Ha coinvolto dati personali? Fine del dibattito: è Data Breach

Uno degli errori più diffusi, nonostante l’operatività del GDPR sin dal 2018, è quello di considerare come data breach solamente le violazioni di sicurezza che coinvolgono dati di natura sensibile. Un errore spesso fatale, anche perché porta a sottovalutare i rischi (anzi: i pericoli) per gli interessati che possono derivare da ogni violazione di dati personali, o ancor peggio a non valutarli affatto. Da cui consegue anche l’esposizione per l’organizzazione alle possibili sanzioni da parte dell’autorità di controllo per non aver adempiuto correttamente agli obblighi di gestione del data breach (fra cui: rilevazione, notifica, documentazione).

Chiariamoci bene: una violazione dei dati personali è definita come segue dall’art. 4 par. 1 n. 12) GDPR:

«violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

e dunque lascia ben poco spazio ad interpretazioni o applicazioni particolarmente creative.

L’unica domanda a cui si deve rispondere per comprendere se quella violazione di sicurezza con perdita di confidenzialità, integrità e/o disponibilità dei dati personali è un data breach è la seguente: la violazione ha coinvolto dati personali? Se sì, allora è un data breach.

Una volta stabilito questo, al fine di valutare correttamente i rischi per gli interessati, ecco che si deve prendere in considerazione il fattore della sensibilità dei dati oggetto di violazione.

Dati sensibili nella valutazione dei rischi.

La sensibilità del dato rappresenta infatti uno dei criteri da impiegare per valutare il rischio della violazione e stabilire, di conseguenza, se sussiste il presupposto di “rischio non improbabile” previsto dall’art. 33 par. 1 GDPR da cui consegue l’obbligo per il titolare di effettuare la notifica all’autorità di controllo entro 72 ore. Qualora ricorra un “rischio elevato”, sarà inoltre necessario comunicare la violazione agli interessati coinvolti senza ingiustificato ritardo per espressa previsione dell’art. 34 par. 1 GDPR.

Non solo. La capacità di reazione all’incidente e le misure di mitigazione predisposte devono essere parametrate anche alla sensibilità dei dati compromessi, in quanto è un fattore correlato al rischio per i diritti e le libertà degli interessati.

Ma chi deve svolgere la valutazione dei rischi? Semplice: il titolare del trattamento, in quanto soggetto su cui gravano gli obblighi generali di gestione del data breach. Il responsabile del trattamento, invece, è tenuto ad informare senza ingiustificato ritardo il titolare (art. 33 par. 2 GDPR) nonché a prestare assistenza “tenendo conto della natura del trattamento e delle informazioni a disposizione” secondo termini meglio precisati all’interno del contratto di servizi (art. 28 par. 3 lett. f) GDPR).

Insomma: tutte le misure che tanto il titolare quanto il responsabile del trattamento devono adottare per garantire una capacità adeguata di gestione dell’incidente devono pertanto essere commisurate anche alla sensibilità dei dati oggetto di trattamento. Altrimenti, saranno chiamati a rispondere per non aver saputo garantire un livello di sicurezza commisurato al rischio.

Valutare anche gli altri parametri.

Oltre alla sensibilità del dato, nella valutazione dei rischi derivanti da un data breach si prendono in considerazione una serie di fattori quali ad esempio la capacità identificativa e il contesto, al fine di valutare la probabilità e gravità di quelle conseguenze che possono “provocare danni fisici, materiali o immateriali alle persone fisiche” (considerando n. 85). Documentando in ogni caso l’accaduto. Sempre. Anche quando i rischi sono improbabili.

Sia perché lo richiede espressamente l’art. 33 par. 5 GDPR, sia perché rappresenta l’unico modo di monitorare nel tempo le conseguenze della violazione e, soprattutto, essere in grado di trarre degli spunti di miglioramento nella gestione della sicurezza delle informazioni.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore