Violazioni di dati personali (Data Breach): gli adempimenti previsti

Violazioni di dati personali (Data Breach): gli adempimenti previsti

Le figure della Privacy e il DPO

No al controllo massivo e alla conservazione senza limite delle email dei dipendenti.
Prima di prendere in esame gli adempimenti previsti dal Regolamento per i casi di Data Breach cerchiamo di far luce su cosa significhi “violazione di dati personali”.

Il nuovo Regolamento definisce così la VIOLAZIONE DI DATI PERSONALI:

“La violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”

Rientrano quindi in questa definizione la perdita, la distruzione o la diffusione indebita di dati personali a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Nello specifico, si riportano esempi di:

DISTRUZIONE: incendio, danneggiamento fisico deliberato
PERDITA: furto
MODIFICA: errore umano, azione di malware
DIVULGAZIONE NON AUTORIZZATA: invio via email di documenti a destinatari errati, diffusione online di documenti a seguito di accesso abusivo
ACCESSO AI DATI PERSONALI TRASMESSI, CONSERVATI O COMUNQUE TRATTATI: errata configurazione, attacchi informatici

Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati e pertanto gli obblighi a carico dei Titolari del Trattamento sono stati normati ed assoggetti ad ulteriori adempimenti, vediamo quali:

  • Dal 25 maggio 2018, in Italia, l’obbligo di notifica al Garante di una violazione di dati a seguito di eventi come quelli sopra descritti, sarà esteso a tutti i Titolari del trattamento di aziende sia pubbliche che private e non sarà più un obbligo esclusivo dei fornitori dei servizi di telecomunicazione.
  • La notifica da parte dei Titolari del trattamento all’autorità di controllo delle violazioni di dati personali di cui vengono a conoscenza deve essere effettuata entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se gli stessi Titolari ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Tutti i Titolari del trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati indicando su apposito registro le violazioni le circostanze, le conseguenze e i provvedimenti adottati.
  • La comunicazione dovrà essere effettuata anche all’interessato senza ingiustificato ritardo in caso

 

di rischio elevato; la comunicazione è esclusa solo nei seguenti casi:

  • Siano state adottate misure tecniche e organizzative adeguate ai dati personali oggetto della violazione (es. cifratura dei dati)
  • Siano state adottate misure successive che hanno scongiurato il sopraggiungere di un rischio elevato
  • La comunicazione richiederebbe sforzi sproporzionati (comunicazione pubblica o misura simile efficace).

Dati i nuovi obblighi previsti dal Regolamento e i tempi stretti delle comunicazioni obbligatorie da effettuare, assume ancora maggiore importanza la Valutazione di Impatto Privacy all’interno della quale dovrà essere preventivamente prevista anche la pianificazione di tutte le attività necessarie, l’individuazione dei ruoli e delle responsabilità all’interno dell’organizzazione e l’identificazione delle adeguate procedure di comunicazione interna, investigazione, valutazione di impatto della violazione e modalità di comunicazione alle Autorità e agli interessati in tutti i casi di Data Breach.

Il Garante sottolinea infine che gli articoli 33 e 34 del Regolamento, relativi al Data Breach, impongono incombenze a fronte di eventi (violazione dei dati per effetto di violazioni della sicurezza) che accadono a partire dal 25 maggio 2018 e non a quelli anteriormente verificati.

Contattaci per approfondire meglio gli adempimenti cui sei soggetto. Ricorda che il primo sopralluogo è gratuito.

Leggi l' informativa completa ai sensi dell'art.13 del D.Lgs 196/2003 inerente il trattamento dei dati personali

Confermo di aver letto l'informativa sulla privacy, di accettarne le condizioni e di autorizzare il trattamento dei dati personali ai sensi del D. Lgs. 196/2003

 Si No

Desidero iscrivermi alla newsletter di ConsulGroup

 

Non perderti per strada, fai il prossimo passo!! Buona Lettura.