.
Ogni data breach va notificato al Garante. FALSO.
Non tutti i data breach devono essere notificati all’autorità di controllo, dal momento che la notifica è richiesta solo a fronte di un processo decisionale di valutazione dell’evento che riscontri la sussistenza di un rischio probabile per i diritti e le libertà delle persone fisiche i cui dati son ostati violati. Qualora non sia riscontata la probabilità di un danno fisico, materiale o immateriale, la notifica non è richiesta.
La comunicazione agli interessati deve essere successiva alla notifica al Garante. FALSO.
Qualora siano riscontrati gli elementi di rischio elevato per i diritti e le libertà delle persone fisiche (art. 34 GDPR), la comunicazione agli interessati deve essere svolta “senza ingiustificato ritardo”, perseguendo l’obiettivo – confermato dall’EDPB – di allertarli e consentire l’adozione di tutte le misure individuali di prevenzione e protezione dalle conseguenze dell’evento. Non è infrequente che l’autorità di controllo imponga successivamente la comunicazione del data breach agli interessati coinvolti, ma buona prassi – e dunque: conformità al principio di accountability e rispetto del contenuto sostanziale delle norme relative alla protezione dei dati personali – richiede che tale comunicazione intervenga immediatamente a fronte della valutazione di rischio.
Se non c’è notifica al Garante, il data breach non comporta alcun obbligo. FALSO.
L’art. 33.5 GDPR prevede che ogni violazione sia registrata, e in ogni caso la gestione della sicurezza – tanto relativa a dati personali che a dati non personali – richiede un processo di analisi che si conclude con la chiusura dell’incidente e un approccio di tipo lesson learned. È dunque necessario che ogni incidente di sicurezza sia oggetto di registrazione soprattutto ai fini di poterne rilevare frequenza e tendenza, con lo scopo di svolgere le verifiche e i correttivi richiesti da un approccio di miglioramento continuo della sicurezza dei trattamenti.
Commenti recenti