Cos’è un Data Breach
Può capitare che, nello svolgimento dell’attività lavorativa, si verifichi una violazione di sicurezza che possa compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
In questi casi si parla di Data Breach. Un Data breach può avvenire accidentalmente, per errore umano, o per volontà illecita di un dipendente o un collaboratore o soggetti estranei. E può comportare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Alcuni possibili esempi di Data Breach (secondo anche le indicazioni del Garante privacy) sono:
– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
– il furto o la perdita di dispositivi informatici contenenti dati personali;
– la deliberata alterazione di dati personali;
– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
– la divulgazione non autorizzata dei dati personali.
Come comportarsi
Il titolare del trattamento, entro 72 ore dal momento in cui è venuto a conoscenza della violazione (salvo motivate ragioni che richiedano un maggior lasso di tempo), deve notificare la violazione al Garante per la protezione dei dati personali.
Inoltre, se la violazione può comportare un rischio elevato per i diritti degli interessati, il titolare deve effettuare la comunicazione anche nei loro confronti, a meno che abbia già preso misure idonee a ridurre l’impatto del Data Breach.
Infine, il titolare del trattamento deve documentare e tenere traccia di tutte le violazioni avvenute, per esempio annotandole in un apposito registro.
Nuovo servizio online del Garante
Da dicembre 2020 il Garante offre un nuovo servizio per supportare i titolari del trattamento negli adempimenti previsti in caso di violazione di dati personali.
Ogni titolare può accedere al modello di notifica predisposto dal Garante e alla procedura di auto-valutazione presenti sul sito.
Deve scaricare il modello sul proprio dispositivo, compilarlo e firmarlo digitalmente (con firma elettronica qualificata/firma digitale) oppure con firma autografa.
Terminata questa fase, il titolare deve effettuare la notifica al Garante tramite pec all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it, indicando obbligatoriamente nell’oggetto del messaggio “NOTIFICA VIOLAZIONE DATI PERSONALI” ed eventualmente anche la denominazione del titolare del trattamento.
Possibili conseguenze
A seguito della notifica, il Garante potrà prescrivere al titolare delle misure correttive anche relative all’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
In alcuni casi sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.