Come comportarsi in caso di violazione dei dati personali

25 Nov 2024

Secondo quanto previsto dall’art. 4 del Regolamento (UE) 2016/679 (di seguito, “GDPR”), per “data breach”, o violazione dei dati personali si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Cosa comporta e perché si verifica un “data breach”

La natura della violazione può essere classificata in base ai seguenti principi di sicurezza delle informazioni:

  • perdita di confidenzialità: diffusione, accesso non autorizzato o accidentale;
  • perdita di integrità: modifica non autorizzata o accidentale;
  • perdita di disponibilità: impossibilità di accesso, perdita, distruzione non autorizzata o accidentale.

Il Data Breach si verifica perché le misure di sicurezza messe in atto dall’organizzazione non sono state sufficienti a fronte di qualsiasi evento negativo.

Gli obblighi specifici in capo al titolare del trattamento

In determinati casi, il GDPR pone in capo al titolare del trattamento specifici obblighi:

  • documentare eventuali violazioni dei dati personali, compresi i fatti relativi alla violazione dei dati personali, i suoi effetti e le azioni correttive intraprese (Articolo 33 GDPR);
  • notificare la violazione dei dati personali all’autorità di controllo, a meno che non sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche (Articolo 33 GDPR);
  • comunicare la violazione dei dati personali all’interessato quando è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche.

L’obbligo sussiste in tutte le occasioni in cui la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche e deve essere notificata all’autorità di controllo competente entro 72 ore dal momento in cui il Titolare è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica di data breach

La notifica deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze delle violazioni dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.

E voi avete già adottato una procedura data breach in azienda? Avete mai subìto una violazione di dati personali?

Per saperne di più sul tema, sulla formazione o sui servizi, contatta l’Ufficio Legale & Privacy:
Giulia Gualandi
Susanna Viggiani
E-mail – Privacy@assimprese.bo.it
Telefono – 051 5288615

NOTIZIE DAL MONDO