Cosa fare in caso di violazione dei dati personali?

Per il nuovo regolamento sulla protezione dei dati, per dati personali si intendono le informazioni che identificano un individuo, ed ogni volta che viene rilevata una violazione dei dati personali, il titolare deve agire tempestivamente! Abbiamo creato una scheda veloce di approfondimento, se vuoi, sulla qualità e tipologia dei dati personali, la trovi qui.

Se c’è il ragionevole sospetto che un hacker si sia introdotto nella tua rete, oppure che un software malevolo possa aver avuto accesso a dati personali custoditi dalla tua azienda, è necessario intervenire e notificare l’accaduto.

Comprendiamo per bene il perchè dell’obbligo di notifica in caso di violazione dei dati personali

Prima di analizzare nel dettaglio che tipo di notifica è prevista, soffermiamoci un attimo a considerare lo scopo dell’obbligo di notifica. Il nuovo regolamento sulla protezione dei dati, istituisce due concetti fondamentali: privacy dy design e privacy by default. Il “garante della privacy europeo” porta all’apice dell’attenzione sulla sicurezza la protezione dei dati personali. Ogni azienda su ogni progetto che coinvolga dati personali, anche solo a fini statistici DEVE obbligatoriamente pensare a come proteggerli. Da qui l’importanza di monitorare minuziosamente e proteggersi da casi di violazione dei dati personali.

Se quindi hai già previsto una modalità sicura per proteggere i tuoi dati, a rigor di logica dovrebbe essere molto difficile entrare nei tuoi sistemi e rubare i dati personali. Ma come spesso accade, se abbiamo chiuso mille finestre, la milleunesima ci sarà sfuggita!

Prima ancora di capire come fare a chiudere la finestra che ci è sfuggita, è urgente informare il garante della privacy del possibile furto o in generale della violazione dei dati personali e fare in modo che ogni individuo ne possa essere informato e possa prendere i provvedimenti del caso.

Tecnicamente l’evento di accesso ai dati non autorizzato vine chiamato “data breach”, comunemente noto come violazione dei dati personali.

Cos’è più precisamente il Data Breach?

Per Data Breach si intende non solo una violazione per furto, ma un qualsiasi accesso che abbia esaminato, modificato, alterato o eliminato dei dati. Per questo si parla genericamente di violazione dei dati personali.

Con il nuovo regolamento europeo sulla protezione dei dati personali viene introdotto un nuovo concetto per tutelare gli interessati i quali dati personali vengono trattati: data breach, di questo parlano gli articoli 33 e 34 del regolamento.

da cui ne derivi (in ogni caso) la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali e che ciò presenti un rischio elevato per i diritti delle persone fisiche,

Cosa dice il regolamento in merito alla violazione dati personali (data breach)?

Ogni qual volta che venga rilevata una violazione di sicurezza, in paticolare un data breach, il titolare del trattamento dei dati è tenuto a informare sia l’autorità di controllo sia l’interessato (a cui i dati si riferiscono). La comunicazione va effettuata “senza ingiustificato ritardo”, entro 72 ore (salvo impedimenti) dal momento in cui se ne è venuto a conoscenza.

Cosa deve contenere la notifica? 

La notifica, oltre ad essere scritta secondo un linguaggio chiaro e semplice, deve contenere una descrizione minima che permetta all’autorità di poter prendere i dovuti provvedimenti. Deve inoltre essere inviata la comunicazione all’interessato la cui indicherà la natura della violazione, i dati di contatto del Data Protection Officer, le conseguenze della violazione, le misure adottate o di cui il titolare propone l’adozione per porre rimedio alla violazione.

Quando vige l’obbligo di notifica? 

Entrambe queste comunicazione non sono obbligatorie, ma lo diventeranno qualora le violazioni comportino un grave rischio per il soggetto interessato. Sarà quindi il titolare responsabile di capirne il rischio, avendo adottato misure e finalità adeguate in merito alla protezione dati personali del soggetto.

L’art. 85 del Regolamento offre alcuni criteri per delimitare il “rischio” che una violazione dei dati personali può comportare: la violazione deve essere tale da “provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

Il titolare del trattamento dei dati può astenersi dal notificare gli interessati? 

Il titolare può astenersi dalla comunicazione all’interessato circa la violazione dei dati personali quando ha messo in atto misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione. In particolare ci si riferisce a quelle misure destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, la cifratura.

In sostanza se i dati oggetto di attacco non erano comprensibili poichè criptati, si può evitare di notificare tutti gli interessati.

 

Pin It on Pinterest

Condividi queste informazioni con i tuoi contatti

Condividi questo articolo nel tuo social preferito.