Cosa deve fare un’azienda che ha subito un Data Breach secondo il nuovo General Data Protection Regulation (GDPR)? Come lo deve fare ed entro quanto tempo? Quali responsabilità assume e quali sanzioni rischia altrimenti?

La Redazione di Guru ci ha recentemente raccontato, tra le parole del giorno, del c.d. Data Breach. Da qui la curiosità di sapere qualcosa di più, anche da un punto di vista giuridico, su cosa deve fare un’azienda che è stata vittima di una violazione informatica e su quali sono le sue responsabilità alla luce del Regolamento Europeo 2016/679 (che entrerà in vigore tra qualche mese e in vista del quale occorre prepararsi).

La sicurezza del trattamento dei dati personali – ossia di “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)” (art.4, par.1, n.1) - è considerato dal Regolamento Europeo un obbligo primario in capo al soggetto che tratta tale tipo di dati, nell’ottica del principio di “accountability” (ovvero responsabilizzazione) del titolare del trattamento di dati personali. L’art.32, infatti, prevede che il titolare e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. La norma precisa che, nel valutare questo livello di sicurezza adeguato, si deve tenere conto dei rischi derivanti dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali.

Ma che cosa è allora il Data Breach secondo il Regolamento? L’art.4, par.1, n.12 definisce la “violazione dei dati personali” come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.


Cosa occorrerà fare nel caso di violazione dei propri sistemi informatici?
Sussiste un nuovo obbligo, non previsto dalla precedente Direttiva europea sulla privacy 95/46, di notificazione del data breach.


Chi è il soggetto tenuto alla comunicazione, chi deve esserne il destinatario e come deve essere fatta?
Le norme prevedono che l’obbligo di notifica ricada sul titolare del trattamento, ossia “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art.4,par.1, n.7 GDPR).
Il Regolamento, per gli altri profili, distingue due ipotesi: Vediamone meglio i presupposti e come attivarsi.

Il primo caso è disciplinato dall’art.33 GDPR, che impone di notificare la violazione dei dati personali all'Autorità di controllo nazionale competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Nel caso in cui non venga effettuata la notifica entro 72 ore, è ancora possibile farla, ma deve essere corredata dai motivi del ritardo.

La norma prevede anche il contenuto minimo che la comunicazione all’Autorità Garante dovrà avere:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.”.

Il successivo art.34 GDPR prevede, poi, un secondo caso di obbligo di notificazione del data breach, questa volta anche al singolo interessato, “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. La norma prevede che la comunicazione venga effettuata al diretto interessato senza ingiustificato ritardo e debba descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contenere almeno le informazioni di cui alle lettere b), c) e d) del su citato art.33. Invero, la norma prevede, in un’ottica di contemperamento degli interessi dei soggetti coinvolti, che il titolare possa essere esentato dalla comunicazione al singolo interessato se ricorre una delle seguenti condizioni:

  • ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione (es. cifratura);
  • ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione richiederebbe sforzi sproporzionati (in tal caso può effettuare una comunicazione unica pubblica).


Quali sanzioni nel caso di violazione dell’obbligo di comunicazione?
La violazione degli obblighi di notificazione del data breach è tra quelli pesantemente sanzionati dal Regolamento: vi è il rischio di sanzioni amministrative pecuniarie fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (art.83, par.4 GDPR).
A ciò si aggiunga che, in via generale, l’art.82 GDPR prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal soggetto al quale l’obbligo (violato) era imposto (salvo che quest’ultimo dimostri che l’evento dannoso non gli è imputabile). 

In conclusione, gli adempimenti conseguenti ad un data breach non risultano essere per niente semplici e di facile attuazione e le sanzioni potrebbero essere gravi. Meglio, quindi, sicuramente operare in via preventiva, migliorando il più possibile le proprie misure di sicurezza informatica: dunque, come sempre, prevenire è meglio che curare.

L'autore

Veronica Morlacchi

Laureata a pieni voti, è iscritta all’Albo degli Avvocati di Busto Arsizio dal 12.11.2004. Si occupa principalmente, nell’interesse di Privati, Professionisti e Aziende, di diritto civile, in particolare responsabilità civile (anche nell’ambito delle nuove tecnologie), persone e famiglia, contratti e immobili. Ha maturato consolidata esperienza in tali materie, in cui ha conseguito master e corsi di perfezionamento. Pubblica mensilmente un Magazine di aggiornamento giurisprudenziale sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor.

banner5

fb icon evo twitter icon evo

Parola del giorno

Don't be Evil è uno slogan interno di Google, ideato da due dipendenti Paul Buccheit e Amit Patel, nell'ottica di...

>

ZOPE è l'acronimo di Z Object Publishing Environment e indica un Web Server open source sviluppato in Python, che permette agli...

>

Il termine Bezel descrive l'involucro esterno (o scocca) di un computer, monitor o di un qualsiasi dispositivo di calcolo. La valutazione...

>

Il termine Random Forest è un costrutto utilizzato nell'ambito della Intelligenza Artificiale e al machine learning. Nello specifico si tratta di...

>

La cifratura (o crittografia) RSA è una tecnica di cifratura dati detta "a chiave pubblica" e sviluppata dalla RSA Data...

>
Leggi anche le altre...

Download del giorno

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>

CurrPorts

CurrPorts è un'utility in grado di mostrare in tempo reale tutte le porte TCP/UDP aperte sulla macchina dove...

>

MailPass View

Lo strumento MailPass View di Nirsoft permette di recuperare e mostrare le password salvate nei principali client di...

>

WebBrowserPass Tool

Lo strumento WebBrowserPass Tool di Nirsoft è un semplice software in grado di mostrare in chiaro le password...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • GURU advisor: numero 9 - 29 Giugno 2016

    GURU advisor: numero 9 - 29 Giugno 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1