SICUREZZA DIGITALE

Data breach: alcuni pericolosi miti da sfatare

E’ necessario creare cultura e consapevolezza in materia di dati personali

Molto si può dire sui data breach, ma occorre evitare pericolose deviazioni – o più precisamente: errori – che spesso sfociano in dei miti virali che vengono ripetuti in modo apodittico e comportano un vero e proprio pericolo sia per la gestione della conformità al GDPR che per la sicurezza. Vediamo alcuni dei principali, confidando che l’elenco non possa mai arricchirsi ma al contrario venire sempre più eroso da una diffusa cultura e consapevolezza in materia di protezione dei dati personali.

Se non c’è accesso ai dati, non è data breach. FALSO.

Il data breach consiste in una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4.1 n. 12) GDPR). Pertanto, come confermato anche dal comitato europeo per la protezione dei dati, anche l’indisponibilità temporanea ad esempio per effetto di un ransomware o di un calo di tensione, è un data breach.

Non è data breach perché non coinvolge dati sensibili. FALSO.

Un data breach è tale se coinvolge dati personali, indipendentemente dalla loro tipologia. La valutazione della natura, sensibilità e volume dei dati personali oggetto di violazione riguarda invece la sussistenza o meno degli obblighi di notifica al Garante e comunicazione agli interessati.

Ogni data breach va notificato al Garante. FALSO.

Non tutti i data breach devono essere notificati all’autorità di controllo, dal momento che la notifica è richiesta solo a fronte di un processo decisionale di valutazione dell’evento che riscontri la sussistenza di un rischio probabile per i diritti e le libertà delle persone fisiche i cui dati son ostati violati. Qualora non sia riscontata la probabilità di un danno fisico, materiale o immateriale, la notifica non è richiesta.

La comunicazione agli interessati deve essere successiva alla notifica al Garante. FALSO.

Qualora siano riscontrati gli elementi di rischio elevato per i diritti e le libertà delle persone fisiche (art. 34 GDPR), la comunicazione agli interessati deve essere svolta “senza ingiustificato ritardo”, perseguendo l’obiettivo – confermato dall’EDPB – di allertarli e consentire l’adozione di tutte le misure individuali di prevenzione e protezione dalle conseguenze dell’evento. Non è infrequente che l’autorità di controllo imponga successivamente la comunicazione del data breach agli interessati coinvolti, ma buona prassi – e dunque: conformità al principio di accountability e rispetto del contenuto sostanziale delle norme relative alla protezione dei dati personali – richiede che tale comunicazione intervenga immediatamente a fronte della valutazione di rischio.

Se non c’è notifica al Garante, il data breach non comporta alcun obbligo. FALSO.

L’art. 33.5 GDPR prevede che ogni violazione sia registrata, e in ogni caso la gestione della sicurezza – tanto relativa a dati personali che a dati non personali – richiede un processo di analisi che si conclude con la chiusura dell’incidente e un approccio di tipo lesson learned. È dunque necessario che ogni incidente di sicurezza sia oggetto di registrazione soprattutto ai fini di poterne rilevare frequenza e tendenza, con lo scopo di svolgere le verifiche e i correttivi richiesti da un approccio di miglioramento continuo della sicurezza dei trattamenti.

Back to top button