Data Breach GDPR: come prevenirlo? Come rimediare alle eventuali violazioni di dati personali? Ecco alcune indicazioni del Garante della Privacy.
Una guida dedicata a cosa fare in caso di Data Breach GDPR, violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. A chi rivolgersi? Come comunicarle? La risposta è nelle linee guida del Garante della Privacy.
Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi:
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
La notifica deve contenere almeno le informazioni sinteticamente riportate in questa pagina (art. 33, par. 3 del Regolamento (UE) 2016/679):
La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Fonte: articolo di redazione lentepubblica.it
[…] valutare le circostanze in cui il titolare deve notificare al Garante privacy, ed eventualmente agli interessati, la violazione di dati personali; […]
[…] data breach, o violazioni dei dati, hanno rappresentato un’altra minaccia costante per la sicurezza delle […]
[…] a UniCredit e una di 800.000 euro alla società incaricata dei test di sicurezza, in seguito a una violazione dei dati personali che ha coinvolto migliaia di clienti ed ex clienti della […]