VIOLAZIONE DEI DATI PERSONALI
Come intervenire e cosa prevede la nuova procedura telematica disposta dal Garante della Privacy
La violazione dei dati personali (data breach) costituisce una violazione della sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati (art. 4 Regolamento UE n. 2016/679 – G.D.P.R.). Il data breach provoca quindi effetti negativi in termini di riservatezza, integrità o disponibilità dei dati personali.
In linea generale, sono numerosi e di svariata natura gli eventi che possono provocare una violazione dei dati personali; alcuni casi pratici sono illustrati sul sito del Garante della privacy:
– accesso o acquisizione di dati da parte di terzi non autorizzati
– furto o perdita di dispositivi informatici contenenti dati personali
– deliberata alterazione di dati personali
– impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware, ecc.)
– perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o calamità
– divulgazione non autorizzata dii dati personali.
PROCEDURE DA SEGUIRE
Il G.D.P.R. indica la procedura per i Titolari del trattamento sia pubblici che privati qualora si verifichi una violazione dei dati personali. Il Titolare senza ingiustificato ritardo, possibilmente entro 72 ore dall’avvenuta conoscenza dell’incidente, deve notificare la violazione dei dati personali all’Autorità Garante per la protezione dei dati personali. Tuttavia, non è dovuta la notificazione se risulta improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche coinvolte.
È fondamentale intervenire in maniera tempestiva per accertare le dinamiche, le cause, la portata dell’incidente e bloccare o limitare gli effetti. È quindi preminente capire se l’incidente ha coinvolto dati personali. Analizzare tutti i profili serve per valutare se procedere o meno alla notificazione della violazione dei dati personali. Il Garante indica che è necessario notificare se la violazione può produrre “effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali”. In ogni caso, eventuali incidenti di sicurezza, anche qualora si valuti di non procedere con la notificazione, dovranno essere registrati internamente. Così facendo sarà agevole motivare le scelte in caso di controlli.
La violazione potrebbe essere rilevata da un Responsabile del trattamento dei dati (es. un fornitore di determinati servizi o un consulente aziendale). In questa ipotesi il Responsabile deve comunicare tempestivamente l’evento al Titolare del trattamento. Sarà infatti il Titolare a valutare la procedura da adottare.
Inoltre, il G.D.P.R. impone al Titolare del trattamento di effettuare un’opportuna ed idonea comunicazione alle persone fisiche coinvolte se la violazione comporta un rischio elevato per i loro diritti. La comunicazione agli interessati non è dovuta quando il Titolare ha adottato misure adeguate in grado di ridurne l’impatto.
Il Titolare del trattamento che viola quanto previsto in caso di data breach può incorrere in una gravosa sanzione amministrativa; il Regolamento UE n. 2016/679 prevede fino a 10 milioni di euro (o il 2% del fatturato annuo della società).
NUOVA PROCEDURA TELEMATICA SUL SITO DEL GARANTE
Sul sito dell’Autorità Garante per la protezione dei dati personali sarà operativa, a partire dal mese di luglio, una nuova procedura telematica per le notificazioni di violazione dei dati personali.
Al fine di agevolare l’indicazione di tutti gli elementi relativi ad un incidente di sicurezza, verranno segnalati automaticamente i campi ancora da completare nel corso della procedura. Si offrirà altresì la possibilità di caricare documenti esplicativi. Le notificazioni andranno in ogni caso firmate digitalmente ma il sito agevola la pratica con istruzioni aggiornate e modelli di autovalutazione utili. Il Garante si mostra quindi partecipe alle esigenze delle parti e coinvolto nel migliorare ed agevolare il flusso comunicativo dalle imprese private e pubbliche.
MISURE DI SICUREZZA E COMPORTAMENTI CORRETTI
In ambito privacy gli obblighi ed i profili da considerare sono numerosi, in quanto costituisce una materia particolarmente trasversale. La normativa impone ai Titolare ed ai Responsabili del trattamento di adottare e di dimostrare comportamenti proattivi e rafforzati, nell’ottica della responsabilizzazione di tutti i livelli coinvolti (accountability). Ai sensi del G.D.P.R. – art. 5 – Il trattamento dei dati personali deve infatti garantire un’adeguata sicurezza che comprende la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali.
Le misure vanno accuratamente progettate (a monte) per i diversi trattamenti tenendo conto di tutti gli aspetti coinvolti e, soprattutto, vanno monitorate e mantenute adeguate nel tempo. In relazione ad esempio, alla realtà dell’Organizzazione, al contesto ed agli strumenti, alle finalità di trattamento, alla natura, quantità e tipologia dei dati personali ed alle caratteristiche degli interessati, si potranno scegliere le misure di sicurezza. In caso di violazione dei dati personali, dimostrare l’adeguatezza delle misure adottate rappresenta un elemento basilare per le valutazioni dell’autorità di controllo.
Al fine di gestire un data breach è quindi necessario definire chiaramente ruoli e responsabilità, prevedere una buona organizzazione delle risorse, adottare procedure concrete e lineari e misure tecniche ed informatiche adeguate e controllate. Diffondere una sensibilità ed una cultura della sicurezza dei dati da proteggere rappresenta un punto fondamentale sul quale far leva. La sicurezza in molti casi è infatti strettamente legata dalla percezione del rischio da parte di ciascuno di noi.
Fonte: https://www.garanteprivacy.it/regolamentoue/databreach
