GDPR: mi è sembrato di aver perso un dato
Il data breach tecnicamente e a livello normativo è considerato un incidente di security.
Cos’è un incidente di security?
Da un punto di vista giuridico non è niente perché il GDPR introduce una norma cd. paradigmatica. Una norma che sancisce per la prima volta in assoluto un principio: che se tu sei in Cina, prendi dei dati dal territorio Europeo e li utilizzi in maniera scorretta può raggiungerti una sanzione dall’Europa.
Ma cos’è in concreto un data breach?
Se perdo un device è un data breach? E se perdo il cellulare?
Questi sono tutti esempi di data breach.
Perchè un data breach non è solo l’intrusione esterna che compromette l’integrità del dato. Può anche consistere nella perdita di confidenzialità del dato.
Qualcuno accede al tuo database oppure ne perdi l’integrità: hai i nomi ma non hai più il numero di cellulare; hai le fatture ma non sai più chi è la persona di riferimento di quell’azienda.
Un altro esempio di data breach è quello della disponibilità. Se perdi il tuo computer con all’interno il database di tutti i tuoi clienti e lo hai criptato se qualcuno lo trova non ha la chiave per entrare.
Quindi tu hai perso una cassaforte ma nessuno riesce ad aprirla. Però tu l’hai persa. E’ un data breach? Forse non è strettamente un data breach.
Ma se ne perdi la disponibilità rispondi sempre tu.
Non è detto che gli altri ne abbiano acquisto il contenuto. Ma tu l’hai persa. E la responsabilità è tua.
Cosa fare in caso di data breach?
L’ENISA, uno dei tanti enti europei che fornisce degli schemi di natura ingegneristica, organizzativa e di management, ha fornito dei criteri per la verifica di un data breach.
Questi criteri partono da 3 milestones: contesto, facilità di identificazione della persona fisica contenuta nel database e circostanze.
Su questi elementi l’ENISA ha declinato dei KPI, key performance indicatori, per cui se hai perso un certo numero di dati in un certo contesto e il risultato supera una certa soglia allora devi comunicare il data breach al Garante.
Se non superi quella soglia il data breach non va comunicato.
Ma nel tuo sistema di gestione del GDPR devi tenerne traccia; lo devi tracciare nel tuo registro dei data breach in cui vanno inseriti gli eventuali data breach. Quelli che hai gestito in casa e quelli in cui la situazione è sfuggita talmente di mano che devi andare a chiedere aiuto al Garante.
E sul punto il GDPR è particolarmente chiaro.
La comunicazione serve per limitare il danno.
Anche perchè in caso di data breach si crea una reazione a catena. Se c’è un rischio per i soggetti interessati siamo obbligati alla notifica al Garante. E se il rischio è elevato siamo costretti alla notifica anche agli interessati.
E questo comporta anche un danno reputazionale.
Ad es. se perdo il mio portatile quello è un data breach perché ho perso una copia dei miei dati.
Ma se quel portatile è cifrato non sono obbligato alla notifica al Garante perché non c’è un rischio per i diritti e le libertà degli interessati.
In sostanza il GDPR ti chiede di adeguarti con le tue misure tecniche e organizzative. Non chiede di azzerare il rischio ma di minimizzarlo, perché ovviamente il rischio zero non esiste. Ma è possibile minimizzarlo.
Se vuoi approfondire gli argomenti trattati in questo Post guarda anche il video “GDPR: quanti dati chiedi ai tuoi clienti“?
Se vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati prenota qui la tua consulenza.
Per tutti gli aggiornamenti segui #LexAroundMe
Lascia qui il tuo commento al blog e ai servizi di LexAround.me
#GDPR: mi è sembrato di aver perso un #dato #Privacy #datipersonali #databreach #LexAroundMe Condividi il Tweet
Chi sono:
