Violazione dei dati personali: ecco cosa dice il Gdpr nella normativa

187
violazione dei dati personali
adv

Dal momento in cui è entrato in vigore il nuovo regolamento sulla privacy, il General Data Protection Regulation (meglio conosciuto come Gdpr) è cresciuto sempre più per le aziende l’obbligo di adempiere a tutte le direttive e conseguire, a partire dal prossimo mese di maggio, un allineamento con tutti i paesi dell’Unione europea (pena pesanti sanzioni).

Tra le varie sanzioni che possono essere applicate alle imprese negligenti, c’è quella derivante dalla violazione dei dati personali. Un’azienda è, infatti, consapevole del fatto che si troverà quotidianamente a trattare i dati della propria clientela e saprà, di conseguenza, che questi dovranno restare nel totale anonimato (rispettando la privacy) e mai fuoriuscire, soprattutto, dalle sedi aziendali.

Come recita l’articolo 4, comma 3, la violazione di dati personali, nota anche come Data Breach, è: “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”.

Tutte le opzioni in caso di data breach

Dalle parole dell’articolo si evince, quindi, la precisa esistenza di diverse situazioni che possono determinare una violazione di dati sensibili e provocare danni, in primis agli utenti, e successivamente alle aziende. Il regolamento sulla privacy, tuttavia, prevede anche un’immediata soluzione in grado di scongiurare il rischio di far cadere le imprese nel pagamento delle gravose sanzioni.

I titolari delle aziende dovranno immediatamente (entro e non oltre le 72 ore) informare le autorità di controllo, che nel caso dell’Italia, vede nel Garante della privacy l’autorità amministrativa designata in materia di protezione dati. Naturalmente, prima di comprendere come le imprese dovranno notificare la violazione, è giusto analizzare come può avvenire il data breach.

Per perdita, distruzione, modifica o rivelazione s’intendono quelle azioni derivanti principalmente da: 1) chiusure errate dei software aziendali; 2) smarrimento di dispositivi mobili come un pc portatile (all’interno del quale sono presenti tutti i dati degli utenti che hanno legami con quell’impresa); 3) perdita o furto di memorie esterne (come chiavette USB); 4) superficialità dei propri dipendenti (che involontariamente potrebbero far trafugare i dati all’esterno); 5) cause naturali o esterne all’azienda (come un incendio); 6) attacchi hacker. Quest’ultima categoria è sicuramente la più pericolosa e la più frequente, tanto che la cyber security opera proprio per la prevenzione da questi attacchi.

Il nuovo regolamento, in merito alla violazione dei dati personali, precisa, infatti, che questa dovrà essere comunicata alle autorità soltanto se i massimi dirigenti dell’impresa attestino che la perdita, o il verificarsi di una delle altre possibilità, possa recare forti danni agli utenti proprietari di quei dati; in questo caso, come detto, prima, la comunicazione dovrà avvenire entro le settantadue ore dall’accaduto e senza alcun ritardo (salvo che l’azienda non sia impossibilitata a farlo per cause di forza maggiore).

Una volta accertato se la violazione dei dati personali possa essere o meno un danno per gli utenti coinvolti, sarà necessario allegare una documentazione ben precisa (una sorta di registro delle violazioni) che contenga una serie d’informazioni, tra le quali: 1) quali misure sono state adottate per risolvere il problema; 2) quali sono state le conseguenze che utenti e azienda hanno subito in seguito al data breach. Il Garante della privacy, così facendo, potrà consultare il registro qualora dovrà eseguire specifici accertamenti sul caso.

Secondo l’articolo 33, del regolamento, la documentazione alle autorità di controllo dovrà contenere determinate informazioni come: natura violazione, numero utenti coinvolti, nome responsabile protezione dati, possibili conseguenze (che potrebbe avere il data breach), misure adottate per la risoluzione del problema.

Le aziende, inoltre, saranno tenute a comunicare la violazione dei dati personali agli utenti interessati; tuttavia, il Gdpr prevede alcuni casi (secondo l’articolo 34) all’interno dei quali è possibile bypassare questo step (quindi non comunicare nulla alla propria clientela). Queste ipotesi, però, non devono presentare un alto tasso di rischio verso i diritti degli utenti.

Il primo caso, che non necessita di comunicazione, è quando sono state adottate misure idonee a proteggere i dati trafugati o smarriti, attraverso l’utilizzo della “cifratura” (sistema che permette l’incomprensione di quanto letto da parte di persone estranee all’azienda); il secondo caso, invece, è quando l’azienda ha subito provveduto a ridimensionare il problema del data breach, evitando che il rischio per i diritti dell’utente potesse raggiungere un alto tasso; terzo, ed ultimo, caso è quando informare l’utente, comporterebbe uno sforzo aziendale troppo elevato e quindi, per semplificare le cose, l’impresa potrà diramare un comunicato ufficiale pubblico che permetterà agli utenti di venire a conoscere di quanto accaduto.

Il nuovo regolamento sulla privacy, quindi, si presenta molto chiaro in tutti gli aspetti circa la protezione dei dati e le aziende dovranno cercare di tenere un profilo molto alto, nel rispetto della massima sicurezza e dell’attenzione nei confronti degli utenti interessati.