Violazioni di dati personali – comunicazione al Garante Privacy

Violazioni di dati personali – comunicazione al Garante Privacy

Nuova procedura di notifica dal 1° luglio 2021 

Redazione MTS

L’Autorità Garante per la protezione dei dati personali, con il Provvedimento del 27 maggio 2021 [9667201], ha modificato il contenuto e le modalità della notifica della violazione dei dati personali rispetto a quanto definito nel provvedimento n.157del 30luglio 2019.

Dal 1° luglio 2021, pertanto, le violazioni di dati personali dovranno essere comunicate utilizzando una nuova apposita procedura telematica, messa a disposizione dal Garante sul proprio portale dei servizi on-line  (https://servizi.gpdp.it/). L’Autorità ha, peraltro, precisato che tale nuova la procedura telematica costituirà l’unica modalità mediante la quale verranno ricevute le notifiche di data breach.

Cos’è una violazione dei dati personali (data breach)?  

Un data Breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato a dati personali compromettendone la riservatezza, l’integrità o la disponibilità non solo informatica.

Esempi concreti di data breach possono rinvenirsi in diversi accadimenti accidentali o volontari come l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali,  l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware, ecc.), la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità la divulgazione non autorizzata dei dati personali.

Cosa fare in caso di violazione dei dati personali?

In caso di data breach le azioni da intraprendere con la dovuta tempestività sono diverse ed incombono sul titolare del trattamento ma anche sul responsabile, per quanto di propria competenza. Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare il data breach al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Se la violazione comporta un rischio particolarmente elevato per i diritti delle persone, il titolare deve comunicare la circostanza a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. A prescindere dalla notifica al Garante ed agli interessati, si è tenuti a documentare tutte le violazioni dei dati personali predisponendo un apposito registro che deve essere reso disponibile all’autorità.

La gestione di un data breach deve essere opportunamente regolata anche nel rapporto con i responsabili del trattamento sia sul piano contrattuale sia relativamente alle procedure da concordare per la comunicazione al titolare. Il responsabile del trattamento che viene a conoscenza di un’eventuale violazione, infatti, è tenuto a informare tempestivamente il titolare in modo che possa attivarsi ad effettuare la notifica, oltre che a supportare il titolare stesso nella gestione della violazione dei dati personali.

Per tutelare gli interessati ed evitare possibili sanzioni ogni titolare del trattamento deve valutare se è in grado di gestire correttamente la prevenzione e le azioni di intervento in caso di data breach, quali sono le autovalutazioni che le imprese di ogni dimensione devono necessariamente effettuare?

• Sono stati mappati i processi di trattamento in modo completo ivi compresi gli strumenti utilizzati pe gli specifici processi?
• E’ stata effettuata una valutazione dei rischi in tema protezione dati personali e cyber security?
• Sono state adottate misure di sicurezza organizzative e tecniche adeguate al fine di prevenire eventuali data breach  e di ridurne l’impatto qualora dovessero verificarsi?
• È stata predisposta una procedura specifica, effettiva, conosciuta dal personale, aggiornata e testata per la gestione di un eventuale data breach?
• Sono state adottate procedure per la valutazione dell’impatto di eventuali breach per individuare in modo oggettivo il livello di rischio per gli interessati?
• Sono state individuate e nominate in modo specifico le funzioni che devono occuparsi della tematica Data breach?
• E’ stato formato il personale su questi temi?
• Sono stati regolati contrattualmente i rapporti con i responsabili del trattamento?

Per maggiori approfondimenti

https://www.garanteprivacy.it/regolamentoue/databreach 

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9667201