Data Breach: cos’è e cosa fare nel caso succeda

Il Regolamento Europeo sulla protezione dei dati personali identifica con il nome di Data Breach, “una violazione di sicurezza che accidentalmente o in modo illecito provoca distruzione, la perdita, la modifica, la divulgazione non autorizzata ai dati personali, conservati e trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.”

La casistica dei possibili eventi dannosi è pressoché infinita, di seguito qualche esempio:

• la divulgazione di dati personali a soggetti non autorizzati;
• la perdita o il furto didi strumenti nei quali sono memorizzati ( Chiavette USB- Hard disk esterni)
• la perdita o il furto di documenti cartacei;
• l’infedeltà aziendale
• l’accesso abusivo ai sistemi informatici
• virus o altri attacchi al sistema informatico o alla rete aziendale
• violazione di misure di sicurezza fisica
• invio di e-mail contenenti dati personali e/o particolari a destinatario sbagliato

Tutti i titolari del trattamento sono tenuti, senza ingiustificato ritardo e,  entro 72 ore dal momento in cui ne sono venuti a conoscenza, a notificare la violazione al Garante se questa può comportare un rischio per i diritti e le libertà delle persone .

Il Garante sottolinea che vanno notificate le violazioni che possono causare danni fisici, materiali o immateriali.

Vengono, quindi, prese in considerazione quelle situazioni in cui si determina un furto di identità, una frode, la perdita del segreto professionale, un danno reputazionale,

Le violazioni devono essere tempestivamente “segnalate” al titolare del trattamento, affinché possa attivarsi per la notificazione, e a chi  che collabora con lui in qualità di soggetti autorizzati  Il titolare, inoltre, deve prevedere una procedura interna tale da poter garantire la gestione del data breach.

Ogni notificazione al Garante oltre le 72 ore deve essere accompagnata dai motivi del ritardo, e nel caso in cui la violazione comporti un rischio “elevato” , il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei e veloci .

Inoltre il titolare che valuti o meno a seconda del l’ improbabile rischio per gli interessati, è tenuto a compilando un registro ( Registro delle violazioni) con l’indicazione delle circostanze, delle conseguenze e delle misure adottate, nell’ottica di permettere all’autorità ispettiva di verificare il rispetto della normativa.

Il contenuto della notifica, previsto dall’art. 33 par. 3 del GDPR, è stato recentemente dettagliato dal Garante nel provvedimento del 30 luglio 2019 sulla notifica delle violazioni dei dati personali.

“La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure all’indirizzo protocollo@gpdp.it e deve essere con firma elettronica digitale.

L’oggetto del messaggio deve obbligatoriamente contenere la dicitura NOTIFICA VIOLAZIONE DATI PERSONALI.

Per chi non rispetta l’obbligo di notificazione al Garante privacy sono previste sanzioni amministrative che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo. 

Possiamo proporti le giuste soluzioni

I project manager di Connecting Italia possono valutare la situazione della tua azienda e proporti le migliori soluzioni per la protezione dei dati, sia in termini di mantenimento che di trasmissione degli stessi, oltre che l’aderenza delle procedure aziendali alle prescrizioni in materia di sicurezza, GDPR e Privacy.