Un data breach, ovvero una violazione della sicurezza che comporta la perdita, la modifica non autorizzata, la divulgazione o l'accesso non autorizzato a dati personali, è uno degli scenari più temuti da qualsiasi azienda. Non solo per le conseguenze tecniche e operative, ma soprattutto per quelle legali: il GDPR prevede obblighi di notifica precisi, con tempi strettissimi, e sanzioni severe in caso di inadempimento. Questa guida ti spiega cosa fare, quando farlo e come strutturare la tua azienda per gestire un incidente in modo conforme.
Cos'è un data breach secondo il GDPR
L'art. 4, n. 12 del GDPR definisce la violazione dei dati personali come "una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati". La definizione è molto ampia e comprende situazioni molto diverse:
- Attacco hacker con esfiltrazione di dati (es. ransomware, SQL injection)
- Perdita di un dispositivo (laptop, chiavetta USB) contenente dati non cifrati
- Email inviata per errore a destinatari sbagliati con allegati contenenti dati personali
- Accesso non autorizzato ai sistemi da parte di un dipendente
- Cancellazione accidentale e non recuperabile di dati
- Fornitore esterno che subisce una violazione dei dati che ti ha affidato
I tre tipi di data breach
Il GDPR distingue tre tipologie di violazione in base alla natura del danno:
- Violazione della riservatezza: divulgazione o accesso non autorizzato a dati personali
- Violazione dell'integrità: modifica non autorizzata di dati personali
- Violazione della disponibilità: perdita o distruzione di dati personali (accidentale o intenzionale)
Un singolo incidente può rientrare in tutte e tre le categorie contemporaneamente (es. un ransomware che cifra, modifica e rende inaccessibili i dati).
L'obbligo di notifica al Garante: la regola delle 72 ore
L'art. 33 del GDPR prevede che il titolare del trattamento notifichi la violazione all'autorità di controllo competente (il Garante per la Protezione dei Dati Personali in Italia) entro 72 ore dal momento in cui ne viene a conoscenza, a meno che il data breach non presenti rischi per i diritti e le libertà delle persone fisiche.
Quando l'obbligo di notifica scatta
La notifica è obbligatoria quando la violazione è suscettibile di presentare un rischio per i diritti e le libertà degli individui. Non ogni incidente richiede la notifica: se i dati violati erano correttamente cifrati e la chiave di cifratura non è stata compromessa, il rischio può essere minimo. Ma in caso di dubbio, la notifica è sempre preferibile: il Garante valuta positivamente la proattività del titolare.
Come effettuare la notifica
La notifica al Garante deve essere effettuata tramite il portale telematico del Garante (disponibile su gpdp.it) e deve contenere:
- Descrizione della natura della violazione (tipologia, dati coinvolti, numero approssimativo di interessati)
- Nome e dati di contatto del DPO (se nominato)
- Descrizione delle probabili conseguenze della violazione
- Descrizione delle misure adottate o proposte per rimediare alla violazione
Se non tutte le informazioni sono disponibili nelle prime 72 ore, è possibile effettuare una notifica iniziale parziale e integrare successivamente, indicando chiaramente che si tratta di una notifica iniziale soggetta a aggiornamento.
L'obbligo di comunicazione agli interessati: quando e come
L'art. 34 del GDPR prevede un obbligo aggiuntivo e distinto: quando il data breach è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve comunicarlo anche direttamente agli interessati senza ingiustificato ritardo.
La comunicazione agli interessati non è necessaria se:
- I dati erano adeguatamente cifrati con chiavi non compromesse
- Il titolare ha successivamente adottato misure che eliminano il rischio elevato
- La comunicazione richiederebbe uno sforzo sproporzionato (in questo caso si può usare una comunicazione pubblica)
La comunicazione agli interessati deve essere chiara, semplice e includere: descrizione della violazione, contatti del DPO, probabili conseguenze, misure adottate e consigli agli interessati (es. cambiare le password, monitorare i propri conti).
Il registro delle violazioni: obbligo di documentazione
Anche quando un data breach non richiede la notifica al Garante (perché il rischio è trascurabile), il GDPR impone al titolare di documentare tutte le violazioni in un registro interno delle violazioni dei dati personali. Questo registro deve contenere:
- Data e ora del rilevamento della violazione
- Natura della violazione
- Dati personali coinvolti
- Numero approssimativo di interessati
- Conseguenze probabili
- Misure adottate
- Motivazione della decisione di non notificare (se applicabile)
Il registro delle violazioni è uno dei primi elementi verificati dal Garante in caso di ispezione.
Le sanzioni per mancata o tardiva notifica
Le sanzioni del GDPR per la mancata notifica di un data breach sono significative:
- Mancata notifica al Garante: fino a 10 milioni di euro o al 2% del fatturato annuo globale
- Mancata comunicazione agli interessati (quando obbligatoria): fino a 10 milioni di euro o al 2% del fatturato
- Misure di sicurezza inadeguate che hanno causato il breach: fino a 20 milioni di euro o al 4% del fatturato
Il Garante tiene conto in modo significativo della collaborazione del titolare nel determinare la sanzione: notificare proattivamente, anche in anticipo sul termine delle 72 ore, è uno degli elementi che il Garante valuta positivamente e può portare a una riduzione della sanzione.
Come prepararsi prima che avvenga un breach: il piano di risposta
La gestione di un data breach inizia molto prima dell'incidente. Ogni azienda dovrebbe avere un Data Breach Response Plan documentato che includa:
- Definizione del team di risposta (IT, legale, comunicazione, DPO)
- Procedure per il rilevamento e la classificazione dell'incidente
- Soglie e criteri per determinare l'obbligo di notifica
- Template per la notifica al Garante e per la comunicazione agli interessati
- Procedura di escalation interna
- Lista dei contatti (Garante, forze dell'ordine, fornitori di incident response)
Il ruolo del sito web e dell'infrastruttura hosting nel rischio di data breach
Il sito web è spesso il punto di ingresso principale per i data breach: form di contatto, area e-commerce, area riservata con dati degli utenti. La scelta del provider hosting e la configurazione di sicurezza del sito sono elementi critici. NEO WEB predispone le infrastrutture con misure tecniche adeguate a ridurre il rischio: certificati SSL per la cifratura dei dati in transito, ambienti hosting con firewall e monitoraggio attivo, e procedure di assistenza e supporto in caso di incidenti di sicurezza.
Se vuoi valutare la tua esposizione al rischio di data breach e la conformità delle tue procedure, contattaci per un'analisi tecnica e legale della tua situazione.
Conclusioni
Il data breach non è un evento eccezionale riservato alle grandi aziende: colpisce organizzazioni di ogni dimensione ogni giorno. Sapere come rispondere, avere procedure documentate e poter notificare tempestivamente al Garante fa la differenza tra una sanzione minima e una catastrofe legale e reputazionale.
