Il Data-Breach è definito e normato dagli articoli 33 e 34 del GDPR. Un tema molto importante che sarebbe opportuno conoscere in modo approfondito, onde evitare di subire le gravi sanzioni che dipendono proprio dalle violazioni dei dati personali.
Cerchiamo di riepilogare che cosa prevede la normativa in vigore, riepilogando gli articoli del GDPR che si occupano in modo diretto del Data-Breach.
Data-Breach: cosa significa e come agire?
Il Data Breach rappresenta la violazione dei sistemi di sicurezza che comporta in modo illecito oppure in modo accidentale la: perdita, distruzione, modifica, divulgazione senza autorizzazione, accesso ai dati personali che erano conservati, trasmessi o trattati.
Dunque, con il Data Breach si identifica una violazione nel trattamento dei dati personali compromettendo l’integrità e riservatezza dei dati personali, richiedendo di conseguenza una notifica della violazione all’autorità di controllo.
In tale ambito di analisi, iniziamo con l’art. 33 GDPR – Regolamento Generale sulla Protezione dei Dati (UE/2016/679), che disciplina la notifica di una violazione dei dati personali all’autorità di controllo.
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
| a) | descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; |
| b) | comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; |
| c) | descrivere le probabili conseguenze della violazione dei dati personali; |
| d) | descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. |
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
La comunicazione di una violazione dei dati personali all’interessato
L’art. 34 GDPR – Regolamento Generale sulla Protezione dei Dati (UE/2016/679) si occupa invece di condividere cosa accade nelle ipotesi di violazione, e la conseguente comunicazione di una violazione dei dati personali all’interessato.
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
| a) | il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; |
| b) | il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; |
| c) | detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. |
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
Per capire quanto sia semplice, se non si adottano le corrette misure di sicurezza, subire un data-breach, basti pensare al semplice virus sul nostro computer o ad un malfunzionamento del nostro sito internet che metta in chiaro gli eventuali dati di utenti che siano stati memorizzati nel database del sito web.
Ad ogni modo, vista la completezza di informazioni presente sul sito del Garante, preferisco rimandarvi alle sue pagine.
Necessiti di una Consulenza GDPR Sito Web o aziendale? Se hai bisogno di trattare i dati personali nel rispetto della normativa, ma non sai come fare, o non sai se stai seguendo al meglio la normativa: non esitare a contattarmi per una consulenza! Evita le possibili sanzioni salate, e agisci lavorando in linea con il GDPR!
