Si parla spesso di data breach, ovvero l’evento traumatico che può investire i dati personali custoditi da un titolare del trattamento. La delicatezza della materia impone di guardare con attenzione alle raccomandazioni fornite dall’European Data Protection Board (EDPB), l’organismo indipendente che si occupa di assicurare la corretta interpretazione e applicazione del GDPR.
In cosa consiste il data breach?
Si parte da quella che è la risposta alla domanda principale: quando si può parlare, cioè, di data breach? Le situazioni sono sostanzialmente tre. Violazione della riservatezza: quando c’è un accesso o una divulgazione non autorizzati o comunque accidentali ai dati. Lesione all’integrità: quando c’è una alterazione non autorizzata o accidentale dei dati. Violazione della disponibilità: quando c’è una perdita ovvero una distruzione dei dati, anche queste non autorizzate o accidentali.
Il concetto di fondo è tutto sommato intuitivo. Il data breach è infatti un evento che coinvolge significativamente i dati personali e che si verifica al di fuori del normale atteggiarsi del trattamento. Nella concreta pratica, i casi sono molteplici: attacchi informatici, ransomware, diffusione accidentale, falla negli archivi, sottrazione di dati da parte di un dipendente infedele eccetera.
Come affrontarlo?
Se il primo passo è capire quando ci si trova davanti ad un data breach, il secondo è quello di affrontarlo. Il titolare del trattamento e, ove presente, il responsabile, sono chiamati infatti a prendere di petto la situazione emergenziale che si è venuta a creare. Si tratta di adottare alcune misure volte a contrastare il problema e, se possibile, risolverlo. È in questi casi che si verifica, sul campo, il rispetto dei principi di accountability e privacy by design. Se il titolare ha strutturato correttamente il processo del trattamento, sarà più facile individuare la falla e tapparla. È infatti fondamentale fare in modo che l’emergenza cessi, sì che non vi siano ulteriori perdite, accessi, distruzioni o divulgazioni non autorizzate.
Esaurita questa fase, andrà svolta la “conta dei danni”, verificando cioè quali siano le conseguenze del data breach riscontrato. Si tratta di accertare che tipo di conseguenze siano derivate dall’incidente. L’attenzione andrà posta sul tipo di dati coinvolti (comuni o sensibili), nonché sul numero di interessati. È del tutto evidente che un data breach che coinvolge l’archivio di una piccola azienda non sarà rilevante come quello che investe una struttura sanitaria. Questa è un’analisi delicata, perché dall’esito di questa verifica dipendono gli adempimenti successivi. Che potrebbero infatti consistere nel dover comunicare il data breach al Garante Privacy e ai diretti interessati.
Esempi pratici
Per capire quando è necessario effettuare queste comunicazioni, l’EDPB ha previsto una serie di esempi pratici, utili per indirizzare l’operato dei titolari del trattamento. Uno di questi è il famigerato ransomware, il virus informatico che penetra nel sistema aziendale e si diffonde, rendendo illeggibili i dati. Questa situazione può essere più o meno grave, a seconda del caso concreto. Se, ad esempio, viene colpita una piccola azienda che dispone di un backup dei dati, non si verifica nessuna perdita e non si interrompe nemmeno l’attività lavorativa. Non sarà quindi necessario comunicare il data breach. In un’altra ipotesi, se non si dispone del backup ma la mole di dati coinvolti non è rilevante, né per quantità né per tipologia (non si tratta di dati sensibili), sarà sufficiente comunicare il data breach al Garante. Viceversa, bisognerà comunicarlo anche agli interessati nel caso in cui, pur disponendo di un backup, si tratti di dati sensibili e il ripristino abbia comportato ritardi o disfunzioni.
Il link alle linee guida sul data breach: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_it
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale