I numeri del Data Breach post 25 maggio 2018

Il Regolamento UE 2016/679 (regolamento generale sulla protezione dei dati) definisce il data breach, o violazione dei dati personali, all’articolo 4 come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” la quale “se non affrontata in modo adeguato e tempestivo” può “provocare danni fisici, materiali o immateriali alle persone fisiche (…) o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata” (considerando 85).

In ragione della natura patologica di tale evento connesso al trattamento dei dati personali, il Regolamento prevede che il Titolare del Trattamento notifichi la violazione all’autorità di controllo competente senza ingiustificato ritardo o al massimo entro 72 ore dell’avvenuta conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il 28 gennaio scorso, il Garante per la protezione dei dati ha pubblicato un bilancio post applicazione del Regolamento dal 25 maggio al 31 dicembre 2018, periodo in cui si sono registrate 630 notificazioni di data breach in Italia. Pochi giorni prima la Commissione Europea parlava di circa 40 mila notificazioni in Europa nel periodo post 25 maggio 2018/gennaio 2019.

Numeri considerevoli, che mettono in evidenza quanto sia importante l’attenta valutazione circa la necessità o meno della notificazione. Le Linee guida sulla notifica delle violazioni dei dati personali (WP250 rev.01), infatti, definiscono la violazione di dati personali un incidente di sicurezza, ma non tutti gli incidenti di sicurezza sono necessariamente delle violazioni di dati personali e il Regolamento UE 2016/679 si applica solo in quest’ultimo caso.