I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Una tale violazione viene denominata “Data breach” e può comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.
Cos’è un “Data Breach”
Con il termine “data breach” si intende una violazione di dati personali, che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una tale violazione di sicurezza può compromettere la riservatezza, l’integrità o la disponibilità di dati personali, mettendo così a rischio i diritti e la libertà delle persone fisiche.
Si possono distinguere tre tipologie di violazione (che potrebbero persino essere combinate tra loro):
- “Confidentiality Breach, quando vi è un accesso accidentale o abusivo a dati personali;
- “Availability Breach”, quando vi è una perdita o distruzione accidentale o non autorizzata dal dato personale;
- “Integrity Breach”, quando vi è un’alterazione accidentale o non autorizzata del dato personale.
Alcuni esempi
- Divulgazione di dati a persone non autorizzate, Invio di email contenenti dati personali e/o particolari a destinatario errato
- Perdita o furto di dati o di strumenti nei quali i dati sono memorizzati
- Perdita o furto di documenti cartacei
- Illecito da parte di un dipendente
- Accesso abusivo e casi di pirateria informatica
- Banche dati alterate o distrutte senza autorizzazione rilasciata dal relativo “owner”
- Violazione di misure di sicurezza fisica (es. forzatura di porte o finestre di stanze di sicurezza o archivi contenenti informazioni riservate)
- Smarrimento di devices o attrezzature informatiche
- Perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità
Cosa fare in caso di “data breach”
L’art. 33 del Regolamento Europeo 2016/679 (GDPR) impone al titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) di notificare, senza ingiustificato ritardo, e ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza, al Garante per la privacy, la violazione di dati personali (cd. data breach), a meno che sia improbabile che tale violazione comporti un rischio per i diritti e le libertà delle persone fisiche.
In un’ottica aziendale accade spesso che il Responsabile del trattamento venga a conoscenza dell’avvenuta violazione della banca dati prima del Titolare, pertanto sarà tenuto ad informare tempestivamente quest’ultimo in modo che possa attivarsi.
In tal senso è buona prassi prima di qualsiasi trattamento di dati predisporre un documento cd. Privacy Level agreement (PLA), contenente tutte le istruzioni dettagliate in punto alle procedure di sicurezza informatica da adottare nonché i termini perentori (di norma entro 24/48 ore dal data breach) entro i quali il responsabile deve comunicare al titolare eventuali violazioni.
Quali violazioni vanno notificate
Occorre notificare unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, comporta un rischio per i loro diritti e la loro libertà.
Ciò vale a dire i data breach idonei a causare danni fisici, materiali o immateriali alle persone fisiche.
Ciò può includere, ad es., la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
Trova online il tuo Avvocato e ottieni subito una Consulenza legale
Cosa deve contenere la notifica all’Autorità di Controllo
Lo scopo della notifica è di limitare i danni che possono derivare per effetto di una violazione a carico degli interessati e l’efficacia di questo dovere di limitazione dipende dalla tempestività e dall’adeguatezza con cui la violazione è affrontata.
La notifica al Garante Privacy deve:
– Descrivere la natura della violazione dei dati personali compresi, ove possibili, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
– Comunicare il nome dei dati di contratto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni;
– Descrivere le probabili conseguenze della violazione dei dati personali;
– Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
In ogni caso, il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali, ad es. predisponendo un apposito registro.
Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Come inviare la notifica al Garante
La notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, nel quale è reperibile anche un modello fac simile.
Oltretutto per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.
Quando occorre comunicare agli interessati un data breach
Come detto, l’obbligo di notifica scatta se la violazione, ragionevolmente, comporta un rischio per i diritti e la libertà delle persone fisiche, tuttavia qualora il rischio fosse elevato, allora, oltre alla notifica, il titolare è tenuto a darne comunicazione agli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
In particolare, la comunicazione deve:
– Descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali.
– Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni.
– Descrivere le probabili conseguenze della violazione dei dati personali.
– Descrivere le misure adottate o di cui si propone l’adozione da parte dei titolari per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
La comunicazione dovrebbe essere data direttamente e personalmente agli interessati coinvolti dalla violazione, a meno che ciò comporti sforzi sproporzionati.
In tal caso, si procede invece ad una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con la medesima efficacia.
La comunicazione deve essere distinguibile rispetto altre diverse comunicazioni che vengono fatte dal titolare agli interessati, in altri termini, la comunicazione deve essere chiara, inequivocabile e richiamare l’attenzione dell’interessato.
Quali azioni può intraprendere l’Authority
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, GDPR) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Sono inoltre previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
