Cosa deve fare un’azienda che ha subito un Data Breach secondo il nuovo General Data Protection Regulation (GDPR)? Come lo deve fare ed entro quanto tempo? Quali responsabilità assume e quali sanzioni rischia altrimenti?

La Redazione di Guru ci ha recentemente raccontato, tra le parole del giorno, del c.d. Data Breach. Da qui la curiosità di sapere qualcosa di più, anche da un punto di vista giuridico, su cosa deve fare un’azienda che è stata vittima di una violazione informatica e su quali sono le sue responsabilità alla luce del Regolamento Europeo 2016/679 (che entrerà in vigore tra qualche mese e in vista del quale occorre prepararsi).

La sicurezza del trattamento dei dati personali – ossia di “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)” (art.4, par.1, n.1) - è considerato dal Regolamento Europeo un obbligo primario in capo al soggetto che tratta tale tipo di dati, nell’ottica del principio di “accountability” (ovvero responsabilizzazione) del titolare del trattamento di dati personali. L’art.32, infatti, prevede che il titolare e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. La norma precisa che, nel valutare questo livello di sicurezza adeguato, si deve tenere conto dei rischi derivanti dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali.

Ma che cosa è allora il Data Breach secondo il Regolamento? L’art.4, par.1, n.12 definisce la “violazione dei dati personali” come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.


Cosa occorrerà fare nel caso di violazione dei propri sistemi informatici?
Sussiste un nuovo obbligo, non previsto dalla precedente Direttiva europea sulla privacy 95/46, di notificazione del data breach.


Chi è il soggetto tenuto alla comunicazione, chi deve esserne il destinatario e come deve essere fatta?
Le norme prevedono che l’obbligo di notifica ricada sul titolare del trattamento, ossia “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art.4,par.1, n.7 GDPR).
Il Regolamento, per gli altri profili, distingue due ipotesi: Vediamone meglio i presupposti e come attivarsi.

Il primo caso è disciplinato dall’art.33 GDPR, che impone di notificare la violazione dei dati personali all'Autorità di controllo nazionale competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Nel caso in cui non venga effettuata la notifica entro 72 ore, è ancora possibile farla, ma deve essere corredata dai motivi del ritardo.

La norma prevede anche il contenuto minimo che la comunicazione all’Autorità Garante dovrà avere:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.”.

Il successivo art.34 GDPR prevede, poi, un secondo caso di obbligo di notificazione del data breach, questa volta anche al singolo interessato, “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. La norma prevede che la comunicazione venga effettuata al diretto interessato senza ingiustificato ritardo e debba descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contenere almeno le informazioni di cui alle lettere b), c) e d) del su citato art.33. Invero, la norma prevede, in un’ottica di contemperamento degli interessi dei soggetti coinvolti, che il titolare possa essere esentato dalla comunicazione al singolo interessato se ricorre una delle seguenti condizioni:

  • ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione (es. cifratura);
  • ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione richiederebbe sforzi sproporzionati (in tal caso può effettuare una comunicazione unica pubblica).


Quali sanzioni nel caso di violazione dell’obbligo di comunicazione?
La violazione degli obblighi di notificazione del data breach è tra quelli pesantemente sanzionati dal Regolamento: vi è il rischio di sanzioni amministrative pecuniarie fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (art.83, par.4 GDPR).
A ciò si aggiunga che, in via generale, l’art.82 GDPR prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal soggetto al quale l’obbligo (violato) era imposto (salvo che quest’ultimo dimostri che l’evento dannoso non gli è imputabile). 

In conclusione, gli adempimenti conseguenti ad un data breach non risultano essere per niente semplici e di facile attuazione e le sanzioni potrebbero essere gravi. Meglio, quindi, sicuramente operare in via preventiva, migliorando il più possibile le proprie misure di sicurezza informatica: dunque, come sempre, prevenire è meglio che curare.

L'autore

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1