Data breach - Violazione dati personali

• Glossario
• Data breach - Violazione dati personali

Data breach: per sapere cosa si intende per data breach, ossia per violazione dei dati personali, è possibile fare riferimento alla definizione riportata nel Regolamento (UE) 2016/6979. Per violazione dati personali si intende un incidente di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Tali eventi compromettono la riservatezza, l’integrità o la disponibilità dei dati, con impatti potenzialmente gravi sui diritti delle persone.

Le cause di un data breach possono essere molteplici: accessi abusivi ai dati da parte di terzi non autorizzati, furti o smarrimenti di dispositivi informatici contenenti dati personali, infezioni da virus o malware, alterazioni volontarie delle informazioni, guasti tecnici, calamità naturali o errori umani.

Il data breach GDPR è disciplinato principalmente dall’articolo 33 del Regolamento (UE) 2016/679, che impone al titolare del trattamento l’obbligo di notificare all'autorità di controllo competente il data breach entro 72 ore da quando ne è venuto a conoscenza, salvo che l’evento sia improbabile che comporti rischi per i diritti e le libertà degli interessati. Se la notifica viene effettuata oltre il termine previsto, il ritardo deve essere giustificato. In caso di rischio elevato per i diritti delle persone, il titolare ha anche il dovere di comunicare la violazione agli interessati, utilizzando i mezzi più efficaci, salvo che siano già state adottate misure tecniche o organizzative per ridurre il rischio. Gli obblighi legati al data breach includono inoltre la tenuta di un registro interno delle violazioni, utile anche ai fini dei controlli da parte del Garante per la protezione dei dati personali. La notifica del data breach deve essere trasmessa tramite il portale online del Garante, che mette a disposizione anche strumenti di autovalutazione per supportare i titolari nella gestione degli incidenti.

Tra i data breach esempi riportati dal Garante rientrano la divulgazione accidentale di dati sensibili, la perdita di file critici, l’accesso ai dati da parte di soggetti non autorizzati, un attacco ransomware o l’impossibilità di accedere ai dati stessi a causa di un attacco esterno. Le violazioni che richiedono notifica sono quelle che possono avere effetti significativi sulle persone, come furto d’identità, danni alla reputazione, discriminazioni, perdite economiche o compromissione del segreto professionale.