data breach

Il Data-Breach รจ definito e normato dagli articoli 33 e 34 del GDPR. Un tema molto importante che sarebbe opportuno conoscere in modo approfondito, onde evitare di subire le gravi sanzioni che dipendono proprio dalle violazioni dei dati personali.

Cerchiamo di riepilogare che cosa prevede la normativa in vigore, riepilogando gli articoli del GDPR che si occupano in modo diretto del Data-Breach.

Data-Breach: cosa significa e come agire?

Il Data Breach rappresenta la violazione dei sistemi di sicurezza che comporta in modo illecito oppure in modo accidentale la: perdita, distruzione, modifica, divulgazione senza autorizzazione, accesso ai dati personali che erano conservati, trasmessi o trattati.

Dunque, con il Data Breach si identifica una violazione nel trattamento dei dati personali compromettendo l’integritร  e riservatezza dei dati personali, richiedendo di conseguenza una notifica della violazione all’autoritร  di controllo.

In tale ambito di analisi, iniziamo con lโ€™art. 33 GDPR โ€“ Regolamento Generale sulla Protezione dei Dati (UE/2016/679), che disciplina la notifica di una violazione dei dati personali allโ€™autoritร  di controllo.

1.   In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione allโ€™autoritร  di controllo competente a norma dellโ€™articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne รจ venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertร  delle persone fisiche. Qualora la notifica allโ€™autoritร  di controllo non sia effettuata entro 72 ore, รจ corredata dei motivi del ritardo.

2.   Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3.   La notifica di cui al paragrafo 1 deve almeno:

a)descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonchรฉ le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b)comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere piรน informazioni;
c)descrivere le probabili conseguenze della violazione dei dati personali;
d)descrivere le misure adottate o di cui si propone lโ€™adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4.   Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5.   Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente allโ€™autoritร  di controllo di verificare il rispetto del presente articolo.

La comunicazione di una violazione dei dati personali allโ€™interessato

Lโ€™art. 34 GDPR โ€“ Regolamento Generale sulla Protezione dei Dati (UE/2016/679) si occupa invece di condividere cosa accade nelle ipotesi di violazione, e la conseguente comunicazione di una violazione dei dati personali allโ€™interessato.

1.   Quando la violazione dei dati personali รจ suscettibile di presentare un rischio elevato per i diritti e le libertร  delle persone fisiche, il titolare del trattamento comunica la violazione allโ€™interessato senza ingiustificato ritardo.

2.   La comunicazione allโ€™interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui allโ€™articolo 33, paragrafo 3, lettere b), c) e d).

3.   Non รจ richiesta la comunicazione allโ€™interessato di cui al paragrafo 1 se รจ soddisfatta una delle seguenti condizioni:

a)il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b)il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertร  degli interessati di cui al paragrafo 1;
c)detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4.ย ย ย Nel caso in cui il titolare del trattamento non abbia ancora comunicato allโ€™interessato la violazione dei dati personali, lโ€™autoritร  di controllo puรฒ richiedere, dopo aver valutato la probabilitร  che la violazione dei dati personali presenti un rischio elevato, che vi provveda o puรฒ decidere che una delle condizioni di cui al paragrafo 3 รจ soddisfatta.

Cta Gdpr

Per capire quanto sia semplice, se non si adottano le corrette misure di sicurezza, subire un data-breach, basti pensare al semplice virus sul nostro computer o ad un malfunzionamento del nostro sito internet che metta in chiaro gli eventuali dati di utenti che siano stati memorizzati nel database del sito web.

Ad ogni modo, vista la completezza di informazioni presente sul sito del Garante, preferisco rimandarvi alle sue pagine.

Necessiti di una Consulenza GDPR Sito Web o aziendale? Se hai bisogno di trattare i dati personali nel rispetto della normativa, ma non sai come fare, o non sai se stai seguendo al meglio la normativa: non esitare a contattarmi per una consulenza! Evita le possibili sanzioni salate, e agisci lavorando in linea con il GDPR!