violazione dei dati personali e GDPR: cosa fare in caso di Data Breach

Nel 2017 sono state adottate le Guidelines on Personal Data Breach Notification Under Regulation che integrano le disposizioni previste dal GDPR (General Data Protection Regulation) in materia di responsabilità e procedure in caso di violazioni di dati personali (data breach). Si tratta in sostanza di eventi che possono compromettere i dati personali 

Nel General Data Protection Regulation, ossia il Regolamento europeo per la protezione dei dati personali, viene indicata la necessità di istituire all'interno di talune aziende la figura di un responsabile del trattamento dati il quale, in caso di violazione, assume un ruolo chiave nell’assistere il Titolare nel prevenire o mitigare un data breach.
Il titolare del trattamento dei dati, infatti, ha l’obbligo di segnalare all’autorità di controllo le violazioni dei dati, entro 72 ore dal momento in cui è venuto a conoscenza. 
Questa notifica ha l'importante funzione di consentire la predisposizione di misure di tutela immediate e pertanto deve essere il più tempestiva possibile. È infatti previsto, su specifica autorizzazione del titolare, che il responsabile stesso possa eseguire personalmente la notifica per suo conto abbreviando l'iter, tuttavia non assumendosi alcun tipo di responsabilità nei confronti dell’autorità e degli interessati. Queste responsabilità, infatti, rimangono di competenza del titolare del trattamento. 

Nel caso in cui la violazione dei dati oltrepassi i confini nazionali, si considera come autorità di controllo competente quella all'interno dello Stato in cui si trova la sede principale del titolare oppure del responsabile del trattamento dei dati. Vige comunque la possibilità di notificare la violazione a tutte le autorità degli Stati coinvolti. 

Quali informazioni deve riportare la notifica di violazione dei dati personali 

Secondo quanto stabilito dall’art. 33 del GDPR, la notifica di violazione dei dati deve riportare le seguenti informazioni: 

Il nominativo e i contatti del Responsabile della Protezione dei Dati (DPO) o di un altro contatto in grado di fornire più informazioni;

  • la natura della violazione e, quando possibile, “le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione”;
  • le possibili conseguenze del data breach e della violazione dei dati personali;
  • le misure adottate (o che si adotteranno) per rimediare alla violazione e per limitarne gli effetti negativi.

Nel caso in cui vi sia il fondato sospetto di data breach ma non sia possibile appurare con certezza l’esistenza di una violazione dei dati personali e la sua entità in modo rapido, il titolare può comunicare la violazione:  

  • per approssimazione, comunicando dati orientativi da confermare in un secondo momento; 
  • con una notifica per fasi, cioè avvertendo l’autorità e fornendo aggiornamenti mano a mano che vengono raccolti dati esaustivi;
  • oppure con una notifica aggregata, che permette al titolare del trattamento dei dati di inviare un’unica notifica che comprende più violazioni simili e ravvicinate.

Sempre l’art. 33 del Regolamento stabilisce infine che: ”Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.” 

La comunicazione della violazione dei dati agli interessati

Il titolare del trattamento dei dati non ha però solo l’obbligo di notifica della violazione nei confronti dell’autorità; in caso di rischio elevato per i diritti e le libertà delle persone fisiche, infatti, egli deve avvisare anche i diretti interessati. 
La comunicazione agli interessati, secondo quanto stabilito dall’art. 34 del GDPR, deve avvenire senza ingiustificato ritardo per consentire agli individui di adottare provvedimenti per tutelarsi. 
Tale comunicazione deve spiegare in modo chiaro e semplice:

  • il tipo di violazione;
  • le possibili conseguenze negative;
  • le misure adottate o che si intendono adottare per rimediare alla violazione e limitarne le conseguenze.

Agli interessati devono essere anche forniti il nome e i contatti del responsabile della protezione dei dati o di un altro contatto che può fornire maggiori informazioni.

< torna alla pagina precedente