Data Breach, gli adempimenti previsti

Data Breach

L’art. 4 comma 12 del Regolamento Generale sulla Protezione dei Dati Personali (UE 679/2016), riporta la seguente definizione:

«violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

A tale violazione corrisponde l’obbligo, da parte delle pubbliche amministrazioni e delle aziende, di comunicazione al Garante Privacy di tali fortuite o indebite attività: il Data Breach.

Sotto il segno della responsabilizzazione (accountability) cui sono soggetti Titolare e Responsabile del trattamento, a questi ultimi è demandato il compito di interfacciarsi col Garante ed informarlo di ogni violazione, conseguenza di attacchi o accessi abusivi da parte di hacker, di incidenti o di calamità naturali.

Queste ultime sono solo alcune delle possibili violazioni che potrebbero realizzarsi e che, se non affrontate tempestivamente e in maniera corretta sarebbero capaci di generare danni economici, sociali, fisici, materiale o immateriali ai soggetti interessati.

L’obbligo di comunicazione, infatti, si sposa perfettamente con un altro dei principi fondamentali del GDPR: la salvaguardia dei diritti degli interessati.

Il Garante Privacy, dopo aver ricevuto le dovute informazioni da Titolari e Responsabili, è in grado di avviare nel più breve tempo possibile le procedure di valutazione della situazione e predisporre le opportune misure di sicurezza per ridurre al minimo i rischi relativi ai dati e agli interessati.

Ma vediamo cosa prevede, praticamente, il Regolamento Europeo: la segnalazione ad opera del Titolare del Trattamento deve essere indicata in modo chiaro e specifico, entro 72 ore dall’avvenuta violazione e deve contenere la natura della violazione, la situazione in cui si è svolta e le misure di sicurezza che sono state attuate o che dovranno essere attuate per ovviare agli impatti negativi.

Inoltre la comunicazione deve indicare il Responsabile del Trattamento dei Dati Personali e il Responsabile della Protezione dei Dati Personali (DPO – Data Protection Officer).

Il Regolamento prevede, per chi non rispettasse le prescrizioni relative al Data Breach, sanzioni fino a 10.000.000 euro per le Pubbliche Amministrazioni e per le imprese o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Ing. Paola Romeo

//]]>