Facciamo un po' di chiarezza sul Data Breach: cos’è e come gestirlo

Il GDPR (General Data Protection Regulation) è da poco entrato in vigore ma c’è ancora molta confusione attorno ai requisiti e agli obblighi previsti da questa nuova normativa e sono molte le aziende che faticano ad adeguarsi, rischiando di incorrere in ingenti sanzioni.

Tra le innumerevoli novità introdotte con il Regolamento generale sulla protezione dei dati, uno dei concetti che ha suscitato maggiore interesse è sicuramente la disciplina del cosiddetto Data Breach, ovvero, quelle violazioni della sicurezza IT in grado di causare la perdita, la distruzione o la diffusione illecita di dati.

Ma cosa si intende esattamente per “violazione dei dati personali”?

Secondo l’art. 4 del Regolamento UE 16/679, per Data Breach si deve intendere “ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il GDPR prevedere, quindi, l’obbligo per i responsabili del trattamento dei dati di comunicare al Garante, ossia l’autorità di controllo competente, nel più breve tempo possibile, eventuali violazioni a seguito di attacchi informatici, accessi abusivi, incidenti o calamità naturali, riportando, in modo chiaro e preciso, la natura della violazione, le circostanze nelle quali è avvenuta, le probabili conseguenze e i provvedimenti adottati.

Inoltre nei casi in cui tale violazioni presentino un rischio elevato per i diritti e per le libertà delle persone fisiche, il titolare del trattamento è tenuto a notificare anche l’utente cui si riferiscono i dati, per consentirgli di adottare, in modo tempestivo, le precauzioni che reputa necessarie.

È possibile limitare il rischio di Data Breach? E quali misure possono essere adottate in concreto?

Di fatto il Regolamento Europeo sulla Privacy obbliga le aziende ad adottare politiche che tengano costantemente conto del rischio che può derivare dal trattamento di dati personali. Questo impegno nella prevenzione è ancora più stringente in considerazione del principio di accountability, in italiano responsabilità, che richiede espressamente di identificare e mettere in atto quelle misure tecniche ed organizzative considerate più adatte a prevenire le violazioni.

Sensibilizzare i dipendenti è un’ottima misura preventiva da adottare per limitare i rischi di Data Breach. Come farlo? Garantendo un idoneo percorso di formazione a tutto il personale che svolge attività legate al trattamento dei dati, adottando precise regole riguardo l’uso della strumentazione digitale messa a disposizione dall’azienda e l’accesso ai servizi aziendali, sia da dispositivi professionali che di proprietà.

Un aspetto altrettanto importante per individuare le vulnerabilità nel sistema di trattamento dei dati, ma spesso tenuto poco in considerazione dalle aziende, è la redazione di un rapporto dettagliato delle eventuali violazioni subite. Elaborare un inventario delle azioni di risposta attuate in seguito ad un Data Breach consente infatti di elaborare una nuova e più puntuale strategia di prevenzione delle violazioni.

Quali sono le sanzioni in caso mancato rispetto degli obblighi previsti dal GDPR in materia di Data Breach?

La mancata o errata notificazione di un Data Breach all’Autorità nazionale competente permette alle autorità di controllo di applicare le sanzioni a loro disposizione. Tali sanzioni possono consistere nell’esercizio dei poteri previsti dall’Articolo 58 del GDPR come ammonimenti, avvertimenti, revoca di certificazioni, ordine di sospendere i flussi di dati, ecc.. Inoltre possono prevedere l’applicazione di sanzioni amministrative pecuniarie fino a 10 milioni di euro o fino al 2% del fatturato totale annuo dell’esercizio precedente, se superiore.

 

Per maggiori informazioni puoi consultare, cliccando qui, l’infografica pubblicata dal Garante Privacy, nella quale sono indicati i soggetti destinatari dell’obbligo di comunicazione, entro quanto tempo devono adempiere, le modalità e il contenuto della notifica e le specifiche sanzioni previste in caso di inosservanza della normativa.

 

Conosci una soluzione semplice e strutturata che ti consenta di governare facilmente e con modalità informatiche l’intero processo di Data Breach?

Il sito utilizza solo cookie tecnici e di analisi per il corretto funzionamento e vengono utilizzati cookie di terze parti. A seguito della normativa UE siamo obbligati a chiedere il vostro consenso. Si prega di accettare i cookies per il caricamento delle informazioni, proprio come qualsiasi altro sito su Internet. Utilizzando il nostro sito web si accetta la nostra Privacy Policy e Termini di servizio. Per saperne di più sui cookie che utilizziamo, vedere la pagina Privacy