Data Breach

Data Breach, cosa vuol dire?

Data Breach e Gdpr: con l’avvento del Gdpr siamo stati abituati a termini nuovi per indicare violazione privacy e dati, tra questo anche Data Breach. Nello specifico quando parliamo di Data Breach intendiamo la violazione della sicurezza di un data base informatico contenente dati personali ,violazione che può  portare alla perdita, modifica o furto degli stessi dati.

Il processo di violazione dei dati aziendali non è sempre relativo ad un attacco hacker esterno, ma spesso legato ad una incapacità nel gestire le misure di sicurezza interna per proteggere i database aziendali.

Ad esempio, uno dei Data Breach più rilevati è dato dalla perdita o dal furto del dispositivo nel quale sono archiviati dati personali in possesso dell’azienda o del professionista.

Oppure, il database può essere violato da soggetti autorizzati ad accedere, che però con atteggiamento malevolo, diffondono dati personali pubblicamente oppure provano a vendere gli stessi dati o li utilizzano per scopi criminosi.

Ultimo caso è elativo ai malware, attacchi informatici esterni ai data base che riescono ad impedire ai proprietari dei database l’accesso ai propri dati , se ne impossessano e chiedono pagamento di riscatto.

Come comportarsi in caso di Data Breach?

Nel caso di Data Breach, come spiegato sul sito ufficiale del Garante della Privacy è necessario che il titolare del trattamento dei dati, notifichi l’avvenuta violazione della repository dati entro 72 ore dalla scoperta del problema.

Quali tipi di violazioni comunicare?

E’ fondamentale comunicare tutti quei tipi di violazione che possono creare problemi ai soggetti di cui si posseggo i dati, esponendoli a rischi quali discriminazione, furto di identità truffe o frodi e perdite finanziarie, danni della reputazione e alla riservatezza.

Come redigere la notifica?

La notifica deve contenere le informazioni indicate nell’articolo 33 parte 3 del Regolamento UE 2016/679 come indicato nell’allegato Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951), e compilare il relativo modello  allegato da scaricare e compilare.

Il modulo poi deve essere firmato con firma digitale e inviato al Garante tramite PEC , all’indirizzo mail: protocollo@pec.gpdp.it, oppure ad email classica protocollo@gpdp.it, firmata e accompagnata da documento di identità.

Importante non dimenticare l’oggetto della mail: “NOTIFICA VIOLAZIONE DATI PERSONALI”.

Se la violazione dei dati può comportare gravi conseguenze ai titolari dei dati, questi ultimi devono essere informati, soprattutto se è risultato impossibile limitare le conseguenze relative.

Per ultimo è necessario tenere traccia di tutte le violazioni in un apposito registro.