• Valerio Maria Murgolo

Data Breach, nessuno è al sicuro!

Cosa si intende per Data Breach?

Cosa bisogna fare in caso di violazione?

Quali sono le conseguenze?



Secondo l’articolo 4 del General Data Protection Regulation, o GDPR, il Data Breach, o «violazione dei dati personali», è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.


Per le linee guida del Comitato Europeo per la Protezione dei Dati (EDBP), il Data Breach può essere catalogato in tre macro-categorie:


  • Confidentiality Breach, la divulgazione di informazioni senza il consenso dell’interessato

  • Availability Breach, la perdita dell’accesso ai dati

  • Integrity Breach, la perdita di integrità dei dati


Per citare alcuni esempi presenti sul sito del Garante della Privacy:


- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

- il furto o la perdita di dispositivi informatici contenenti dati personali;

- la deliberata alterazione di dati personali;

- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

- la divulgazione non autorizzata dei dati personali.


Per prima cosa è necessario chiarire che non è possibile evitare al 100% un Data Breach, ma è possibile attivare una serie di azioni preventive che possono limitare il rischio ed è, invece, obbligatorio attivare una serie di attività postume alla violazione per informare il Garante della Privacy.


La prevenzione si basa su alcune azioni determinanti:


  1. Investire tempo e risorse in formazione continua e costante per gli stakeholder

  2. Delineare un regolamento per il rispetto delle regole del GDPR e l’utilizzo delle risorse informatiche aziendali

  3. Monitorare i log, ovvero verificare periodicamente l’elenco cronologico delle attività svolte da un sistema operativo, da un database o da altri programmi, per scovare le anomalie

  4. Monitorare anche i dispositivi finali non aziendali utilizzando dei programmi specifici

  5. Redigere un rapporto dettagliato su tutte le attività sospette

  6. Verifica periodica del rispetto dei protocolli e delle procedure


Invece in caso di Data Breach è obbligatorio attivare alcune azioni:


  • Informare il Garante della Privacy, entro 72 ore se azienda privata (art. 33 del GDPR)

  • Informare il Garante della Privacy, entro 48/24 ore se azienda pubblica (art. 33 del GDPR)

  • Informare gli interessati dei dati personali (art. 34 GDPR), in alcuni casi specifici

Viene da sé che l’azienda deve attrezzarsi con un protocollo interno che permetta l’identificazione, l’analisi e la gestione del Data Breach, una procedura di risposta e un team preparato interno in grado di gestire la crisi.


La comunicazione al Garante delle Privacy deve contenere alcune informazioni minime, che eventualmente potranno essere approfondite, e sono:

1. Descrizione della violazione

2. Persone coinvolte, numero di massima

3. Nome delle persone del Data Protection Officer (DPO)

4. Cause della violazione

5. Descrizione delle probabili conseguenze

6. Descrizione delle misure adottate

7. Categorie di interessati coinvolti

8. Volumi di dati personali violati


Bisogna anche sapere che esistono sanzioni, in alcuni casi importanti, nel caso in cui non si rispettano il regolamento del GDPR, sono:


  1. in caso di mancata o ritardata comunicazione al Garante: da 25.000 a 150.000 Euro

  2. in caso di mancata tenuta dell’inventario delle violazioni aggiornato: da 20.000 a 120.000 Euro.


Risulta evidente che ricevere una violazione dei dati personali per una realtà organizzativa può essere un problema di vaste dimensioni che può comportare perdita, anche, di risorse e tempo, che possono impattare in maniera molto importante sull’attività aziendale, quindi come sempre formati, informati e cerca di evitare il Data Breach.