Data Breach sì o no, questo è il problema
Seconda puntata della Rubrica “Appunti di Privacy”. Con le Linee Guida n. 9 del 10 ottobre 2022, i Garanti Privacy tornano su una delle questioni più complesse: se una indisponibilità temporanea debba essere considerata un data breach o no
14 Novembre 2022
Patrizia Cardillo
Esperta di Protezione dati personali
Photo by Towfiqu barbhuiya on Unsplash - https://unsplash.com/photos/em5w9_xj3uU
I Garanti Privacy riuniti nel Comitato Europeo per la Protezione dei Dati (EDPB-European Data Protection Board) sono tornati sul tema della violazione dei dati personali (data breach) con le Linee Guida n. 9 del 10 ottobre 2022. Il documento aggiorna (in piccola parte, relativamente alle violazioni presso stabilimenti non UE) e soprattutto conferma (per la stragrande maggioranza) le linee-guida WP250 del 2017 (emendate nel 2018) del gruppo di lavoro (Working Party art. 19) in cui i Garanti Privacy si riunivano prima del GDPR e di cui il Comitato Europeo costituisce l’evoluzione.
È l’occasione per tornare sui fondamentali di questo tema.
Anzitutto la definizione di “violazione di dati personali”. È tale la violazione di sicurezza che comporta (accidentalmente o in modo illecito) la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Chiarendo che la violazione dei dati personali è un tipo di incidente di sicurezza, per cui ogni data breach è anche un incidente di sicurezza mentre non è vero il contrario (possono aversi incidenti di sicurezza che non impattano sui dati personali e dunque non sono soggetti al GDPR – Regolamento UE 2016/679). I Garanti tornano su una delle questioni più complesse: se una indisponibilità temporanea debba essere considerata un data breach. Gli esempi in fondo alle Linee-guida aiutano, ma non c’è un orizzonte temporale standard valido per tutti.
Il documento inoltre illustra le azioni da porre in essere tenendo conto della natura del rischio che la violazione presenti per i diritti e le libertà delle persone, ossia: notifica all’autorità garante (a meno che il rischio sia improbabile) e comunicazione agli interessati (qualora il rischio sia elevato). Sullo sfondo, la registrazione di tutte le violazioni, a prescindere dalla loro rilevanza, quale pietra miliare dell’accountability: dobbiamo conoscere cosa accade nelle nostre organizzazioni ed essere in grado di poterlo dimostrare.
Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA
