In caricamento...

ISTRUZIONE OPERATIVA DATA BREACH

L’art. 33 del Regolamento Europeo 679/2016 (GDPR) e la normativa nazionale in vigore, impone al titolare del trattamento di notificare all’autorità di controllo la violazione di dati personali (data breach) entro 72 ore dal momento in cui ne viene a conoscenza.

L’obbligo di notifica scatta se la violazione, ragionevolmente, comporta un rischio per i diritti e le libertà delle persone fisiche, qualora, poi, il rischio fosse elevato, allora, oltre alla notifica, il titolare è tenuto a darne comunicazione all’interessato. Il termine per adempiere alla notifica è brevissimo, 72 ore dal momento in cui il titolare ne viene a conoscenza, mentre, l’eventuale comunicazione agli interessati, deve essere fatta senza indugio.

L’eventuale ritardo nella notificazione deve essere giustificato, il mancato rispetto dell’obbligo di notifica, invece, pone l’autorità di controllo nella condizione di applicare le misure correttive a sua disposizione ovvero: l’esercizio dei poteri previsti dall’art.58 GDPR (avvertimenti, ammonimenti, ingiunzioni, imposizione di limiti al trattamento, ordine di rettifica, revoca di certificazioni, ordine di sospendere flussi dati), la imposizione di sanzioni amministrative secondo l’art. 83 GDPR e della normativa nazionale in vigore.

Per “Violazione di dati” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (Art. 4 p.12 del GDPR).

La violazione di dati è un particolare tipo di incidente di sicurezza, per effetto del quale, il titolare non è in grado di garantire il rispetto dei principi prescritti dall’art. 5 del GDPR per il trattamento dei dati personali.

Preliminarmente, dunque, il titolare deve poter identificare l’incidente di sicurezza in genere, quindi, comprendere che l’incidente ha impatto sulle informazioni e, infine, che tra le informazioni coinvolte dall’incidente vi sono dati personali.

L’art. 33 p.5 del GDPR prescrive al titolare di documentare qualsiasi violazione dei dati personali, al fine di consentire all’autorità di controllo di verificare il rispetto della norma.

L’art. 33 p.2 GDPR prevede espressamente il dovere per il responsabile, quando viene a conoscenza di una violazione, di informare, senza ingiustificato ritardo, il titolare. E’ importante che sia dimostrabile il momento della scoperta dell’incidente, poiché da quel momento decorrono le 72 ore per la notifica.

Si possono distinguere tre tipi di violazioni:

1. violazione di riservatezza, ovvero quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale;

2. violazione di integrità, ovvero quando si verifica un’alterazione di dati personali non autorizzata o accidentale;

3. violazione di disponibilità, ovvero quando si verifica perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati personali.
Una violazione potrebbe comprendere una o più tipologie.

Per comprendere quando notificare la violazione è opportuno effettuare una valutazione dell’entità dei rischi:
▪ Rischio assente: la notifica al Garante non è obbligatoria.
▪ Rischio presente: è necessaria la notifica al Garante.
Pag. 2 / 2
▪ Rischio elevato: In presenza di rischi “elevati”, è necessaria la comunicazione agli interessati. Nel momento in cui il titolare del trattamento adotta sistemi di crittografia dei dati, e la violazione non comporta l’acquisizione della chiave di decrittografia, la comunicazione ai soggetti interessati non sarà un obbligo.
I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione può, a titolo di esempio:
▪ coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
▪ riguardare categorie particolari di dati personali;
▪ comprendere dati che possono accrescere ulteriormente i potenziali rischi (es. dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
▪ comportare rischi imminenti e con un’elevata probabilità di accadimento (es. rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
▪ impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (es. pazienti, minori, soggetti indagati).
Per la notifica della violazione e la comunicazione al Garante occorre compilare gli appositi moduli messi a disposizione.