GDPR: La violazione di dati personali

Cosa fare in caso di perdita dei dati personali.

Il Regolamento UE 2016/679 pone particolare attenzione alla fattispecie della violazione dei dati personali, c.d. data breach poiché un simile evento può avere come conseguenza la compromissione della riservatezza dei dati personali oggetto di trattamento, la loro integrità e, non ultimo, la loro messa in disponibilità di soggetti non autorizzati a conoscerli.

L’articolo 4 del G.D.P.R, al punto 12, definisce la nozione di violazione dei dati personali (c. d. data breach) come: “qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il Garante Privacy, per maggiore chiarezza fornisce, come esempio, una serie di eventi che, sicuramente, comportano il verificarsi di una violazione di dati personali:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

Al verificarsi di una di queste fattispecie, o comunque di atti o fatti che comportino una violazione di dati personali, lo stesso Regolamento europeo, all’articolo 33 e 34, prevede, a carico del Titolare del trattamento, l’obbligo di comunicare al Garante entro 72 ore, dal momento in cui ne è venuto a conoscenza, i casi di violazione dei dati e di darne successiva comunicazione agli interessati senza ingiustificato ritardo.

Nel caso in cui, il Titolare non possa o non riesca a notificare l’avvenuta violazione entro le 72 ore previste, deve indicare al Garante i motivi del ritardo, in caso contrario scatteranno le sanzioni previste dal G.D.P.R.

Qualora la violazione di dati personali avvenga presso l’organizzazione di un soggetto nominato Responsabile del Trattamento, questi ha l’obbligo di informare il Titolare dell’avvenuta violazione, senza ingiustificato ritardo, e quest’ultimo notificherà, a sua volta, la violazione al Garante Privacy, anche egli senza ingiustificato ritardo.

L’obbligo di notifica entro il termine delle 72 ore è escluso quando la violazione non presenti un rischio per i diritti e le libertà delle persone.

La comunicazione al Garante, che può essere effettuata mediante la compilazione e l’invio di un apposito modello messo a disposizione del Garante privacy (modello di notifica), tra le altre informazioni richieste (art. 33, par. 3 Reg. UE 2016/679), deve comunque:

  • descrivere la natura della violazione dei dati personali compresi, se possibile, le categorie e il numero approssimativo di interessati in questione;
  • comunicare il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali.

Inoltre, nel caso in cui la violazione avvenuta comportasse un rischio elevato per i diritti delle persone, il Titolare del Trattamento ha l’obbligo di comunicarla anche a tutti gli interessati, mediante l’utilizzo dei mezzi ritenuti più idonei.

Il Titolare, tuttavia, non è tenuto a effettuare tale comunicazione qualora:

  • abbia messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure siano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali, a esempio, la cifratura;
  • abbia successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • una simile comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

In ogni caso, il Titolare del Trattamento è tenuto comunque, indipendentemente dal verificarsi di una violazione che richieda la comunicazione all’Autorità Garante, a documentare tutte le violazioni di dati personali avvenute attraverso la predisposizione, a esempio, di un apposito registro. Ciò al fine di consentire possibili ed eventuali verifiche da parte delle autorità competenti sul rispetto di quanto prescritto dalla normativa in vigore.

La violazione degli obblighi di notificazione, in caso di data breach, è punita dal Regolamento UE con sanzioni amministrative pecuniarie fino a dieci milioni di euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente se superiore.

Alla luce di quanto esposto, appare chiaro come la violazione di dati personali, proprio perché intesa dalla vigente normativa nella sua più ampia accezione, rappresenta uno degli eventi maggiormente significativi e più densi di potenziali conseguenze per l’organizzazione del Titolare che, per questo, deve essere preparato all’eventuale verificarsi della violazione. Ciò sia in termini di analisi dei rischi, che di misure organizzative e di sicurezza poste in essere preventivamente, senza dimenticare la predisposizione di apposite procedure per poter effettuare, tutte le valutazioni necessarie e le conseguenti azioni in maniera corretta e nei tempi richiesti dalla normativa vigente.

Il Titolare potrà prevedere un processo specifico che si sviluppi seguendo le fasi riportate nello schema allegato.

Renato Carafa

Richiedi una consulenza

Fiscolexnews oltre ad offrire ai propri lettori informazioni e aggiornamenti sui principali argomenti in materia fiscale, legale e del mondo dell’impresa, implementa il proprio servizio offrendo la sezione “Richiedi una consulenza”. Sarai messo in contatto diretto con i nostri esperti nelle varie materie, che saranno pronti a fornire consulenze mirate e specifiche su quesiti ad hoc.