La scheda recentemente pubblicata sul sito del Garante, molto comprensibile e di facile accesso anche ai non addetti ai lavori, fornisce delle chiare indicazioni, accompagnate da esempi pratici, sulle azioni da intraprendere in caso di violazione dei dati personali.
Un data breach, in base all’art. 4 del GDPR, consiste in “una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”, come ad esempio:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware; - la perdita o la distruzione di dati a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Il titolare del trattamento, che sia un soggetto pubblico o privato, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Se la violazione, invece, comporta un rischio elevato per i diritti delle persone, il titolare deve anche comunicarla agli interessati.
A prescindere dalla notifica al Garante, il titolare del trattamento deve, comunque, documentare tutte le violazioni dei dati personali. Tale documentazione consentirà all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
Per agevolare gli utenti nella notifica al Garante è stata predisposto un modello che può essere scaricato, compilato, sottoscritto digitalmente o con firma autografa (in quest’ultimo caso deve essere accompagnato da copia del documento d'identità del firmatario) e, successivamente, inviato tramite posta elettronica a protocollo@pec.gpdp.it. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”. A breve sarà disponibile anche una procedura online.
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del GDPR) e/o prescrivere sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Modello per la notifica del data breach:
FONTE: Garante per la protezione dei dati personali
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9128501