Quando si verifica un data breach, il titolare del trattamento deve notificare la violazione al Garante della privacy senza ingiustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il Garante privacy ha sanzionato per 30mila euro l’Ordine degli Psicologi della Regione Lombardia per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.
Deve essere dettagliata e particolareggiata l'autosegnalazione al Garante della privacy dell'attacco informatico subito. L'adempimento obbligatorio in caso di data breach, previsto dall'articolo 33 del Gdpr, non va preso sottogamba, riempiendo con frasi generiche i campi del prescritto modulo on line. La superficialità nella notificazione è un illecito punito con sanzioni amministrative.
Per leggere l'articolo integrale devi effettuare il login!
Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.
Nel provvedimento 141 del 9 luglio 2020 (doc. web n. 9440117) il Garante evidenzia come la tempestività del titolare del trattamento nell’effettuare la notificazione di un data breach e l’immediata adozione di misure correttive non esonerano lo stesso da responsabilità per il trattamento illecito di dati personali.
Si dice che il presupposto per gestire correttamente un data breach consista nell’avere un’organizzazione preparata. Ma come? In alcuni approcci viene ad esempio proposta una simulazione di incidente per testare la procedura e individuare eventuali punti critici. Eppure, per quanto tale intervento possa avere un indubbio fascino si pone al di fuori dei margini della pianificazione bensì attiene maggiormente ad una fase di verifica e correzione. Insomma: può essere utile, ma deve quanto meno coordinarsi ad una corretta pianificazione preventiva e soprattutto all’assetto organizzativo predisposto dall’organizzazione.
In molti casi l’attivazione della procedura di data breach da parte del titolare del trattamento con relativa notifica all’Autorità Garante ai sensi dell’art. 33 del GDPR può comportare come conseguenza l’applicazione di determinate sanzioni amministrative, anche pecuniarie, da parte dell’Autorità. Non è assolutamente una regola, ma la probabilità è alta. Si pensi, ad esempio, ai recenti provvedimenti richiamati nella newsletter del 19 febbraio 2021 dove il Garante, con riferimento alle strutture sanitarie, nell’irrogare la sanzione ha ricordato che i titolari del trattamento devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati degli interessanti siano comunicati per errore ad altre persone.
Il GDPR introduce per il Titolare del trattamento l’obbligo di notificare all’Autorità di controllo la violazione dei dati personali (Data Breach) che comporti rischi non trascurabili per i diritti e le libertà dell’individuo. Quando la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all'interessato.
Nel corso delle passate settimane un hacker è riuscito ad accedere ai sistemi informativi di Reddit, trafugando indirizzi email e un backup di un database risalente al 2007, a sua volta contenente password di account. Reddit ha rassicurato il pubblico affermando che l'hacker non ha ottenuto gli accessi in scrittura per alcun sistema, scongiurando così il pericolo di alterazione delle informazioni. Reddit ha quindi intrapreso una serie di misure per rafforzare la sicurezza e migliorare il sistema di log e di monitoraggio.
La gestione di una situazione d’emergenza come un data breach è tutt’altro che semplice per un’organizzazione, ancor più se non ha approntato e diffuso correttamente una procedura a riguardo. La prima misura consiste dunque nel dotarsi di una procedura, ma non è sufficiente: è necessario che il personale che svolge le operazioni di trattamento sia stato adeguatamente sensibilizzato e abbia ricevuto un addestramento a riguardo, al fine di evitare che dalla loro impreparazione possa aggravarsi ancor più l’evento di violazione dei dati personali.
