COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?
La violazione dei dati personali (Data Breach) è una VIOLAZIONE DI SICUREZZA che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
Alcuni possibili esempi:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati (ad esempio un attacco hacker ai sistemi informativi aziendali);
- il furto o la perdita di dispositivi informatici contenenti dati personali (si pensi al furto di un computer aziendale);
- la deliberata alterazione di dati personali (ad esempio un dipendente infedele che elimina tutti i dati dei clienti dal database clienti);
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità (si pensi, ad esempio, ad un incendio nel magazzino dove sono conservati i documenti aziendali).
COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?
Il titolare del trattamento non appena viene a conoscenza di un’avvenuta violazione dei dati personali, dovrebbe NOTIFICARE la violazione dei dati personali all’autorità di controllo competente (Garante per la protezione dei dati personali o anche Autorità), senza ingiustificato ritardo e, ove possibile, ENTRO 72 ORE dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica deve essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Nel caso in cui sia il responsabile del trattamento (la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento) che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare del trattamento in modo che possa attivarsi.
Quando la violazione dei dati personali è suscettibile di presentare un RISCHIO ELEVATO per i diritti e le libertà delle persone fisiche, il titolare del trattamento COMUNICA LA VIOLAZIONE ALL’INTERESSATO senza ingiustificato ritardo e in un linguaggio chiaro.
La comunicazione all’interessato non è dovuta se il titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; oppure se il titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; oppure se detta comunicazione richiederebbe sforzi sproporzionati.
Il titolare del trattamento, a prescindere dalla notifica al Garante per la protezione dei dati personali, DOCUMENTA tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro nel quale annotare le circostanze relative alla violazione, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
CHE TIPO DI VIOLAZIONI DI DATI PERSONALI VANNO NOTIFICATE?
Vanno notificate le violazioni di dati personali che possono avere EFFETTI AVVERSI SIGNIFICATIVI sugli individui, causando danni fisici, materiali o immateriali. Quindi andranno notificate tutte le violazioni dei dati personali a meno che sia improbabile che la violazione stessa presenti un rischio per i diritti e le libertà delle persone fisiche. Tra gli effetti avversi significativi vi rientrano, a titolo esemplificativo, una perdita finanziaria, un danno alla reputazione, la discriminazione, il furto d’identità e il rischio di frode.
Pertanto il titolare del trattamento sarà chiamato a svolgere una VALUTAZIONE sull’effetto prodotto o il rischio dell’effetto che si possa produrre un effetto avverso significativo. Tale valutazione, conformemente al principio di responsabilizzazione, dovrebbe essere documentata da parte del Titolare del trattamento.
Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante per la protezione dei dati personali ha ideato e messo a disposizione un apposito MODULO DI AUTOVALUTAZIONE che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza1.
COME INVIARE LA NOTIFICA AL GARANTE?
La notifica di una violazione di dati personali deve essere inviata al Garante per la protezione dei dati personali tramite un’apposita procedura telematica2 (nella stessa pagina è disponibile un modello facsimile, da NON utilizzare per la notifica al Garante ma utile per vedere in anteprima i contenuti ).
La notifica della violazione dei dati personali deve:
1) descrivere la NATURA della violazione dei dati personali compresi, ove possibile, le CATEGORIE e il numero approssimativo di INTERESSATI in questione nonché le categorie e il numero approssimativo di registrazioni dei DATI PERSONALI in questione;
2) comunicare il nome e i dati di contatto del RESPONSABILE DELLA PROTEZIONE DEI DATI o di altro punto di contatto presso cui ottenere più informazioni;
3) descrivere le probabili CONSEGUENZE della violazione dei dati personali;
4) descrivere le MISURE adottate o di cui si propone l’adozione da parte del titolare del trattamento dei dati personali per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
QUALI SONO LE AZIONI CHE PUO’ INTRAPRENDERE IL GARANTE?
Il Garante può prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Inoltre, nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’Autorità può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni che escludono la necessità dalla comunicazione sia soddisfatta.
A QUANTO AMMONTANO LE POSSIBILI SANZIONI?
Sono previste sanzioni pecuniarie che possono arrivare FINO A 10 MILIONI DI EURO o, nel caso di imprese, FINO AL 2% DEL FATTURATO TOTALE ANNUO MONDIALE.
Il team Sokrate
1 https://servizi.gpdp.it/databreach/s/self-assessment
2 raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/ (VEDI: Provvedimento del 27 maggio 2021).