GDPR: Cosa significa Data Breach
Per data breach si intende la violazione dei dati personali che obbliga il titolare del trattamento ad alcuni adempimenti a tutela dell’interessato.
E’ definita violazione di dati personali la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Il legislatore europeo ha considerato che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio la perdita del controllo dei dati che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, pregiudizio della reputazione, perdita della riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica.
Quali sono i rimedi stabiliti dal regolamento europeo?
Il regolamento europeo 679/2016 ha stabilito che in caso di violazione dei dati personali, il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza.
Il titolare del trattamento a sua volta notifica la violazione all’autorità di controllo competente, senza ingiustificato ritardo, e ove possibile entro le 72 ore dal momento in cui ne è venuto a conoscenza.
Se la notifica non è effettuata entro 72 ore il ritardo deve essere motivato.
Esclusione dell’obbligo di notifica
Non si è tenuti alla notifica qualora sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Contenuto della notifica
- a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- c) descrivere le probabili conseguenze della violazione dei dati personali;
- d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi
Comunicazione della violazione all’interessato
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
Tuttavia non è richiesta la comunicazione all’interessato se è soddisfatta una delle seguenti condizioni:
- a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
(Autore E. Di Mauro)