Il Reg. EU 679/2016 definisce un “data breach” come “la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Esso, quindi, non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente).
Una violazione di questo genere può compromettere, quindi, la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi sono: – l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; – il furto o la perdita di dispositivi informatici contenenti dati personali; – la deliberata alterazione di dati personali; – l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; – la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali.
COSA FARE IN CASO DI “DATA BREACH”?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) che subisce un data breach entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Se invece, è il responsabile del trattamento che viene a conoscenza di una eventuale violazione, è tenuto ad informare tempestivamente il titolare del trattamento in modo che possa attivarsi.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
CHE TIPO DI VIOLAZIONI DI DATI PERSONALI VANNO NOTIFICATE?
Innanzitutto, si precisa che l’obiettivo di tale notificazione è quello di consentire al Garante di attivarsi il prima possibile, valutare tempestivamente la gravità della situazione e stabilire le misure correttive eventualmente da imporre al Titolare per ridurre al minimo i pericoli per la Privacy degli Interessati a cui si riferiscono i dati.
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
CONTENUTI DELLA NOTIFICA
La notifica deve avere il contenuto previsto dall’art. 33 del GDPR:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
SANZIONI
In caso di mancato rispetto delle procedure di notifica della violazione si applica la sanzione amministrativa fino ad un importo di 10 milioni di euro oppure il 2% del fatturato annuo della società. In caso di mancata notifica si configura anche l’assenza di adeguate misure di sicurezza, per cui si possono cumulare due distinte sanzioni.
SI PUO’ PREVENIRE UN DATA BREACH?
Alle aziende viene richiesto dallo stesso legislatore di scegliere in autonomia un adeguato sistema di sicurezza in relazione alla riservatezza, tipologia e volume dei dati trattati.
Per prevenire un data breach bisogna lavorare bene nelle fasi iniziali del processo di individuazione delle misure di protezione adeguate.
Il regolamento, infatti, promuove la responsabilizzazione (chiamata con il termine inglese accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
Area Privacy Meleam
Se necessiti di un adeguamento al GDPR, contatta Meleam al 800 621 247.