L’Art. 4, paragrafo 1. n. 12 del Regolamento Europeo definisce il c.d. “data breach” come la “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il Regolamento introduce, in taluni casi, l’obbligo di notificare al Garante per la protezione dei dati personali tali violazioni.

Lo scopo delle previsioni è quello di garantire:

• l’identificazione della violazione;
• l’analisi delle cause della violazione;
• la definizione delle misure da adottare per porre rimedio alla violazione e per attenuarne i possibili effetti negativi;
• la registrazione delle informazioni relative alla violazione, delle misure identificate e dell’efficacia delle stesse.

La procedura di data breach è applicabile a tutte le attività svolte, con particolare riferimento alla gestione di archivi e/o documenti cartacei e dei sistemi informatici attraverso cui vengono trattati dati personali degli interessati (siano essi dipendenti, clienti o fornitori).

 

Compiti e responsabilità

Stante l’importanza della questione, suggeriamo di prevedere, se non la costituzione di un vero e proprio “team” di intervento, almeno l’individuazione di un soggetto con il compito di ricevere le segnalazioni di incidenti che pervengano dall’interno o dall’esterno (ad esempio da un fornitore) al fine di valutare il merito e la portata degli accadimenti.

 

Procedura operativa

Le violazioni dei dati personali rappresentano una tipologia di incidente per la sicurezza delle informazioni nel quale viene coinvolto qualsiasi genere di dato di natura personale.

Le violazioni possono essere classificate in base a tre principi:

• riservatezza, in caso di divulgazione o accesso non autorizzato o accidentale dei dati personali;
• integrità, in caso di modifica non autorizzata o accidentale;
• disponibilità, in caso di perdita o distruzione accidentale.

A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali così come qualsiasi combinazione delle stesse. Va inoltre sottolineato che, se tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali.

Chiunque operi all’interno dell’organizzazione del titolare del trattamento, o tratti dati personali per suo conto, può rilevare eventuali violazioni dei medesimi dati personali.

La violazione di dati personali può interessare:

1. dati memorizzati in formato digitale su basi dati o archivi di lavoro informatizzati;
2. supporti fisici di memorizzazione esterna contenenti informazioni digitali;
3. archivi contenenti documenti cartacei.

Chiunque rilevi una violazione dovrà comunicarla con la massima tempestività al Team di risposta o al Soggetto designato, che accerterà la reale esistenza della stessa e provvederà ad aggiornare il “Registro delle violazioni”. Nel caso la violazione venga confermata, si provvederà alla valutazione delle conseguenze e del rischio che la stessa potrebbe rappresentare per i diritti e le libertà delle persone fisiche.

 

Valutazione delle conseguenze

Una violazione di dati personali potrebbe potenzialmente avere un insieme di effetti negativi sui diritti e le libertà delle persone fisiche coinvolte, concretizzandosi in danni materiali e/o immateriali. Il GDPR specifica che tali conseguenze includono, tra le altre:

• la perdita del controllo sui propri dati personali;
• la limitazione dei diritti degli interessati;
• la discriminazione;
• il furto di identità;
• la frode;
• la perdita finanziaria;
• la possibile identificazione di un soggetto pseudonimizzato;
• il danno alla reputazione;
• la perdita della riservatezza sui dati personali protetti da segreto professionale;
• ogni altra perdita economica o svantaggio sociale significativo per l’interessato.

 

Valutazione del rischio

Il livello di rischio che una violazione di dati personali segnalata può presentare per i diritti e le libertà delle persone fisiche è definito sulla base dei seguenti parametri:

• probabilità: intesa come il grado di possibilità che la violazione segnalata presenti un rischio;
• gravità: intesa come la rilevanza degli effetti pregiudizievoli che la violazione segnalata è in grado di produrre.

 

Notifica della violazione

Qualora dalla valutazione del rischio emerga un rischio per i diritti e le libertà delle persone fisiche coinvolte, diventa obbligatorio effettuare la notifica all’Autorità di controllo tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it.

L’invio della notifica deve avvenire entro 72 ore dal momento in cui si è venuti a conoscenza della violazione (eventuali ritardi devono essere adeguatamente motivati).

 

Comunicazione all’interessato

Nel caso la violazione di dati personali comporti un rischio “elevato” per i diritti e le libertà delle persone fisiche coinvolte, il Titolare dovrà comunicare la violazione anche agli interessati. Prima di procedere alla comunicazione, dovrà tuttavia verificare se la stessa richieda sforzi sproporzionati. In tal caso si procederà a una comunicazione pubblica (o a una simile misura), tramite la quale gli interessati saranno informati con analoga efficacia.

 

Avv. Andrea Broglia