Come sappiamo, il GDPR introduce specifici obblighi, per tutti i Titolari del Trattamento di Dati Personali, inerenti una eventuale violazione dei dati personali (definita anche data breach).
Cosa è una violazione dei dati personali?
Per «violazione dei dati personali» si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Essa può interessare trattamenti di dati personali effettuati con supporti cartacei oppure con strumenti informatici; ovviamente tale secondo aspetto presenta un maggiore indice di probabilità. Si tenga inoltre conto che non dobbiamo pensare a SE, ma a QUANDO esso avverrà, ed essere pronti a gestirlo.
All’art. 33 del GDPR è prescritto di “comunicare alla Autorità di Controllo, entro 72 ore dal momento che se ne è avuta conoscenza, la violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Art. 34 “Qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
Voglio sottolineare che, qualora il data breach accada presso un Responsabile del Trattamento esterno (es. lo studio commerciale o il centro paghe), esso deve immediatamente informare i Titolari dei Trattamenti interessati, in quanto spetta ad essi mettere in atto le misure dapprima indicate.
Qualora un data breach interessi sistemi informativi, segnalo come sia importante gestirlo con l’ausilio di persone estremamente esperte e competenti; infatti quasi sempre tali eventi sono correlati ad attività penalmente rilevanti (es. artt. 615 ter, quater e quinquies, codice penale).
Occorre quindi intervenire non solo per chiudere la breccia, ma (prima) anche con le opportune attività di informatica forense.
Quindi consiglio alle organizzazioni di definire un dettagliato piano di gestione del data breach, per evitare di doverlo fare (magari in preda al panico) nelle poche ore a disposizione.