Riguardo ad un “Data Breach”, il Regolamento UE 679/2016 pone in capo a tutti i titolari del trattamento (artt. 33-34) obblighi precedentemente solo a carico di alcune specifiche organizzazioni.
Per Data Breach o Violazione dei Dati Personali si intende “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Il data breach che viene subito in mente è quello perpetrato da un soggetto malintenzionato, a danno di un server aziendale o di un sito web; purtroppo esistono moltissimi casi – meno eclatanti – nei quali si determina un data breach anche più grave, come qualora venga smarrito o rubato un dispositivo contenente dati personali (notebook, smartphone, HD, pendisk, ecc).
In caso di violazione dei dati personali, il GDPR richiede al titolare di effettuare una immediata valutazione dell’accaduto, onde stabilire con certezza l’evento avverso determini un rischio per i diritti e le libertà delle persone, alle quali tali dati si riferiscono.
La determinazione dell’effettivo livello di rischio, gravante sulle persone a causa della avvenuta violazione dei loro dati personali, si ottiene effettuando una seria procedura di valutazione del rischio derivante da data breach.
Anche qualora emergesse che il livello del rischio sia trascurabile, occorre assolutamente affrontare in modo serio l’accaduto; si tratta di un forte campanello di allarme indicante che le misure di sicurezza, e più in generale le misure di protezione e tutela dei dati personali in essere sono insufficienti; a questo dovra essere posto immediato rimedio, anche per evitare che la violazione possa essere reiterata, con effetti più deleteri o estesi.
La gestione di un data breach è una attività complessa e multidisciplinare, da svolgere con il supporto di professionisti esperti che sappiano come operare, al meglio ed in fretta. Dal momento che se ne a vuto conoscenza, 72 ore passano veloci e non è possibile sprecare tempo inutilmente. Si pensi alla sola determinazione dell’accaduto, qualora il data breach abbia interessato molti sistemi opppure un sistema informativo complesso o estremamente ramificato.
Occorrerà certamente raccogliere evidenze, sempre con modalità rispettose delle corrette procedure di computer forensic, in quanto parallelamente dovranno anche essere fatte denunce presso le autorità preposte.
Il nostro Team ha le competenze e l’esperienza per supportare ogni azienda durante una corretta gestione del data breach. Contattateci per ogni informazione necessaria.