Il Data breach, ovvero la violazione dei dati

L’obiettivo definitivo del Regolamento Generale sulla Protezione dei Dati Personali (GDPR), il n. 679/2016, è quello d’impedire la «violazione dei dati personali».

L’articolo 4 del GDPR, definisce tale evento come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».

La comunicazione della violazione dei dati all’Autorità

In caso di evento negativo,l’articolo 33 del GDPRprevede che «il titolare del trattamento notifica la violazione all’Autorità di controllo[…]senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza».

Unica eccezione a questa prescrizione: quando «sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Naturalmente se la violazione è avvenuta in relazione ai dati trattati dalresponsabile del trattamento, questi ne da notizia immediatamente al titolare, «senza ingiustificato ritardo dopo essere venuto a conoscenza», affinché quest’ultimo possa informarne l’Autorità di controllo.

Oltre alla notizia dellaviolazione dei dativera e propria, nella comunicazione all’Autorità, «il titolare del trattamento documenta […] le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio».

La comunicazione della violazione dei dati agli interessati

Contemporaneamente, il titolare del trattamento dei dati personali è tenuto acomunicare « la violazione all’interessato senza ingiustificato ritardo ».

Anche in tal caso sono previste dellederoghe:

• quando, precedentemente alla violazione, i dati personali erano stati resi «incomprensibili» (es.: con la «cifratura» );
• oppure quando il titolare del trattamento ha, successivamente alla violazione, «adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati»;
• infine quando la «comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica».

Occorre istituire il “Registro interno delle violazioni”

In conclusione,il titolare del trattamento deve prevedere delle procedureper:

• il monitoraggio dei trattamenti e la individuazione delle violazioni dei dati;
• indagare sulle circostanze;
• stendere sempre dei report di tali eventi, indicando gli effetti e i rimedi adottati;
• solo nei casi previsti,provvedere alla notifica all’Autorità e agli interessati.

A tal fine, la guida redatta dall’apposito gruppo di lavoro incoraggia l’istituzione di un «registro interno delle violazioni» [1]. In tale documento, «se una violazione non viene notificata, dovrebbe essere documentata una giustificazione per tale decisione».

«Per dimostrare la conformità con il GDPR– spiega ancora laguida-,potrebbe anche essere utile dimostrare chei dipendenti sono stati informati dell’esistenza di tali proceduree meccanismi, e che sanno comereagire alle violazioni».

In ogni caso, per leviolazioni dei datiilResponsabile per la protezione dei datisvolgerà un ruolo importante tanto «al momento della notifica di una violazione» quanto «durante qualsiasi successiva indagine da parte dell’Autorità di controllo».

La mancata “accountability” di tali misure rischia di far soggiacere il titolare del trattamento asanzioni « effettive, proporzionate e dissuasive ».

–

Fonti e Note:

Credits:Photo byBasil JamesonUnsplash

[1] WP250, 3 ottobre 2017, scarica le[Download non trovato](PDF, EN)