Diritto e Fisco | Articoli

Violazione dei dati personali

28 Marzo 2021
Violazione dei dati personali

Il Regolamento Europeo in materia di protezione dei dati personali prescrive determinati adempimenti in caso di data breach.

A partire dal maggio del 2018, è entrato definitivamente in vigore il Regolamento Europeo relativo al trattamento dei dati personali. Tra i vari adempimenti prescritti dalla nuova normativa eurounitaria esiste un’apposita procedura da seguire in caso di data breach.

Ma quali sono gli obblighi in caso di violazione dei dati personali? Il titolare del trattamento deve prevedere in anticipo quali possono essere le forme di violazione cui i dati personali sono esposti ed identificare le misure da apportare in caso di data breach sulla base del livello di rischio rilevato. È inoltre necessaria una notifica al Garante della Privacy.

Violazione dei dati personali: cos’è?

Il Regolamento Europeo in materia di trattamento dei dati personali (Gdpr) ha introdotto, con efficacia direttamente vincolante in tutti gli ordinamenti degli stati membri, degli obblighi e degli adempimenti da porre in essere per tutelare efficacemente i dati personali.

Come noto, il Gdpr individua le seguenti figure fondamentali nel processo di trattamento dei dati personali:

  • titolare del trattamento: persona fisica o giuridica che tratta i dati personali altrui (ad esempio, una società di food delivery che tratta i dati del cliente che ha chiesto la consegna del cibo a casa);
  • interessato: la persona fisica alla quale si riferiscono i dati personali (nell’esempio di prima, il cliente dell’azienda di food delivery).

Una delle fattispecie cui possono essere esposti i dati personali è la violazione dei dati personali (detta anche data breach).

Il data breach è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati [1]. Ne consegue che rientrano nella definizione di data breach non solo comportamenti dolosi posti in essere per danneggiare o rubare i dati personali ma anche eventi accidentali, come ad esempio un accesso abusivo o un incidente o la semplice perdita di un supporto digitale su cui sono conservati dei dati personali.

Data breach: la valutazione del rischio

Il titolare del trattamento deve prevedere in anticipo quali misure adottare in caso di violazione dei dati personali attraverso la valutazione del rischio, ovvero, la valutazione dei possibili effetti dannosi prodotti da una fattispecie di data breach con riferimento ai diritti ed alle libertà delle persone coinvolte.

Il rischio viene valutato utilizzando due parametri:

  1. la gravità, ossia la rilevanza delle conseguenze dannose;
  2. la probabilità, ossia quanto è probabile che che si verifichino gli eventi dannosi.

Per valutare i due predetti parametri, il titolare del trattamento deve considerare i seguenti fattori:

  • tipo di violazione;
  • natura, sensibilità e volume dei dati personali;
  • facilità nella identificazione degli interessati;
  • gravità delle conseguenze per gli interessati;
  • particolarità degli interessati;
  • particolarità dei responsabili del trattamento;
  • numero degli interessati.

La valutazione del rischio consentirà di assegnare a ciascuna ipotesi di violazione un grado di rischiosità basso, medio o alto. In caso di rischio medio o alto è necessario procedere alla notifica al Garante della Privacy.

Data breach: la notifica al Garante

Il Gdpr [2] prevede che il titolare del trattamento, in caso di violazione dei dati personali, deve effettuare una notificazione all’Autorità Garante entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo il caso in cui sia improbabile che la violazione dei dati personali possa presentare un rischio per i diritti e le libertà delle persone fisiche.

La valutazione del rischio consente, come abbiamo visto, di identificare ab origine il rischio dell’eventuale violazione dei dati personali in modo da consentire di sapere da subito quando occorre procedere alla notifica del data breach al Garante Privacy in caso di violazioni del rischio con una rischiosità media o alta.

La notifica al Garante deve indicare:

  • la natura della violazione dei dati personali;
  • le categorie e il numero approssimativo degli interessati;
  • il nome e i dati di contatto del responsabile della protezione dei dati (Dpo) o di un altro riferimento del titolare del trattamento;
  • le probabili conseguenze della violazione dei dati personali;
  • le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per rimediare alla violazione dei dati personali nonché per attenuarne possibili effetti negativi.

note

[1] Art. 4, Regolamento (UE) 679/2016.

[2] Art. 33, Regolamento (UE) 679/2016.


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube