Una violazione dei dati personali o data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Dal punto di vista pratico, l’evento può colpire:
-
riservatezza (i dati finiscono a chi non deve vederli),
-
integrità (i dati vengono alterati),
-
disponibilità (i dati non sono accessibili quando servono).
Esempi frequenti di data breach? Tra i casi più comuni rientrano:
-
accesso o acquisizione dei dati da parte di terzi non autorizzati;
-
furto o smarrimento di dispositivi informatici che contengono dati personali;
-
alterazione deliberata dei dati;
-
indisponibilità dei dati per cause accidentali o per attacchi esterni (virus, malware, ecc.);
-
perdita o distruzione dei dati a causa di incidenti, incendi, eventi avversi o calamità;
-
divulgazione non autorizzata di dati personali.
Cosa bisogna fare quando si scopre una violazione?
Dopo una violazione, conta la rapidità, ma serve anche metodo. Di conseguenza, l’organizzazione deve agire subito e documentare ogni passaggio.
Secondo il Regolamento (UE) 2016/679, il titolare del trattamento deve notificare la violazione al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.
Quando la notifica avviene oltre le 72 ore occorre indicare i motivi del ritardo.
Nel frattempo, il responsabile del trattamento, quando viene a conoscenza di una possibile violazione, deve informare tempestivamente il titolare, così da permettergli di attivarsi.
Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla agli interessati usando canali idonei, tuttavia può evitare la comunicazione se ha già adottato misure in grado di ridurre significativamente l’impatto.
A prescindere dalla notifica al Garante, infine, il titolare deve documentare tutte le violazioni, per esempio tramite un apposito registro. Così facendo l’Autorità può verificare il rispetto della normativa e la correttezza della gestione dell’evento.
Quali violazioni vanno notificate?
Non tutte le violazioni richiedono una notifica. Vanno notificate quelle che possono causare effetti avversi significativi sulle persone, producendo danni fisici, materiali o immateriali.
Queste possono rientrare nella casistica:
-
perdita del controllo sui dati personali;
-
limitazione di diritti;
-
discriminazione;
-
furto d’identità o rischio di frode;
-
perdita di riservatezza di dati protetti da segreto professionale;
-
perdita finanziaria;
-
danno reputazionale;
-
altri svantaggi economici o sociali rilevanti.
Come inviare la notifica al Garante?
Dal 1° luglio 2021 la notifica di una violazione di dati personali si invia tramite la procedura telematica disponibile nel portale dei servizi online del Garante. Di conseguenza, per rispettare i requisiti richiesti, è utile seguire la compilazione guidata e inserire le informazioni in modo completo e coerente.
Nella stessa area è presente anche un modello fac-simile, utile per vedere in anteprima quali contenuti verranno richiesti. Tuttavia, quel fac-simile non deve essere utilizzato per inviare la notifica ufficiale.
Per semplificare gli adempimenti, inoltre, il Garante mette a disposizione uno strumento di autovalutazione (self assessment) che aiuta a individuare le azioni da intraprendere dopo una violazione derivante da un incidente di sicurezza.
Le azioni del Garante e le sanzioni
Quando l’Autorità rileva una violazione delle disposizioni del Regolamento (UE) 2016/679, può prescrivere misure correttive (art. 58, par. 2). Allo stesso tempo, può intervenire sull’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati coinvolti.
Infine, sono previste sanzioni pecuniarie fino a 10 milioni di euro oppure, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale, applicando l’importo più elevato.
