Disaster Recovery: Perdita Di Dati & Data Breach

L’incendio nel data center di Strasburgo di OVH Cloud ha reso indisponibili numerosi siti internet di imprese e istituzioni. OVH Cloud pur essendo sconosciuto a molti, in realtà è uno dei leader mondiali nel mercato dei fornitori di web hosting con 1,5 milioni di clienti nel mondo, ed il più grande in Europa.

In conseguenza dell’incendio, l’azienda ha invitato i clienti ad “attivare il Disaster Recovery Plan per la salvaguardia dei propri dati”, lasciando dedurre che chi invece non avesse messo in conto tale procedura per il recupero dei dati potrebbe aver perso tutte le informazioni.

La gravità dei fatti e l’attesa di capire la portata delle conseguenze, mette ancora una volta in primo piano quanto sia fondamentale per le aziende mettere a punto un efficace “Disaster Recovery Plan”, cioè quell’insieme di azioni e misure tecnologiche e organizzative necessarie al ripristino della situazione ex ante e addirittura dei singoli dati a fronte di eventi che ne hanno determinato la compromissione.

Indubbiamente, tra le principali misure di Disaster Recovery, è sicuramente imprescindibile la presenza di un adeguato sistema di backup coordinato con una strategia di ripristino volta a rendere quanto prima riutilizzabili i dati contenuti nel backup.

Oltre a dover salvaguardare il patrimonio aziendale, costituito dall’insieme dei dati, e all’importanza di garantire la continuità operativa delle attività aziendali, si aggiungono anche le direttive che il Gdpr pone in capo ai titolari del trattamento in tema di data breach. Infatti, anche se quasi sempre la causa è da imputare ad attacchi hacker o a scarse misure informatiche che rendono esposti i dati degli interessati, in realtà ai sensi dell’art.4 del Regolamento UE 2016/679 viene definita una violazione della sicurezza dei dati personali quella “che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.

Ciò sta a significare che la perdita o la distruzione di dati personali per via di incidenti, calamità o altri eventi avversi, costituisce a tutti gli effetti una situazione di data breach, che è quindi soggetta agli adempimenti di cui agli articoli 33-34 del Gdpr (nel concreto si tratta di porre in essere le condotte di notifica all’autorità di controllo entro 72 ore dalla scoperta dell’evento, salvo casi più gravi in cui la notifica dev’essere eseguita anche verso gli interessati).

Suddette notifiche non devono chiaramente essere considerate con superficialità in quanto, oltre a suscitare l’irritazione degli interessati (e la conseguente “cattiva pubblicità”), espongono a sanzioni fino a 10 milioni di euro o fino al 2% del proprio fatturato totale annuo mondiale, nel caso in cui non si riesca a dimostrare all’autorità di controllo di aver adottato tutte le misure tecniche ed organizzative al fine di garantire adeguata protezione ai dati e dimostrare quindi la propria conformità al GDPR.

L’attivazione della procedura di data breach non comporta un’automatica irrogazione delle sanzioni, ma la probabilità è alta.

Si deve infatti tenere conto che nei più recenti provvedimenti emanati, il Garante ha sanzionato anche le violazioni di dati personali causate non solo da attacchi informatici esterni, ma anche da procedure inadeguate e da semplici errori materiali del personale.

Infine, occorre ricordare che la divulgazione di dati personali a destinatari o accessi non autorizzati, configura un trattamento non autorizzato o illecito in grado di determinare  un data breach.

Diverso invece è il caso dell’indisponibilità dei dati personali dovuta allo svolgimento di un intervento di manutenzione programmata del sistema che non costituisce di fatto alcuna “violazione della sicurezza” ai sensi dell’articolo 4, punto 12.