La perdita di dati personali, la loro divulgazione non autorizzata o l’accesso illecito da parte di terzi sono eventi che, purtroppo, possono interessare qualsiasi organizzazione: una piccola impresa come una struttura più articolata. Quando si verifica una violazione di questo tipo, le conseguenze non riguardano solo la sicurezza informatica, ma investono la sfera della responsabilità del titolare del trattamento e, spesso, la reputazione stessa dell’azienda.
Mi chiamo Erika Bonollo, sono un avvocato che presta consulenza ad imprese e professionisti. Con questo articolo vedremo insieme che cosa si intende per data breach secondo il Regolamento UE 2016/679 (GDPR), quali obblighi comporta e come affrontare correttamente questi eventi.
Cos’è un data breach secondo il GDPR
L’art. 4 del GDPR definisce il data breach come una violazione di sicurezza che comporta — in modo accidentale o illecito — la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Si tratta di una definizione volutamente ampia, che abbraccia qualsiasi violazione — fisica o informatica, volontaria o fortuita — capace di compromettere la sicurezza dei dati personali. Non si parla quindi soltanto di attacchi esterni: anche un errore interno o un trattamento effettuato in violazione delle misure di sicurezza predisposte dal titolare possono configurare un data breach.
Per capire meglio la portata della definizione, è utile distinguere le diverse tipologie di violazione. Si parla di distruzione quando i dati vengono cancellati definitivamente; di danneggiamento quando risultano alterati al punto da non essere più utilizzabili; di perdita quando i dati cessano di essere accessibili pur continuando a esistere. Si ha invece un trattamento non autorizzato quando i dati vengono divulgati o consultati da soggetti che non ne hanno diritto.
In sostanza, ogni evento che impedisca al titolare o al responsabile del trattamento di rispettare i principi sanciti dall’art. 5 GDPR può configurare una violazione.
Qualche esempio pratico
Per rendere il concetto più concreto: un’e-mail inviata al destinatario sbagliato con allegati contenenti dati personali; una chiavetta USB aziendale smarrita con file non protetti; un attacco ransomware che blocca l’accesso ai sistemi; la pubblicazione involontaria di un documento riservato sul sito web dell’azienda. Situazioni molto diverse tra loro, accomunate dal fatto che i dati personali escono — anche solo temporaneamente — dal controllo del titolare o vengono trattati senza autorizzazione.
Il principio di accountability e la gestione interna
Il GDPR impone a titolari e responsabili del trattamento di adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali e dimostrare la propria conformità normativa: è questo il nucleo del principio di accountability. Il rispetto di questo principio non si esaurisce nella prevenzione degli incidenti, ma include anche la capacità di rilevarli tempestivamente, valutarne l’impatto, gestirli in modo strutturato e, ove necessario, notificarli alle autorità competenti.
In questa prospettiva, è importante che il titolare del trattamento predisponga una procedura interna per la gestione dei data breach, che copra tutte le fasi: dalla rilevazione dell’incidente alla valutazione del rischio, dalla registrazione all’eventuale notifica, fino alla chiusura della segnalazione. È inoltre buona prassi formare adeguatamente il personale autorizzato al trattamento, così da favorire risposte tempestive e conformi alla normativa.
Obblighi di notifica all’autorità di controllo
Quando si verifica una violazione di dati personali, la prima valutazione che il titolare del trattamento è chiamato a compiere riguarda il possibile impatto dell’incidente sui diritti e le libertà delle persone fisiche coinvolte. Se non è possibile dimostrare — e documentare — che la violazione sia priva di rischi per i diritti e le libertà degli interessati, scatta l’obbligo di notifica al Garante per la protezione dei dati personali, da effettuarsi senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare ne è venuto a conoscenza.
È fondamentale, proprio per rispettare questo termine, condurre tempestivamente un’indagine interna volta a chiarire la natura e la portata della violazione, le sue cause, le categorie di dati coinvolti e le potenziali conseguenze per gli interessati.
Qualora, all’esito della valutazione, si ritenga improbabile che la violazione determini rischi concreti, il titolare può legittimamente scegliere di non procedere alla notifica, purché tale decisione sia adeguatamente documentata. Tuttavia, secondo l’interpretazione del Comitato Europeo per la Protezione dei Dati (EDPB) e del Garante nazionale, nei casi dubbi o di confine è comunque consigliabile trasmettere una notifica preliminare o parziale, anche al solo fine di prevenire future contestazioni per omessa comunicazione.
