Cos’è il Data Breach?
Il cosiddetto Data Breach è una violazione dei dati personali che può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Può essere accidentale o volutamente illecita e comporta la la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Esempi di violazione:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati
- il furto o la perdita di dispositivi informatici contenenti dati personali
- la deliberata alterazione di dati personali
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità
- la divulgazione non autorizzata dei dati personali.
Cosa di deve fare a fronte di una violazione dei dati personali?
Il titolare del trattamento, dopo aver informato tempestivamente il titolare perché possa attivarsi, deve entro 72 ore notificare la violazione al Garante per la protezione dei dati personali. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Se la violazione comporta inoltre un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Quali sono le violazioni di dati personali che vanno notificate?
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi sugli individui, causando danni fisici, materiali e immateriali o comunque che comportino un significativo svantaggio economico o sociale. Alcuni esempi:
- perdita del controllo sui propri dati personali
- limitazione di alcuni diritti
- la discriminazione
- furto d’identità o il rischio di frode
- perdita di riservatezza dei dati personali protetti dal segreto professionale
- perdita finanziaria
- danno alla reputazione
Quali informazioni deve contenere la notifica e come inviarla al garante?
La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951). Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.
La notifica deve essere inviata al Garante tramite posta certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale).
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”.
Le azioni del Garante
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Fonte: Garanteprivacy