Il data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, compromettendo quindi la riservatezza, l’integrità o la disponibilità degli stessi.
Senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, il Titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali, a meno che la violazione dei dati personali non comporti un rischio per i diritti e le libertà delle persone fisiche (art. 33 del GDPR).
Sarebbe opportuno per i Titolari simulare un data breach, per testare concretamente la reazione del personale coinvolto. Le criticità che spesso si riscontrano sono di tipo emotivo: il personale impreparato, tenderà a negare che sia accaduto un data breach o peggio ancora deciderà di temporeggiare. Al riguardo, si ricorda che la mitigazione del danno deriva spesso dalla tempestività della reazione, dalla corretta gestione delle comunicazioni (interne ed esterne) e degli adempimenti normativi.