Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Data breach e GDPR: cosa prevede il Regolamento Europeo

Data breach e GDPR: cosa prevede il Regolamento Europeo

Con l’entrata in vigore del Regolamento Europeo sulla Privacy 2016/679, cui le aziende hanno dovuto adeguarsi entro il 25 maggio 2018, un’attenzione particolare è stata posta sul data breach.

L’art.4 del GDPR indica la definizione di violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.

Tale violazione, dunque, può avvenire in modo volontario o accidentale (basti pensare, ad esempio, allo smarrimento di un dispositivo mobile, di un hard disk esterno o di una semplice chiavetta USB con all’interno dati sensibili utilizzando ancora la definizione del D.Lgs. 196/2003).

In questo articolo vedremo, nello specifico:

  • cosa prevede il GDPR in materia di data breach;
  • come comportarsi per le procedure di notifica al Garante;
  • quali sono le sanzioni previste per chi non applica quanto previsto dalle normative.

Data breach: cos’è e quando si configura

La violazione dei dati personali è conseguenza diretta di tutte quelle situazioni che possono comportare effetti avversi significativi per i dati trattati e le persone interessate, con potenziali danni fisici, materiali o immateriali.

Il Considerando n.75 del GDPR elenca una serie di casistiche per aiutare a definire il campo di riferimento. Avviene un data breach quando la violazione ha a che fare con:

  • discriminazioni, furto o usurpazione d'identità;
  • perdite finanziarie;
  • pregiudizio alla reputazione;
  • perdita di riservatezza di dati protetti da segreto professionale;
  • decifratura non autorizzata della pseudonimizzazione;
  • privazione dei diritti e delle libertà dell’interessato;
  • impedimento nel controllo sui dati personali dell’interessato;
  • trattamento di dati personali che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, relativi alla salute o alla vita sessuale, a condanne penali, a reati o alle relative misure di sicurezza;
  • valutazione di aspetti personali, tramite analisi o previsione di aspetti che riguardano: rendimento professionale, situazione economica, salute, preferenze, interessi personali, affidabilità, comportamento, ubicazione o spostamenti, per creare o utilizzare profili personali;
  • dati personali di persone fisiche vulnerabili, in particolare minori;
  • trattamento di una gran quantità di dati personali e di un vasto numero di interessati.

Come detto, la violazione dei dati personali può avvenire sia in modo doloso che accidentale.

Quindi, ad esempio, non solo nei casi di accesso o furto da parte di soggetti non autorizzati, ma anche in quelli che riguardano la diffusione di dati senza il consenso o la loro perdita o distruzione per eventi accidentali.

Come evitare un data breach?

L’art. 32 (par. 2) del GDPR elenca alcuni tipi di rischio: 

  • distruzione o perdita di dati; 
  • modifica;
  • divulgazione non autorizzata;
  • accesso, in modo accidentale o illegale, non autorizzato. 

Per ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso. Un esempio può riguardare la dismissione delle stampanti con memoria senza aver provveduto a cancellarla, e quindi con l'astratta possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati. 

Sempre in base all'art. 32, l’azienda dovrà dunque implementare delle misure di sicurezza (fisiche e informatiche), orientate ad evitare una qualsiasi violazione dei dati personali.

Adempimenti a seguito di un data breach: notifica al Garante per la Privacy

L’art. 33 del Regolamento UE 2016/679 stabilisce l’obbligo, per il titolare del trattamento, di comunicare il data breach al Garante per la Privacy entro 72 ore dal momento in cui è venuto a conoscenza della violazione (a meno che sia improbabile che questa possa rappresentare un rischio per i soggetti interessati).

La notifica al Garante deve includere:

  • descrizione della natura della violazione dei dati personali e, dove possibile, categorie e numero approssimativo sia degli interessati che delle registrazioni dei dati personali in questione;
  • comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati (o altro punto di contatto da cui ottenere maggiori informazioni);
  • descrizione delle probabili conseguenze dovute alla violazione;
  • descrizione delle misure adottate (o proposte) dal titolare del trattamento per rimediare al data breach o attenuarne i possibili effetti negativi.

Queste informazioni, qualora non fosse possibile reperirle tutte nello stesso momento, possono essere inviate anche in fasi successive, ma comunque entro le 72 ore di tempo (eventuali ritardi nella notifica all’autorità di controllo dovranno essere giustificati con le motivazioni del caso). La notifica va inviata al Garante al seguente indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Al tempo stesso, se il data breach comporta rischi elevati per il soggetto interessato, anch’egli dovrà essere tempestivamente avvisato della violazione dei dati che lo riguardano. Gli unici casi in cui non è necessaria questa comunicazione, come stabilito all’art.34 del GDPR, sono:

  • messa in atto, da parte del titolare del trattamento, delle misure adeguate di protezione dei dati (compresi quelli oggetto della violazione) e in particolare di quelle volte a rendere tali dati incomprensibili ai soggetti non autorizzati (ad esempio, tramite cifratura);
  • il titolare del trattamento ha adottato misure atte a scongiurare un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione richiederebbe sforzi sproporzionati e, di conseguenza, si procede con una comunicazione pubblica (o una misura simile), per informare gli interessati con uguale efficacia.

Violazione dati personali GDPR: sanzioni

Le sanzioni previste per la violazione dei dati personali possono riguardare sia il mancato rispetto delle procedure di notifica che l'inadeguatezza delle misure di sicurezza adottate (compresa la mancata notifica stessa del data breach).

Come sancito dall'art.83, le sanzioni amministrative pecuniarie possono arrivare a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente.  

Investire in processi e attività di vigilanza efficaci, che tengano conto del potenziale di rischio, dell'impatto di un eventuale data breach e delle misure idonee da adottare, può aiutare a prevenire o comunque limitare i casi di violazione di dati personali, garantendo la Privacy dei soggetti interessati e il rispetto delle normative vigenti.

Per approfondire queste tematiche, ti consigliamo i seguenti articoli:

Se vuoi essere certo di adempiere agli obblighi di legge previsti dal Regolamento Europeo per la Protezione dei Dati Personali, contatta oggi stesso uno dei nostri esperti.


 


chiara-merci-studio-essepi  

Scritto da: Chiara Merci


Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.





Chiamaci

045 8621499