Violazioni dati personali (data breach) – come comportarsi

Per violazione dei dati personali si intendono diversi accadimenti che coinvolgono da un lato il titolare del trattamento e dall’altro l’interessato:

  • la distruzione dei dati personali
  • la perdita dei dati
  • la modifica
  • la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati, in modo accidentale o illecito.

Nel Regolamento Europeo Protezione Dati Personali (GDPR Ue 679/2016), due articoli, 33 e 34, sono dedicati alla disciplina in caso di violazione dei dati personali (data breach).

Obblighi in caso di violazione dei dati personali

Nel caso in cui si verifichi una di queste ipotesi, sono previsti degli obblighi per il titolare del trattamento che ne sia venuto a conoscenza dal responsabile del trattamento.

Innanzitutto, è necessario che il titolare del trattamento faccia una valutazione dei rischi per i diritti e le libertà delle persone interessate. La violazione è considerata a rischio se riguarda dati personali suscettibili di provocare un danno fisico, materiale o immateriale all’interessato.

Nel caso in cui il titolare del trattamento ritenga che esistano motivi di rischio, è obbligatorio che notifichi la violazione al Garante (art. 32-bis), se possibile entro 72 ore dal momento in cui sia venuto a conoscenza del fatto. Se ciò non avviene nei termini, è necessario allegare i motivi del ritardo.

Il Garante può decidere se il titolare del trattamento debba informare l’interessato dell’avvenuta violazione o se sia integrata un’ipotesi derogatoria.

La comunicazione all’interessato è comunque esclusa se:

  1. il titolare ha adottato le misure tecniche e organizzative adeguate di protezione, come ad esempio la cifratura
  2. a seguito della violazione, ha messo in atto misure che scongiurino il sopraggiungere di un rischio elevato per i diritti e le libertà dell’interessato.

La comunicazione agli interessati può essere fatta in forma pubblica o con misura simile quando la comunicazione privata richiede sforzi sproporzionati.

In ogni caso, anche se non comunicate al Garante né alle persone interessate, le violazioni dei dati devono essere documentate da parte del titolare del trattamento.

Contenuto minimo di notificazione al Garante e comunicazione agli interessati

La notificazione al Garante e la comunicazione all’interessato, in caso di violazione dei dati, devono contenere:

  • nome e dati di contatto del responsabile della protezione dei dati; è accettato anche un altro contatto a cui rivolgersi per avere ulteriori informazioni
  • la descrizione delle probabili conseguenze della violazione
  • la descrizione delle misure messe in atto o che si propongono per ridurre gli effetti negativi della violazione o per scongiurarli
  • al Garante, la natura della violazione con l’indicazione del numero degli interessati e della categoria dei dati personali coinvolti.

Se non è possibile fornire  nella prima notifica tutte le informazioni, è possibile aggiungere con tempestività le informazioni mancanti in un secondo momento.

Sanzioni

Se non vengono rispettate le procedure di notifica della violazione, si applica la sanzione amministrativa:

  • 10 milioni di euro
  • oppure il 2% del fatturato mondiale annuo del titolare del trattamento.

Queste sanzioni possono essere raddoppiate in caso di illecito. Gli Stati Membri hanno in materia di sanzioni una buona discrezionalità, quindi è possibile che le sanzioni non siano allineate in tutta Europa.

div#stuning-header .dfd-stuning-header-bg-container {background-image: url(https://theoriginalconsulting.com/wp-content/uploads/2018/05/banner-gdpr-background.jpg);background-size: cover;background-position: center bottom;background-attachment: initial;background-repeat: no-repeat;}#stuning-header div.page-title-inner {min-height: 650px;}
Translate »