il “data breach”: che cosa fare in caso di violazione del trattamento

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?* 

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Si verifica:

• una violazione della riservatezza in caso di divulgazione dei dati o accesso agli stessi non autorizzati o accidentali;
• una violazione dell’integrità in caso di modifica non autorizzata o accidentale dei dati;
• una violazione della disponibilità in caso di perdita o distruzione non autorizzate o accidentali di dati.

Alcuni possibili esempi:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Quando si verifica una delle situazioni prima descritte, ogni dipendente è tenuto a informare IMMEDIATAMENTE il Responsabile del trattamento che, solitamente, è il Responsabile dell’Ufficio.

Quest’ultimo ha l’obbligo di attivarsi affinché, entro 72 ore dal momento in cui ne è venuto a conoscenza, la violazione sia notificata al Garante per la protezione dei dati personali

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

COME INVIARE LA NOTIFICA AL GARANTE?

La notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile  all’indirizzo https://servizi.gpdp.it/databreach/s/ (VEDI: Provvedimento del 27 maggio 2021).

Nella stessa pagina è disponibile un modello facsimile, da NON utilizzare per la notifica al Garante ma utile per vedere in anteprima i contenuti che andranno comunicati al Garante.

Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.