Cosa fare in caso di violazione dei dati personali

Cosa fare in caso di violazione dei dati personali

Con tutte le informazioni che girano nel mondo del Digital Marketing può capitare di imbattersi in una brutta disavventura, ma cosa si intende per violazione dati personali? Scopriamolo insieme.

Negli ultimi anni è diventato sempre più comune sentir parlare di data breach, ovvero di violazione dei dati personali, in riferimento ai dati sensibili che vengono condivisi online tanto dai privati cittadini, quanto dalle aziende.

Ma quando si può parlare di violazione dei dati personali? Quali le cause? Che procedura bisogna seguire in caso di data breach?

L’articolo 4 del Regolamento UE 2016/679 (GPDR) definisce il data breach come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati

Che cosa si intende per dati personali?

Prima di parlare subito di data breach, facciamo un passo indietro per capire cosa si intende per dati personali.

I dati personali sono tutte quelle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni:

  • sulle sue caratteristiche
  • le sue abitudini
  • il suo stile di vita
  • le sue relazioni personali
  • il suo stato di salute
  • la sua situazione economica
  • la sua geolocalizzazione
  • ecc..

Quando ci troviamo di fronte ad una violazione dei dati personali?

Una violazione dei dati personali si verifica quando i dati di cui la propria azienda è responsabile subiscono un incidente di sicurezza che ne causa:

  • la violazione della riservatezza
  • della disponibilità
  • o dell’integrità

Se avviene quanto appena descritto, è probabile che la violazione costituisca un rischio elevato per i diritti e le libertà di una persona.

Leggi anche: Digital Marketing, tutto quello che c’è da sapere

Analizzare il livello di rischio di data breach

Si dice che prevenire sia meglio di curare, per questo questa fase preliminare è importante perché se si prendono le decisioni giuste in materia di protezioni dei dati, sarà più facile minimizzare le conseguenze del data breach con la massima efficienza qualora questa eventualità si verificasse.

Fare investimenti nella prevenzione comporta la riduzione del rischio di pagare cifre elevate in conseguenza ai danni prodotti dalla violazione subita dall’azienda.

Diventa quindi importa affrontare un’analisi delle vulnerabilità del sistema IT aziendale, che è l’unico modo che l’azienda ha per capire dove può incorrere maggiormente in violazioni di dati personali.

È fortemente consigliato che in azienda si crei un “comitato data breach” che dovrebbe poter contare su figure come:

  • GDPR
  • IT
  • Marketing e Comunicazione
  • Finance
  • Responsabili del Trattamento

Cosa si deve fare in caso di data breach?

Le risposte le fornisce il Regolamento UE 2016/679 (GPDR) agli articoli:

  • 33, per quanto riguarda i criteri per l’eventuale notifica alle autorità di controllo – e nello specifico al Garante Privacy
  • 34, in riferimento ai criteri per l’eventuale comunicazione all’interessato i cui dati siano stati violati

Per prima cosa bisogna definire il livello di gravità della violazione, una volta compreso quale questo sia, il titolare del trattamento, che può essere:

  • soggetto pubblico
  • impresa
  • associazione
  • partito
  • professionista

senza indebito ritardo e, se possibile, non oltre le 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali salvo “che sia improbabileche la violazione dei dati personali comporti un rischioper i diritti e le libertà delle persone fisiche”.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione deve informare tempestivamente il titolare in modo che questi possa attivarsi. 

Se le notifiche al Garante vengono presentate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Nel caso in cui la violazione dei dati comporti un elevato rischio per i diritti delle persone, il titolare del trattamento deve comunicare loro la violazione, utilizzando i canali più idonei, a meno che non siano state messe in atto misure efficaci di protezione tecnica e organizzativa o altre misure adottate che garantiscano che il rischio non si verifichi più.

Per un azienda o un’organizzazione è fondamentale attuare misure tecniche e organizzative adeguate per evitare possibili violazioni dei dati.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documentatutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Quali tipi di violazioni di dati personali devono essere notificate?

Vanno notificate solamente le violazioni di dati personali che possono avereeffetti avversi significativi sugli individui, causando danni:

  • fisici
  • materiali 
  • o immateriali

Può succedere, quindi, per esempio, se si verifica:

  • la perdita del controllo sui propri dati personali
  • il furto d’identità o il rischio di frode
  • la discriminazione
  • la limitazione di alcuni diritti
  • una perdita finanziaria
  • un danno alla reputazione
  • ecc…

Come denunciare un data breach?

A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/ (VEDI: Provvedimento del 27 maggio 2021).

Nella stessa pagina è disponibile un modello facsimile, da NON utilizzare per la notifica al Garante ma utile per vedere in anteprima i contenuti che andranno comunicati al Garante. 

Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.