Cos'è una violazione dei dati personali (Data Breach)?

È una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Secondo il GDPR, e come ribadito dal Gruppo di Lavoro dei Garanti europei dell’Articolo 29 (Linee Guida 3 ottobre 2017, poi emendate il 6 febbraio 2018) , la violazione dei dati rilevante per il Regolamento UE può essere di tre tipi:

- “violazione della riservatezza”, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;

- “violazione dell’integrità”, in caso di modifica non autorizzata o accidentale dei dati personali

- “violazione della disponibilità”, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali, fermo restando che, nei singoli casi concreti, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati.

In particolare, può rilevare come data breach anche l'indisponibilità temporanea di dati personali, perché secondo l'art. 32 GDPR per garantire un livello di sicurezza adeguato al rischio, si deve prendere in considerazione “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e anche “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

Ne consegue pertanto che un incidente di sicurezza che arreca un’indisponibilità dei dati personali, anche per un periodo di tempo limitato, costituisce sicuramente una violazione, in quanto la mancanza di accesso ai dati può senz'altro generare rischi sui diritti e sulle libertà delle persone fisiche.

Occorre ovviamente verificare caso per caso le reali conseguenze della violazione per valutarne impatto e conseguenti azioni.

Alcuni possibili esempi:

- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

- il furto o la perdita di dispositivi informatici contenenti dati personali;

- la deliberata alterazione di dati personali; 

- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

- la divulgazione non autorizzata dei dati personali.

Se vuoi saperne di più contattami

RESTIAMO IN CONTATTO: E infine come di consueto Ti lascio i link ai miei canali social sui quali troverai novità ed aggiornamenti

1. YouTube
2. Facebook
3. Instagram