Temi

Shape 5 Live Search

logo

Per violazione dei dati personali (data breach) si intende la divulgazione (intenzionale o non), la distruzione, la perdita, la modifica o l'accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni. 

Un data breach, quindi, non è solo un attacco informatico, ma può essere anche un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente). Il nuovo regolamento generale europeo prescrive specifici adempimenti nel caso di una violazione di dati personali. 

 

Casi di notifica della violazione

La normativa (GDPR) prevede l'obbligo di comunicare alle autorità di controllo la violazione dei dati per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, ma solo se il titolare ritiene probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati. Tutti i titolari del trattamento sono soggetti alla norma. La notifica dovrà avvenire entro 72 ore e comunque "senza ingiustificato ritardo". 


Se il titolare ritiene che il rischio per i diritti e le libertà degli interessati è elevato, allora si dovranno informare anche gli interessati, sempre "senza ingiustificato ritardo". Non è richiesta la comunicazione all'interessato nei casi indicati dall'art. 34, cioé quando: 
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; 
c) la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 

Per valutare i fattori che determinano il rischio per le libertà e i diritti degli interessati, il Gruppo di lavoro ex Articolo 29 ha fissato i seguenti parametri: 
- tipo di “breach”: il tipo di violazione è un parametro per la valutazione del rischio. La violazione dei dati sanitari di tutti i pazienti di un ospedale è ben diversa dalla perdita dei dati sanitari di un singolo paziente; 
- natura, numero e grado di sensibilità dei dati personali violati: l’accesso al nome e all’indirizzo dei genitori di un figlio rappresenta un rischio diverso rispetto all’accesso da parte dei genitori naturali del nome e dell’indirizzo dei genitori adottivi; 
- facilità di associare i dati violati ad una persona fisica: può accadere che i dati violati non siano facilmente riconducibili ad una determinata persona fisica; 
- gravità delle conseguenze per gli Interessati: quando il titolare del trattamento percepisce il rischio che i dati oggetto della violazione possono essere utilizzati immediatamente contro gli Interessati (es. sostituzione di persona); 
- numero di Interessati esposti al rischio: un parametro è sicuramente quello del numero degli Interessati potenzialmente coinvolti; 
- caratteristiche del titolare del trattamento: un attacco ad una struttura ospedaliera certamente è diverso dall'attacco ad una piccola azienda.

 

Contenuto della notifica

La notifica deve avere il contenuto previsto dall'art. 33 del GDPR: 

- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; 
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; 
- descrivere le probabili conseguenze della violazione dei dati personali; 
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 

 

Link al modello per la notifica del data breach predisposto dal Garante Privacy -> Clicca per il modello

 

Obbligo di documentazione

In ogni caso i titolari dovranno opportunamente documentare le violazioni di dati personali subite, tramite un apposito registro delle violazioni, anche se non comunicate alle autorità di controllo, nonché le conseguenze e i provvedimenti adottati. Il titolare dovrebbe anche documentare nel registro le ragioni delle decisioni assunte, nei casi in cui non ha proceduto alla notifica, ha ritardato la notifica e nei casi in cui non ha comunicato la violazione agli interessati. 
Tale documentazione dovrà essere fornita al Garante in caso di accertamenti. 

 

Sanzioni

In caso di mancato rispetto delle procedure di notifica della violazione si applica la sanzione amministrativa fino ad un importo di 10 milioni di euro oppure il 2% del fatturato dell'intera società. In caso di mancata notifica si configura anche l'assenza di adeguate misure di sicurezza, per cui si cumulano due distinte sanzioni.

Infografica del Garante sugli adempimenti in caso di data breach

(link al sito del Garante

 

data breach infografica garante