Il Reg. Eu. 679/2016 all’art. 4 definisce la violazione dei dati personali (data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.
Esso, quindi, non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente, la perdita di una chiavetta USB o la sottrazione di documenti con dati personali.
Le violazioni possono essere classificate in:

  • violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
  • violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
  • violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.

Come si valuta un data breach?

In caso di violazione dei dati personali occorre valutare il rischio, cioè i possibili effetti dannosi prodotti sui diritti e le libertà delle persone coinvolte. In particolare, si considerano i seguenti fattori:

  • tipo di violazione (violazione della riservatezza, violazione dell’integrità, violazione della disponibilità);
  • natura, sensibilità e volume dei dati personali;
  • facilità nella identificazione degli interessati;
  • gravità delle conseguenze per gli interessati;
  • particolarità degli interessati (es. minori);
  • particolarità dei responsabili del trattamento (es. personale sanitario);
  • numero degli interessati.

Sei sicuro di essere davvero adempiente al GDPR?

Contattaci

Notifica della violazione al Garante Privacy

Il titolare di un’azienda, in caso di data breach, deve immediatamente interrompere gli effetti negativi dell’evento e deve ripristinare gli eventuali dati personali compromessi.
Il titolare, una volta scoperta la violazione dei dati, deve notificare l’evento all’autorità di controllo, tranne che nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
La notifica deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” il titolare. Qualora la notifica non avvenga nelle 72 ore, il titolare dovrà precisare anche i motivi del ritardo. La norma prevede anche la possibilità di allegare ulteriori informazioni in un momento successivo, per cui è preferibile comunque effettuare la notifica nelle 72 ore, anche se è incompleta.
In base all’art. 33 del GDPR il responsabile del trattamento, se designato, deve avvertire dell’avvenuta violazione il titolare, perché questi valuti la necessità della notifica. Contrattualmente titolare e responsabile possono pattuire che la notifica alle autorità spetti al responsabile, sempre per conto del titolare.

La notifica in base all’art. 33 del GDPR deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Comunicazione agli interessati

La comunicazione del data breach agli interessati non è sempre prevista; essa è obbligatoria solo se è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’art. 34 prevede espressamente i casi nei quali non è richiesta tale comunicazione:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Sanzioni

In caso di mancato rispetto delle procedure di notifica della violazione da parte di imprese e/o Pubbliche Amministrazioni, il Reg. Eu prevede delle sanzioni amministrative fino ad un importo di 10 milioni di euro oppure il 2% del fatturato annuo della società. In caso di mancata notifica si configura anche l’assenza di adeguate misure di sicurezza, per cui si possono cumulare due distinte sanzioni.

Area Privacy Meleam

Se necessiti di un adeguamento al GDPR, contatta Meleam al 800 621 247.