Chi è tenuto a notificare
L’obbligo di notifica ricade sul titolare del trattamento, ossia sul soggetto che determina le finalità e i mezzi del trattamento dei dati. Il responsabile del trattamento — chi tratta dati personali per conto del titolare — ha però un ruolo altrettanto rilevante: non appena viene a conoscenza di una violazione, è tenuto a informare il titolare tempestivamente e senza ritardi ingiustificati. In sostanza, la responsabilità formale della notifica è in capo al titolare, ma il meccanismo funziona solo se il responsabile adempie correttamente al proprio obbligo di comunicazione interna.
Tempistiche, modalità e contenuto della notifica
Come anticipato, il GDPR stabilisce che la notifica all’autorità di controllo deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla scoperta della violazione. In caso di superamento del termine, la comunicazione deve comunque essere trasmessa, corredando la notifica di una spiegazione del ritardo. È ammesso anche un invio iniziale parziale, da integrare successivamente con informazioni più dettagliate, purché non vi siano ulteriori ritardi ingiustificati.
Il Garante ha reso disponibile sul proprio sito un modulo ufficiale da utilizzare per la notifica. Quanto al contenuto, la notifica deve indicare almeno:
- la natura della violazione;
- il numero approssimativo di interessati e di registri di dati coinvolti;
- le probabili conseguenze dell’incidente;
- le misure adottate o proposte per rimediare alla violazione e limitarne gli effetti.
Il registro delle violazioni: un obbligo autonomo
Indipendentemente dall’obbligo di notifica al Garante o di comunicazione agli interessati, l’art. 33, par. 5 del GDPR impone al titolare del trattamento di documentare ogni violazione, anche quelle che non comportano rischi per gli interessati. Questo registro interno — distinto dal registro delle attività di trattamento — costituisce uno strumento essenziale per dimostrare l’adempimento degli obblighi normativi e deve contenere:
- la natura della violazione;
- il numero e le categorie di interessati coinvolti;
- le possibili conseguenze dell’incidente;
- le misure adottate per porvi rimedio;
- le motivazioni delle decisioni assunte, inclusa l’eventuale scelta di non procedere alla notifica.
Tenere questo registro aggiornato e ordinato non è una formalità accessoria: in sede di ispezione o di contestazione, può fare la differenza tra una posizione solida e una di difficile difesa.
Quando comunicare la violazione agli interessati
Oltre alla notifica al Garante, l’art. 34 del GDPR prevede un ulteriore obbligo: quando la violazione sia suscettibile di determinare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, il titolare deve comunicarla direttamente agli interessati, senza ingiustificato ritardo. La finalità di questa comunicazione è consentire agli interessati di adottare le precauzioni del caso, ad esempio modificando le proprie credenziali di accesso.
È importante notare che la soglia di rischio richiesta per questo secondo obbligo è più elevata rispetto a quella che fa scattare la notifica al Garante. Non ogni violazione notificata all’autorità di controllo deve quindi essere comunicata anche agli interessati.
La comunicazione agli interessati deve contenere: la descrizione della natura della violazione, le probabili conseguenze negative sui loro diritti e libertà e le misure adottate o che si intende adottare per rimediare all’incidente o attenuarne i rischi.
Quando la comunicazione agli interessati non è dovuta
L’art. 34, par. 3 del GDPR prevede tre ipotesi in cui il titolare del trattamento è esonerato dall’obbligo di comunicazione diretta agli interessati:
- il titolare aveva adottato misure tecniche e organizzative adeguate di protezione — come la cifratura — e tali misure erano già applicate ai dati oggetto della violazione;
- il titolare ha tempestivamente adottato misure idonee a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- la comunicazione individuale risulterebbe impossibile o richiederebbe uno sforzo sproporzionato, ad esempio per indisponibilità dei dati di contatto.
In quest’ultimo caso, il titolare non è però del tutto esonerato: dovrà ricorrere a una forma di comunicazione alternativa ad ampio raggio, come la pubblicazione di un avviso sul proprio sito web o la diffusione di un comunicato stampa, così da raggiungere comunque gli interessati nel modo più efficace possibile.
Conclusione
Gestire correttamente un data breach non significa solo rispettare un termine o compilare un modulo: significa disporre di una procedura strutturata, di una documentazione aggiornata e di personale formato, in modo da poter rispondere in modo rapido e ordinato a eventi che, per loro natura, sono spesso imprevedibili. La differenza tra un’organizzazione esposta e una resiliente si vede soprattutto in questi momenti.
Il principio di accountability impone di non limitarsi a reagire, ma di dimostrare — in ogni fase — di aver operato con consapevolezza e nel rispetto della normativa vigente. Questo richiede un lavoro preventivo che, se ben impostato, riduce significativamente il rischio di sanzioni e di contestazioni.
Se vuoi verificare che la tua organizzazione sia adeguatamente attrezzata per gestire una violazione di dati personali, o se hai bisogno di supporto nella predisposizione di una procedura interna conforme al GDPR, contattami per una consulenza.
