Secondo quanto previsto dall’art. 4 del Regolamento (UE) 2016/679 (di seguito, “GDPR”), per “data breach”, o violazione dei dati personali si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Cosa comporta e perché si verifica un “data breach”
La natura della violazione può essere classificata in base ai seguenti principi di sicurezza delle informazioni:
- perdita di confidenzialità: diffusione, accesso non autorizzato o accidentale;
- perdita di integrità: modifica non autorizzata o accidentale;
- perdita di disponibilità: impossibilità di accesso, perdita, distruzione non autorizzata o accidentale.
Il Data Breach si verifica perché le misure di sicurezza messe in atto dall’organizzazione non sono state sufficienti a fronte di qualsiasi evento negativo.
Gli obblighi specifici in capo al titolare del trattamento
In determinati casi, il GDPR pone in capo al titolare del trattamento specifici obblighi:
- documentare eventuali violazioni dei dati personali, compresi i fatti relativi alla violazione dei dati personali, i suoi effetti e le azioni correttive intraprese (Articolo 33 GDPR);
- notificare la violazione dei dati personali all’autorità di controllo, a meno che non sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche (Articolo 33 GDPR);
- comunicare la violazione dei dati personali all’interessato quando è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche.
L’obbligo sussiste in tutte le occasioni in cui la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche e deve essere notificata all’autorità di controllo competente entro 72 ore dal momento in cui il Titolare è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
La notifica di data breach
La notifica deve:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze delle violazioni dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.
E voi avete già adottato una procedura data breach in azienda? Avete mai subìto una violazione di dati personali?
Per saperne di più sul tema, sulla formazione o sui servizi, contatta l’Ufficio Legale & Privacy:
Giulia Gualandi
Susanna Viggiani
E-mail – Privacy@assimprese.bo.it
Telefono – 051 5288615