I CASI DI “VIOLAZIONE” DEL TRATTAMENTO – IL DATA BREACH

Spread the love

Il Regolamento generale, all’articolo 14, punto 12, definisce la “violazione” come una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

È importante rilevare che è da ritenersi “violazione” qualsiasi situazione, anche se accidentale o involontaria, che causi uno degli eventi indicati, poiché l’attenzione del legislatore è orientata alla tutela della protezione delle persone fisiche ed è compito di ogni ente assicurare le necessarie misure di prevenzione, per evitare anche violazioni di tipo accidentale.

I CASI DI VIOLAZIONE

  • la distruzione:

    Può consistere nella cancellazione di un dato informatico, così come nella distruzione materiale di un documento cartaceo, sia integrale che parziale, anche a causa della cattiva conservazione o della esposizione a fenomeni atmosferici o altre cause che ne possano compromettere l’integrità

  • la perdita

    Consiste nella impossibilità di reperire un documento, sia cartaceo che informatico e di non riuscire a ricostruire la modalità utile ai fini del recupero.

    La perdita può essere causata dallo smarrimento di un documento o di un dato informatico, così come dalla consegna a soggetto terzo, senza avere messo in atto ogni utile precauzione ai fini della restituzione, nelle condizioni in cui è stato trasmesso

    Può riguardare anche documenti e dati archiviati e depositati (anche da altri colleghi, in tempi precedenti) e non più reperibili

  • la modifica

    Consiste in qualsiasi intervento che alteri, indebitamente, il contenuto del documento o del dato depositato presso l’Ente.

    Può riguardare sia qualsiasi condizione personale: nome, cognome, residenza, ecc…. Sia situazioni per le quali l’interessato, per la sua condizione (di genitore, tutore, congiunto, erede, ecc.) ha il diritto di essere informato ai fini dell’adozione di qualsiasi decisione che possa apportare una “modifica” del “dato”

  • l’accesso

    Si tratta dell’utilizzo “indebito” dell’accesso ai documenti e ai dati contenenti informazioni personali.

    La violazione si può perfezionare, sia attraverso un’autorizzazione ingiustificata a chi non abbia diritto alla visione di una informazione, sia attraverso la visione involontaria di parti di un documento che avrebbero dovuto essere oscurate e non accessibili

  • la divulgazione

    La violazione può riguardare la indebita diffusione di dati o documenti che, in ragione del contenuto avrebbero dovuto essere conservati e non accessibili, se non ai soli interessati e alle condizioni previste dalle norme di legge

    Il caso ricorre anche per la pubblicazione di “dati personali” al di fuori degli obblighi di legge, sia con riferimento agli adempimenti (per esempio: pubblicità legale), sia riguardo al tempo di pubblicazione (per esempio: oltre il termine di legge), sia per l’eventuale indicizzazione che non ne consenta la completa rimozione

    GLI OBBLIGHI IN CASO DI VIOLAZIONE

  • La notifica al Garante

    L’articolo 33 del Regolamento prevede che:1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

    2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

    3. La notifica di cui al paragrafo 1 deve almeno:

    a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

    b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

    c) descrivere le probabili conseguenze della violazione dei dati personali;

    d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

  • COME INVIARE LA NOTIFICA AL GARANTE?A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile  all’indirizzo https://servizi.gpdp.it/databreach/s/ (VEDI: Provvedimento del 27 maggio 2021).

    Nella stessa pagina è disponibile un modello facsimile, da NON utilizzare per la notifica al Garante ma utile per vedere in anteprima i contenuti che andranno comunicati al Garante.

    Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.

  • la comunicazione all’interessato

l’articolo 34 prevede che

1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).

3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

-> torna all’indice

Total Page Visits: 2726 - Today Page Visits: 3