GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/705/01.jpg
mercoledì 31 agosto 2022
di GDPRlab.it
Ogni azienda, organizzazione, ente subirà una violazione dati personali, almeno una volta nella vita. Cosa occorre fare in questo caso? Quali sono gli obblighi normativi?
Iniziamo dai fondamentali: per data breach / violazione dei dati personali si intende
"una violazione della sicurezza dei dati che comporta la distruzione, la perdita, la modifica, la diffusione non autorizzata o l'accesso ai dati personali trasmessi / conservati / trattati"
Con queste parole il nostro nostro Garante per la protezione dei dati personali definisce una violazione dati personali, specificando anche che tale violazione può essere sia accidentale che intenzionale.
Premesso che i possibili casi di violazione di dati personali sono pressoché infiniti, ne elenchiamo le principali categorie.
Tutti i casi sopra esposti costituiscono violazione dei dati personali: il GDPR prevede specifici obblighi in questi casi.
Il GDPR, all'art. 33, prevede che il titolare del trattamento debba senza ingiustificato ritardo (nello specifico entro 72 ore dal momento in cui si viene a conoscenza della violazione) notificare al Garante la violazione di dati personali. Con una sola eccezione, ovvero il caso in cui la violazione dei dati non comporti rischio per i diritti e le libertà degli interessati coinvolti. Il responsabile del trattamento che viene a conoscenza di una violazione dei dati, deve avvisare tempestivamente il titolare.
L'art 34. del GDPR specifica che la notifica agli interessati è obbligatoria nei casi in cui la violazione dei dati personali comporti rischio per i diritti e le libertà degli interessati. Il titolare del trattamento deve quindi comunicarla utilizzando idonei canali (comunicazione diretta o pubblicazione della notizia tramite idonei canali). Il GDPR prevede che, nei casi in cui la platea da informare sia molto estesa, il titolare possa optare per un annuncio pubblico.
Il titolare del trattamento deve anche documentare tutte le violazioni di dati personali con apposito registro, predisponendo i materiali necessari così da consentire al Garante di effettuare le notifiche del caso. Per semplificare la gestione dei data breach abbiamo inserito nel nostro software GDPRlab il registro dei data breach e la possibilità di accesso diretto alla procedura telematica di notifica al Garante.
Vedi anche la scheda informativa del Garante > Violazioni di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679
L'art 33 GDPR specifica che occorre fornire al Garante tutte le informazioni relative al data breach:
Tutte le informazioni sopra indicati sono necessarie perché il Garante dovrà valutare, tra l'altro, anche le responsabilità del trattamento dei dati personali. La sanzione infatti arriva nel momento in cui il titolare non si sarà dimostrato accountable, responsabile appunto. Ad esempio nel caso in cui il titolare non abbiamo messo in atto tutte le misure tecniche e operative possibili per impedire la violazione di dati personali.
Un caso emblematico, da questo punto di vista, è quello che ha riguardato una Casa di Cura violata dal collettivo di hacktivisti LulzSec_Ita lo scorso anno. Gli hacktivisti hanno "bucato" la rete della struttura e pubblicato immagini radiografiche rubate. La casa di cura notifica correttamente la violazione al Garante ma viene comunque sanzionata perché i dati non erano criptati. In questo caso la casa di cura non ha messo in atto tutte le misure tecniche possibili a protezione dei dati, non si è dimostrata responsabile e quindi, pur vittima di un attacco hacker, è in parte responsabile della violazione dei dati.
Per approfondire > Hacktivisti pubblicano dati sanitari online: il Garante sanziona la casa di cura
Hai subito una violazione dei dati personali, ma non sai come comunicarla al Garante? Oppure non sai se, per il tipo di violazione subita, la comunicazione al Garante sia obbligatoria? Oppure ancora vuoi evitare di subirne in futuro? Chiedilo a noi, ti aiuteremo passo passo!
giovedì 5 dicembre 2024
Leggi tutto...lunedì 2 dicembre 2024
Leggi tutto...lunedì 25 novembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!