Con l’espressione “Data Breach” possiamo definire la violazione dei Dati Personali, è un incidente di sicurezza che in maniera potenziale può compromettere la riservatezza, l’integrità o la disponibilità di dei Dati Personali.
Solitamente l’evento si realizza con una diffusione di Dati Personali che sono riservati o confidenziali, la divulgazione può avvenire in seguito a:
- perdita accidentale;
- furto;
- accesso abusivo;
- mancanza riservatezza da parte dei dipendenti aziendali;
- deliberata alterazione dei Dati Personali.
Molte delle informazioni ottenute con il Data Breach possono essere utilizzate per creare danni alle aziende con attività di concorrenza sleale o per rivalersi direttamente sugli utenti stessi.
La diffusione non autorizzata, la perdita o la modifica di alcuni dati, può causare diverse conseguenze, più o meno gravi, che possono provocare danni fisici, materiali e immateriali alle persone che sono coinvolte. E’ possibile, infatti che si verifichino furti di identità, limitazioni di diritti, perdite finanziarie, discriminazioni, lesioni della reputazione, mancanza di sicurezza ecc.
Come avere in sicurezza i dati personali?
L’art. 8 della Legge Federale sulla Protezione dei Dati Personali sancisce che
“Il Titolare e il Responsabile del Trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. Il Consiglio Federale emanerà disposizioni su misure minime di sicurezza”.
In questo senso è bene che le aziende effettuino delle analisi inerenti ai rischi, e adottino le misure necessarie per poterli prevenire o, eventualmente per eliminarli.
E’ bene che, nei confronti delle violazioni, si abbia un atteggiamento preventivo, per farlo è necessario valutare con attenzione i rischi e definire con largo anticipo misure tecniche organizzative. Ogni Titolare del trattamento può anche dotarsi di una procedura di Data Breach, che gli può servire per consentire una efficace gestione di incidenti e/o eventi di violazione dei dati che possono verificarsi. Con questo tipo di documento è facile per il Titolare dimostrare quali sono stati i procedimenti presi in considerazione e le valutazioni dei rischi derivanti dalla propria attività in modo tale da dimostrare di essere conformi alla legge stessa.
Ad esempio, si può pensare ad un piano di backup e disaster recovery che può essere utile a garantire la salvaguardia delle informazioni in qualunque casistica.
Cosa fare in caso di Data Breach?
Ciò che impone la nuova LPD in materia di notifica all’Incaricato Federale della Protezione dei Dati e della Trasparenza ( IFDPT ) non riguarda qualsivoglia violazione di sicurezza avvenuta, bensi solo quelle che potrebbero comportare un rischio elevato per la personalità o per i diritti fondamentali dell’interessato.
La violazione di sicurezza va, inoltre, comunicata all’interessato “se ciò è necessario per proteggere la persona interessata o se lo esige l’IFPDT. L’unica eccezione a questa comunicazione può avvenire in presenza di ipotesi tassative previste dalla norma in esame (ad esempio, la presenza di un obbligo legale al segreto).
Rispetto alle casistiche che impongono al Titolare di procedere con tale adempimento occorrerà poi attendere indicazioni di maggior dettaglio da parte dell’IFDPT stesso.
Ad oggi non vi sono indicazioni precise per la modulistica necessaria alla notifica di Data Breach, vi è solo l’indicazione di alcuni requisiti minimi:
- tipo di violazione della sicurezza dei Dati Personali;
- le sue conseguenze;
- le misure disposte o previste.