Data Breach
Una violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato a dati personali.
Definizione
Il data breach è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati. Non rileva solo l'attacco informatico: anche la perdita di un dispositivo non cifrato, l'invio erroneo di una email con dati di altri destinatari, o la cancellazione accidentale di dati costituiscono data breach.
Riferimenti normativi
GDPR, art. 33 — testo ufficiale EUR-Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=it
«In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.»
GDPR, art. 34 — testo ufficiale EUR-Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=it
«Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.»
Implicazioni pratiche
Notifica al Garante entro 72 ore
Se il breach è suscettibile di presentare un rischio per i diritti e le libertà degli interessati, il titolare deve notificare il Garante entro 72 ore dalla scoperta. Se la notifica è tardiva, occorre motivare il ritardo.
Quando notificare anche agli interessati
Solo quando il breach è suscettibile di presentare un rischio elevato (non solo "rischio") per i diritti e le libertà. Il Garante può imporre la comunicazione anche se il titolare la ritiene non necessaria.
Registro interno dei breach
Tutti i data breach devono essere documentati internamente, anche quelli che non richiedono notifica al Garante. Il registro deve contenere i fatti, gli effetti e i provvedimenti adottati.
Domande frequenti
Un attacco ransomware è sempre un data breach?
Sì, se ha compromesso l'accessibilità, la riservatezza o l'integrità di dati personali. Anche il solo blocco temporaneo dei dati (senza esfiltrazione) può costituire violazione se comporta perdita di disponibilità.
Cosa rischio se non notifico un breach entro 72 ore?
Sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo. Il Garante italiano ha irrogato sanzioni significative per omessa o tardiva notifica anche a piccole organizzazioni.