Temi

Shape 5 Live Search

logo

L'art. 4 del regolamento europeo definisce la violazione dei dati personali (data breach) come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati". 

Quindi, un data breach non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente). Il nuovo regolamento generale europeo prescrive specifici adempimenti nel caso di una violazione di dati personali. 

 

Notifica della violazione

In caso di violazione dei dati il responsabile del trattamento, se designato, deve avvertire il titolare dell'avvenuta violazione dei dati. Quest'ultimo titolare dovrà, a quel punto, notificare l'evento all'autorità di controllo

L'art. 33 del GDPR prevede l'obbligo di notificare alle autorità di controllo la violazione dei dati, tranne che nel caso in cui "sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche" (es. perdita di una chiavetta usb con dati cifrati). La notifica deve avvenire "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza" il titolare. Qualora la notifica non avvenga nelle 72 ore, il titolare dovrà indicare i motivi del ritardo. 
La norma prevede anche la possibilità di allegare ulteriori informazioni in un momento successivo, per cui è preferibile comunque effettuare la notifica nelle 72 ore, anche se è incompleta. 

Contrattualmente titolare e responsabile possono pattuire che la notifica alle autorità spetti al responsabile, sempre per conto del titolare. 

 

Contenuto della notifica

La notifica deve avere il contenuto previsto dall'art. 33 del GDPR: 

- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; 
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; 
- descrivere le probabili conseguenze della violazione dei dati personali; 
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 

 

Link al modello per la notifica del data breach predisposto dal Garante Privacy -> Clicca per il modello

 

Comunicazione agli interessati

La comunicazione della violazione dei dati agli interessati non è sempre prevista, poiché potrebbe creare un allarme generalizzato e portare ad un danno reputazionale significativo. Per questo si prevede l'obbligo di comunicare la violazione solo se è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve comunicare la violazione dei dati all’interessato senza ingiustificato ritardo (art. 34). 

L'art. 34 prevede espressamente i casi nei quali non è richiesta tale comunicazione: 
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; 
c) la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 

Per valutare i fattori che determinano il rischio per le libertà e i diritti degli interessati, il Gruppo di lavoro Articolo 29 (ora EDPB) ha fissato i seguenti parametri: 
- tipo di “breach”: il tipo di violazione è un parametro per la valutazione del rischio. La violazione dei dati sanitari di tutti i pazienti di un ospedale è ben diversa dalla perdita dei dati sanitari di un singolo paziente; 
natura, numero e grado di sensibilità dei dati personali violati: l’accesso al nome e all’indirizzo dei genitori di un figlio rappresenta un rischio diverso rispetto all’accesso da parte dei genitori naturali del nome e dell’indirizzo dei genitori adottivi; 
- facilità di associare i dati violati ad una persona fisica: può accadere che i dati violati non siano facilmente riconducibili ad una determinata persona fisica; 
- gravità delle conseguenze per gli Interessati: quando il titolare del trattamento percepisce il rischio che i dati oggetto della violazione possono essere utilizzati immediatamente contro gli Interessati (es. sostituzione di persona); 
- numero di Interessati esposti al rischio: un parametro è sicuramente quello del numero degli Interessati potenzialmente coinvolti; 
- caratteristiche del titolare del trattamento: un attacco ad una struttura ospedaliera certamente è diverso dall'attacco ad una piccola azienda.

Comunque, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta, con ciò imponendo la comunicazione agli interessati. 

 

Obbligo di documentazione

Il titolare deve documentare le violazioni di dati personali subite, tramite un apposito registro delle violazioni. Il registro dovrà contenere:
- data e ora della violazione;
- sorgente dell'informazione sulla violazione;
- conseguenze della violazione (quantità dei dati personali e degli interessati coinvolti dalla violazione);  
- data o ora della notifica della violazione all'autorità di controllo
- motivo per il quale la violazione è stata ritardata o non è stata comunicata all'autorità di controllo; 
- cause della violazione; 
- provvedimenti adottati a seguito della violazione. 

Tale documentazione dovrà essere fornita al Garante in caso di accertamenti. 

 

Sanzioni

In caso di mancato rispetto delle procedure di notifica della violazione si applica la sanzione amministrativa fino ad un importo di 10 milioni di euro oppure il 2% del fatturato dell'intera società. In caso di mancata notifica si configura anche l'assenza di adeguate misure di sicurezza, per cui si cumulano due distinte sanzioni.

Infografica del Garante sugli adempimenti in caso di data breach

(link al sito del Garante

 

data breach infografica garante