Si parla di Data Breach per definire la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una scorretta gestione della violazione dei dati può determinare per gli interessati delle conseguenze negative di tipo fisico, materiale e immateriale (si pensi alla perdita di controllo sui propri dati personali, alla limitazione dei diritti degli interessati, alla discriminazione, al furto d’identità, alla perdita finanziaria, al danno alla reputazione, e così via).
Il GDPR stila delle linee guida in carico al titolare e al responsabile del trattamento dei dati relative a:
- Scoperta tempestiva del Data Breach (ad es. l’analisi del flusso dei dati e dei log consente di riconoscere la violazione e impostare degli alerts);
- Messa in atto di misure adeguate al rischio (ad es. il ripristino delle condizioni di sicurezza dei dati potrebbe contenere la violazione);
- Valutazione dei rischi;
- Segnalazione tempestiva della violazione alle autorità e ai soggetti coinvolti.
- Il titolare del trattamento notifica la violazione al Garante per la protezione dei dati personali, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche: in questo caso tale notifica non è obbligatoria. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
- I responsabili del trattamento hanno in ogni caso l’obbligo di notificare tempestivamente (senza ingiustificato ritardo) al titolare del trattamento l’avvenuta violazione.
- Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati senza ingiustificato ritardo, utilizzando i canali più idonei.
Quanto descritto non è un aspetto trascurabile: si ricorda infatti che nel caso in cui venga rilevata una violazione delle disposizioni del Regolamento, il Garante può prescrivere misure correttive e irrogare sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato annuo mondiale.
Team Privacy GDPR
