mercoledì, Settembre 22, 2021
Home BLOG DataRoom Data breach: come comportarsi?

Data breach: come comportarsi?

In caso di #violazione dei dati personali (#databreach), il #gdpr impone al Titolare di notificare detto evento all’ANC entro 72 ore dall’avvenuta conoscenza dello stesso: in quel termine, deve essere in grado di identificare la violazione, revisionare eventuale documentazione, adottare procedure e/o atti che mitighino il #danno arrecato e provvedere quindi alla #notifica.

Il Considerando 85) riferisce che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.

Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento è tenuto a notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Ai sensi dell’art. 33 del GDPR, la notifica di cui in commento deve almeno:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Se da una parte c’è un obbligo di notifica all’Autorità di Controllo, dall’altro sussiste un obbligo di comunicazione del data breach all’Interessato.

Richiamando quanto previsto dal Considerando 86), la comunicazione deve contenere la descrizione della natura dell’evento, l’individuazione delle categorie e del numero approssimativo degli Interessati e delle registrazioni dei dati personali coinvolti, nome e cognome del #DPO se designato, la descrizione delle probabili conseguenze del data breach, descrizione delle misure di #sicurezza adottate o da adottare per rimuovere o limitare i possibili effetti negativi.

Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti quali le autorità incaricate dell’applicazione della legge.

Ad esempio, la necessità di attenuare un rischio immediato di danno richiederebbe che la comunicazione agli interessati fosse tempestiva, ma la necessità di attuare opportune misure per contrastare violazioni di dati personali ripetute o analoghe potrebbe giustificare tempi più lunghi per la comunicazione.

La comunicazione non è #obbligatoria quando il #Titolare abbia implementato le #misure di sicurezza tali da essere già state applicate al data breach o quando la #comunicazione ad personam richiede sforzi sproporzionati quindi si provvede con una #comunicazione pubblica generale.

Più precisamente, si veda l’art. 34 comma III del GDPR a tenore del quale non è richiesta la comunicazione all’interessato se risulta soddisfatta una delle seguenti condizioni:

  • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al comma I;
  • detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Must Read