Violazione dei dati personali: cosa fare in caso di Data breach?
Ai sensi del GDPR (Regolamento UE 2016/679) e più precisamente dell'art. 4, per "violazione dei dati personali" si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati (c.d. "data breach").
Intendendo per
- Distruzione: ogni qual volta gli stessi non esistono più o non esistono più in una forma che sia di qualche utilità per il titolare del trattamento;
- Danno: quando i dati personali sono stati modificati, corrotti o non sono più completi;
- Perdita: nel caso in cui i dati potrebbero comunque esistere, ma il titolare del trattamento potrebbe averne perso il controllo o l'accesso, oppure non averli più in possesso.
- Trattamento non autorizzato o illecito: quando viene effettuata una divulgazione di dati personali a (o l'accesso da parte di) destinatari non autorizzati a ricevere (o ad accedere a) i dati oppure quando viene svolta qualsiasi altra forma di trattamento in violazione del regolamento.
In sostanza, la conseguenza della violazione consiste nella situazione di fatto del titolare del trattamento il quale si trova non più in grado di garantire l'osservanza dei principi relativi al trattamento dei dati personali sanciti dal GDPR.
Cosa fare in caso di violazione dei dati: le indicazioni del Garante Privacy
Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l'impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all'Autorità Garante di effettuare eventuali verifiche sul rispetto della normativa.
A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata all'Autorità Garante tramite un'apposita procedura telematica, resa disponibile nel portale dei servizi online dell'Autorità, e raggiungibile all'indirizzo https://servizi.gpdp.it/databreach/s/.
Nella stessa pagina è disponibile un modello facsimile, da non utilizzare per la notifica al Garante ma utile per vedere in anteprima i contenuti che andranno comunicati al Garante.
Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assesment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.
A seguito della notifica, l'Autorità Garante della protezione dei dati personali può prescrivere misure correttive ex art. 58, paragrafo 2, del GDPR nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l'adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.