Violazione dei dati personali («data breach»)
La violazione dei dati personali
È la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Non è limitato alla sola perdita di dati o all’accesso non autorizzato.
Esempi: l’accesso ai dati da parte di persona non autorizzata; l’accidentale o illecita azione (o inazione) da parte del titolare o del responsabile; l’invio di dati a destinatario non corretto; la perdita o il furto di device contenenti dati personali; l’alterazione o la modifica non autorizzata di dati personali; la perdita della disponibilità di dati personali.
Quando un evento dannoso occorre, stabilire tempestivamente se si tratta di un «data breach» e prendere gli accorgimenti necessari per affrontarlo, ivi compresa, se prescritta, la notifica all’autorità di controllo e, se del caso, la comunicazione agli interessati i cui dati sono stati violati.
Tenere comunque un registro delle violazioni dei dati personali, siano queste da notificare all’autorità di controllo e da comunicare agli interessati oppure no.
Quando è richiesta la notifica di una violazione di dati personali all’autorità di controllo
Il GDPR stabilisce che il «data breach» deve essere notificato soltanto quando la violazione può comportare un rischio per i diritti e le libertà delle persone. Quindi, bisogna considerare la probabilità e la severità dell’evento per valutare se può produrre un rischio per i diritti e le libertà degli interessati. Per esempio, considerare i seguenti elementi:
1. tipo di dati personali violati (es.: dati considerati di estrema riservatezza, categorie particolari di dati personali)
2. quantità di interessati coinvolti
3. effetti che la violazione comporta agli interessati (es.: furto identità, perdita controllo dei dati, conseguenze negative economiche, finanziarie, fisiche, psicologiche).
Esempio da notificare: furto di un archivio contenente dati personali di propri clienti: ci può essere furto di identità o uso fraudolento di dati sui mezzi di pagamento (conseguenze di perdita economica o analoghe)
Esempio da non notificare: la perdita o l’accesso indebito di agende con numeri di telefono del proprio staff.
Sussistendo le condizioni dell’accadimento di un «data breach», vi è obbligo di notifica all’autorità di controllo «senza ingiustificato ritardo», ma comunque «entro 72 ore» da quando si è avuta conoscenza dello stesso. Se il termine non è rispettato, occorre spiegare quali ragioni hanno differito la notifica.
Il Garante ha messo a disposizione un modello in formato PDF, scaricabile gratuitamente, per notificare una violazione di dati personali.
Quando è richiesta la comunicazione della violazione dei dati personali agli interessati
La comunicazione della violazione dei dati personali agli interessati è dovuta soltanto quando è suscettibile di presentare un rischio elevato ai diritti e alle libertà delle persone coinvolte. In linea di principio, la comunicazione deve essere indirizzata direttamente agli interessati coinvolti. Pur tuttavia, il GDPR riconosce che ciò potrebbe comportare uno sforzo sproporzionato. In questo caso, il titolare può informare gli interessati con metodi alternativi e di uguale efficacia (es.: una comunicazione pubblica). Inoltre, il GDPR stabilisce condizioni che, se soddisfatte, esimono il titolare dalla comunicazione della violazione agli interessati coinvolti.
Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.