Il garante ha indicato alcune misure adottabili in caso di data breach. E lo ha fatto con un recente provvedimento riguardante una violazione di dati personali accaduta ad un Internet Service Provider.
Il fatto si è verificato a causa di un attacco informatico che ha comportato la violazione di circa 1,5 milioni di caselle di posta elettronica.
Un data breach è una violazione della sicurezza dei dati personali che interessa la confidenzialità, l’integrità o la disponibilità dei dati.
Il Reg. Ue 679/2016 (GDPR) prevede che nella notifica della violazione siano indicate le misure di sicurezza adottate o da adottare per rimediare alla violazione o mitigarne gli effetti.
Le misure adottabili dipendono dalla probabilità e gravità dei rischi della violazione. I rischi sono valutati in relazione ai diritti e alle libertà degli interessati. E la valutazione deve essere fatta in modo oggettivo.
Come valutare i rischi
Il garante considera utile ai fini di questa valutazione le “Linee guida sulla notifica delle violazioni dei dati personali, ai sensi del Reg. Ue 679/2019“.
Si tratta di un documento del gruppo di lavoro dell’art. 29 che individua i parametri da considerare nella valutazione:
- il tipo di violazione (confidenzialità, integrità, disponibilità),
- natura, carattere sensibile e volume dei dati personali,
- facilità di identificazione delle persone fisiche,
- gravità delle conseguenze per le persone fisiche,
- caratteristiche particolari dell’interessato,
- caratteristiche particolari del titolare del trattamento dei dati,
- numero di persone fisiche interessate,
- altri aspetti generali;
Nel caso in questione si è ritenuto che esistesse un rischio elevato per i diritti e le libertà degli interessati per:
- la natura intenzionale della violazione causata da un attacco informatico,
- l’elevato numero dei soggetti interessati,
- la facilità con cui i dati personali permettevano di identificare le persone fisiche
L’esistenza di un rischio elevato ha richiesto quindi la notifica anche agli interessati, oltre che all’autorità garante (art. 34, par. 1, GDPR).
Le misure suggerite dal garante per un data breach
La consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione rientra tra le misure adottabili, secondo il parere dell’autorità.
Il garante arriva a questa conclusione per il fatto che l’obiettivo principale di una notifica agli interessati è proprio quello di fornire loro le indicazioni sulle misure per proteggersi.
Questa indicazione chiaramente non esclude l’applicazione di ulteriori misure identificate a seguito di una valutazione dei rischi della violazione.
Ulteriori approfondimenti
- Linee guida sugli esempi riguardanti la notifica delle violazioni dei dati personali,
- Linee guida sulla notifica delle violazioni dei dati personali secondo il Reg. Ue 679/2016
Ecco infine, anche un video per offrire chiarimenti su alcuni aspetti relativi alla notifica delle violazioni:
Ultimi aggiornamenti
Dopo una consultazione pubblica il comitato europeo per la protezione dei dati personali (EDPB) ha rilasciato le linee guida 1/2021 con degli esempi utili relativi alla notificazione dei data breach.
Lo scopo del documento è aiutare i titolari del trattamento a decidere come gestire i data breach e quali fattori considerare nella valutazione dei rischi.
Dal 1° luglio 2021 è ormai disponibile una apposita procedura telematica utilizzabile per notificare all’autorità garante le violazioni di dati personali.
Inoltre, la stessa autorità ha reso disponibile online uno strumento di autovalutazione per agevolare i titolari di trattamento nell’adempimento degli obblighi e nella scelta delle azioni da compiere a seguito di violazioni della sicurezza dei dati personali.
Se sei interessato, puoi scaricare dal link qui sotto una presentazione sui data breach privacy (Cosa sono? Cosa fare e come?)