Data breach nel GDPR: cos’è e come fare segnalazione e prevenzione

Secondo il GDPR, un data breach (violazione dei dati personali) è definito come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le violazioni possono essere classificate in tre categorie principali: violazione della riservatezza (divulgazione non autorizzata o accidentale di dati personali), violazione dell’integrità (alterazione non autorizzata o accidentale dei dati personali) e violazione della disponibilità (perdita accidentale o non autorizzata dell’accesso o distruzione dei dati personali).

In caso di data breach, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente (in Italia il Garante Privacy) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Quando la violazione presenta un rischio elevato per i diritti e le libertà degli interessati, il titolare deve anche comunicare la violazione agli interessati senza ingiustificato ritardo, utilizzando un linguaggio semplice e chiaro che descriva la natura della violazione e fornisca indicazioni su come proteggersi dalle possibili conseguenze negative.

La comunicazione di un data breach agli interessati è necessaria quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tale comunicazione non è richiesta se: il titolare ha applicato misure di protezione adeguate ai dati personali coinvolti (come la cifratura); ha adottato successivamente misure per scongiurare il sopraggiungere di un rischio elevato; oppure la comunicazione richiederebbe sforzi sproporzionati, nel qual caso si può procedere a una comunicazione pubblica. L’obiettivo principale della comunicazione non è semplicemente informare, ma permettere agli interessati di prendere provvedimenti per proteggersi dalle conseguenze negative della violazione.

Il registro dei data breach deve documentare tutti gli eventi di violazione dei dati personali, indipendentemente dalla loro notifica all’Autorità. Nel registro vanno riportati i dettagli relativi alle violazioni, comprese le cause, i fatti e i dati personali coinvolti, gli effetti e le conseguenze, nonché i provvedimenti adottati per porvi rimedio. È importante documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, inclusi i motivi per cui si è eventualmente ritenuto di non notificare la violazione. Il registro può essere integrato nel registro delle attività di trattamento di cui all’art. 30 GDPR, purché le informazioni relative alle violazioni siano chiaramente identificabili e possano essere estratte su richiesta.

Per prevenire un data breach è necessario adottare un modello di sicurezza informatica strutturato che includa: cifratura dei dati sia in transito che a riposo; backup regolari e test di ripristino; controllo degli accessi basato sui principi del minimo privilegio; autenticazione a più fattori; aggiornamenti regolari di software e sistemi; formazione continua del personale sulla sicurezza informatica; monitoraggio e analisi dei log; valutazione periodica delle vulnerabilità e penetration testing; sviluppo di policy e procedure di sicurezza; e implementazione di un piano di risposta agli incidenti. È inoltre importante condurre regolarmente test di verifica del protocollo adottato e considerare la stipula di un’adeguata polizza assicurativa contro il rischio di data breach.

Un data breach può avere numerose conseguenze negative per un’organizzazione, tra cui: sanzioni amministrative fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo (se superiore); danni reputazionali significativi che possono compromettere la fiducia di clienti e partner; costi diretti per la gestione dell’incidente, il ripristino dei sistemi e l’implementazione di misure correttive; possibili azioni legali da parte degli interessati i cui dati sono stati compromessi; interruzione delle attività aziendali; e la necessità di investire in misure di sicurezza più robuste. Inoltre, l’organizzazione potrebbe dover affrontare indagini approfondite da parte delle autorità di controllo e subire limitazioni operative.

Il Digital Omnibus ha introdotto significative modifiche alla disciplina del data breach nel GDPR. Tra le principali novità: l’innalzamento della soglia di notifica da “rischio” a “alto rischio” per i diritti e le libertà delle persone fisiche; l’estensione del termine per la notifica da 72 a 96 ore dalla conoscenza della violazione; l’introduzione di un punto di ingresso unico per le notifiche, istituito secondo la direttiva NIS2, che integra il data breach in un ecosistema più ampio di incidenti di sicurezza; e l’affidamento al Comitato europeo della predisposizione di un modello uniforme di notifica. Questi cambiamenti spostano il focus dalla segnalazione capillare di vulnerabilità alla selezione dei casi più gravi, riallineando la disciplina del data breach con l’ecosistema della cybersicurezza.

I problemi principali nella gestione dei data breach secondo il GDPR includono: l’obbligo di notifica entro 72 ore che sposta il focus del titolare sulla tutela di sé stesso piuttosto che degli interessati; la difficoltà nel valutare oggettivamente la probabilità di rischio per i diritti e le libertà degli interessati, in assenza di indicazioni chiare e metriche standardizzate; la tendenza a privilegiare adempimenti formali rispetto a misure sostanziali di protezione; la proliferazione di notifiche parziali soggette a successive rettifiche, che disperdono risorse organizzative; e la mancanza di tempestività nella comunicazione agli interessati, che spesso avviene dopo le canoniche 72 ore o solo in seguito all’intervento dell’autorità di controllo, riducendo l’efficacia delle misure di autoprotezione.

Gli errori più comuni nella gestione di un data breach includono: reticenza eccessiva nelle comunicazioni pubbliche e minimizzazione degli impatti; scarsa preparazione e mancanza di esercitazioni pratiche per la gestione degli incidenti; controllo inadeguato dei fornitori esterni, spesso basato su una “sicurezza di carta” fatta di questionari piuttosto che di verifiche sostanziali; mancato aggiornamento tempestivo dei sistemi per correggere vulnerabilità note; insufficiente investimento in sicurezza operativa a favore di adempimenti documentali; conservazione eccessiva di dati personali senza meccanismi di anonimizzazione dopo un certo periodo; e scarsa formazione tecnica sulla sicurezza informatica. Questi problemi riflettono un approccio culturale alla sicurezza ancora immaturo, che privilegia la conformità formale rispetto alla protezione effettiva.

Un data breach può avere molteplici effetti negativi significativi sugli interessati, compromettendo i loro diritti fondamentali. Tra questi: perdita di controllo sui propri dati personali; limitazione dei diritti personali; rischio di discriminazione; furto di identità o frode; perdite finanziarie; annullamento non autorizzato della pseudonimizzazione; danni alla reputazione; perdita di riservatezza dei dati protetti dal segreto professionale; e altri svantaggi economici o sociali significativi. La violazione può anche esporre gli interessati a rischi futuri, come il phishing mirato o altre forme di attacco informatico basate sui dati compromessi. Per questo motivo, è fondamentale che il titolare del trattamento valuti accuratamente questi rischi e adotti misure tecniche e organizzative adeguate per affrontarli.