Data Breach. Di cosa si tratta?
Il Data Breach è la violazione dei dati personali delle persone fisiche e si verifica quando ne viene compromessa la riservatezza e l’integrità.
In genere si verifica il Data Breach quando, senza autorizzazione dell’Interessato, vengono distrutti, persi, modificati o divulgati i suoi dati.
Si verifica per esempio il Data Breach nel casoin cui un terzo non autorizzato acceda o acquisisca dati personali senza autorizzazione dell’interessato o nel caso di divulgazione non autorizzata dei dati personali, oppure quando vengano persi o rubati dispositivi informatici contenenti dati personali, o ancora per impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni, come virus del PC.
Quali contromisure adottare?
In caso di Data Breach, il Titolare del trattamento, senza ritardo e comunque entro 72 ore dalla scoperta della violazione, deve darne comunicazione al Garante della Privacy, sempre che la violazione dei dati personali comporti un rischio per i diritti e la libertà delle persone interessate.
La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it. Nel caso in cui la predetta notifica sia avvenuta oltre le 72 ore, sarà opportuno e necessario indicare i motivi del ritardo.
Se la violazione comporta un rischio elevato per i diritti delle persone interessate e coinvolte, il titolare deve darne contezza anche a tutti gli interessati. Il Garante della Privacy può prescrivere, a carico della Società, misure correttive atte ad adeguare la sicurezza tecnica e organizzativa applicata ai dati oggetto di violazione.
Sono previste, a carico della società, sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Conclusioni
Secondo recenti pronunce del Garante, le comunicazioni sul Data Breach agli utenti interessati non possono essere generiche ma devono necessariamente consentire all’interessato la chiara comprensione dei possibili rischi collegati alla comunicazione dei propri dati personali, oltre che fornire precise indicazioni sui possibili rimedi, come per esempio l’interruzione dell’utilizzo delle credenziali compromesse o la modifica della password precedentemente utilizzata dall’utente.
È inoltre importante e opportuno che la società si munisca di un Registro del Trattamento, all’interno del quale il Titolare deve indicare le cause, i fatti e i dati personali interessati soggetti a violazione, oltre che i rimedi proposti. È inoltre consigliabile che l’azienda prepari e documenti una procedura interna che stabilisca come comportarsi in caso di Data Breach; procedura che, chiaramente, va portata a conoscenza dei Dipendenti.
Avv. Stefania Perillo, Business Lawyer, Studio Legale Perillo
