Cos’è una violazione dei dati personali e come procedere in caso di Data Breach.
Con la violazione dei dati personali, detta data breach, si intende qualsiasi violazione della sicurezza che comporta l’accesso, la perdita, distruzione o la divulgazione non autorizzata dei dati personali. Nelle ipotesi di data breach vi rientrano anche l’accesso non consento dai dati personali in possesso del soggetto.
Con la violazione dei dati si compromette non solo la riservatezza ma anche l’integrità e la disponibilità dei medesimi. Il Data Breach può essere anche dovuto ad azioni involontarie, causate da scarse misure di conservazione e sicurezza dei dati.
Tipologia di violazioni
Le violazioni ai dati possono essere di molteplici tipi. Possono infatti riguardare la perdita dei dati raccolti dal titolare del trattamento. Al contempo, possono riguardare la perdita della riservatezza o la divulgazione non autorizzata.
Di importanza fondamentale è conoscere quando tali violazioni comportino per il titolare un dovere di notifica al soggetto preposto. Vanno infatti notificate al Garante le violazioni che comportano un rischio per i diritti e le libertà delle persone fisiche. L’obbligo di notifica riguarda pertanto le violazioni che possono comportare un danno per i soggetti coinvolti.
La notifica non è obbligatoria quanto è improbabile che la violazione possa mettere a rischio le libertà o i diritti dei soggetti. Questo anche alla luce dei considerando 75 e 76 del Regolamento G.d.p.r.
Violazione dei dati personali e comunicazione al Garante della Privacy
Nei casi nei quali si realizzi una violazione dei dati il titolare del trattamento deve notificare al Garante della Privacy la violazione dei dati. Tale notifica deve essere eseguita nel più breve tempo possibile, entro 72 ore dal momento nel quale si viene a conoscenza della violazione.
La notifica va svolta nelle forme e con i contenuti indicati dall’art. 33, par. 3 del Regolamento (UE) 2016/679.
Sul titolare grava, inoltre, l’obbligo di mitigare e contenere la violazione, prendendo le opportune misure. Se la violazione comporta un rischio elevato per i diritti dei soggetti coinvolti, il titolare deve dare comunicazione della violazione agli interessati.
Deve inoltre essere predisposto dal titolare del trattamento un registro per la documentazione dei tutte le violazioni, anche quelle che non richiedono la comunicazione al Garante della Privacy.
Hai bisogno di una consulenza in materia? Vuoi un colloquio con i nostri professionisti? Non esitare a contattarci per fissare un appuntamento.