Temi

Shape 5 Live Search

logo

Per violazione dei dati personali (data breach) si intende la divulgazione, intenzionale o non intenzionale, la distruzione, la perdita, la modifica o l'accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni. 

La legislazione, e il nuovo regolamento generale europeo, prescrivono specifici adempimenti nel caso di una violazione di dati personali, come può essere un attacco informatico, un accesso abusivo, ma anche un incidente come un incendio o una calamità naturale. Un data breach non è, quindi, solo un attacco informatico, ma anche la perdita di una chiavetta USB o la sottrazione di documenti con dati personali.

 

Notifica della violazione

L'attuale normativa prevede l'obbligo di comunicare alle autorità di controllo la violazione dei dati per i fornitori di servizi di comunicazione elettronica accessibili al pubblico. Dall'entrata in vigore del regolamento europeo la notifica all'autorità di controllo non sarà più obbligatoria, ma dovrà essere fatta solo se il titolare ritiene probabile che dalla violazione dei dati possano drivare rischi per i diritti e le libertà degli interessati. In compenso tutti i titolari del trattamento saranno soggetti alla norma. La notifica dovrà avvenire entro 72 ore e comunque "senza ingiustificato ritardo". 

Se il titolare ritiene che il rischio per i diritti e le libertà degli interessati è elevato, allora si dovranno informare anche gli interessati, sempre "senza ingiustificato ritardo". Non è richiesta la comunicazione all'interessato nei casi indicati dall'art. 34: 

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; 
c) la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 

La notifica deve avere il contenuto previsto dall'art. 33 del GDPR: 

- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; 
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; 
- descrivere le probabili conseguenze della violazione dei dati personali; 
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 

 

Link al modello per la notifica del data breach predisposto dal Garante Privacy 

Clicca per il modello

 

Obbligo di documentazione

In ogni caso i titolari dovranno opportunamente documentare le violazioni di dati personali subite, tramite un apposito registro delle violazioni, anche se non comunicate alle autorità di controllo, nonché le conseguenze e i provvedimenti adottati. Tale documentazione dovrà essere fornita al Garante in caso di accertamenti. 

 

Infografica del Garante sugli adempimenti in caso di data breach

(link al sito del Garante

 

data breach infografica garante