Procedura in caso di violazione dei dati personali (Data Breach)

Cos’è un Data Breach?

Per violazione dei dati personali o “data breach” si intende la violazione di sicurezza che comporta accidentalmente, o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

La violazione dei dati personali è un evento che può influire sulla:

  • riservatezza, tramite divulgazione o accesso non autorizzato o accidentale;
  • integrità, tramite alterazione non autorizzata o accidentale;
  • disponibilità, tramite perdita, inaccessibilità, o distruzione, accidentale, o non autorizzata, dei dati personali custoditi in qualsiasi formato.

Ma quando si verifica tutto ciò?

Non ci sono delle regole fisse in grado di stabilire le soglie per cui scatta una violazione dei dati personali.

Ad esempio, le violazioni che riguardano la disponibilità dei dati, possono colpire aziende online che si occupano di acquisto/vendita di strumenti finanziari (azioni, obbligazioni, movimenti di borsa, etc.) in cui l’interruzione del servizio, anche per 2 minuti, impedisce agli utenti di accedere al proprio portafoglio con possibili riflessi e conseguenze patrimoniali.

Al contrario, una interruzione del servizio di 2 minuti, di una azienda che vende elettrodomestici all’ingrosso, non comporta conseguenze per le libertà e i diritti degli interessati.

E se accade? Come devo comportarmi?

  • Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
  • Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
  • Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
  • Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
  • Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali. 

Che informazioni devo inviare al Garante?

La notifica deve contenere almeno:

  • una descrizione della natura della violazione dei dati personali, che comprenda, se possibile:
  1. le categorie e il numero approssimativo di persone interessate;
  2. le categorie e il volume approssimativo di dati personali interessati;
  • il nome e i riferimenti di contatto del responsabile della protezione dei dati (se designato dal titolare) o comunque di un referente competente a fornire informazioni;
  • una descrizione delle possibili conseguenze della violazione dei dati personali; 
  • una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per mitigare eventuali effetti negativi;
  • SOLO in caso di notifica effettuata oltre il termine prescritto di 72 ore, una descrizione dei motivi del ritardo

 

La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it

 

Cosa potrebbe fare il Garante?

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

 

LINEA COMPUTERS