PRIVACY : VIOLAZIONE DEI DATI PERSONALI

Cosa fare in caso di data breach?

Un argomento ormai (e aggiungerei purtroppo) all’ordine del giorno che troppo spesso non conosciamo fino in fondo e per di più non sappiamo come muoverci in caso di violazione. Per questo motivo con questo articolo approfondiremo cosa fare in caso di violazione

COSA COMPORTA UNA VIOLAZIONE DEI DATI PERSONALI?

Una violazione della privacy prima di tutto può essere accidentale o fatta in modo illecito e può implicare :

la distruzione, la perdita, la modifica, la divulgazione o l’accesso ai dati.

Un’infrazione di questo tipo quindi può compromettere la riservatezza, l’integrità e la disponibilità di dati.

Ora vediamo insieme alcuni possibili esempi:

  • Accesso o acquisizione dei dati da parte di terzi non autorizzati
  • Furto o perdita di dispositivi informatici contenenti dati personali
  • Le deliberata alterazione di dati personali
  • Impossibilità di accedere ai dati causa accidentale o per attacchi esterni, virus, malware, ecc..
  • Perdita e/o distruzione di dati personali a causa di incidenti,eventi avversi, incendi o altre calamità
  • Divulgazione non autorizzata dei dati personali
  • ATTACCHI HACKER

COSA FARE QUINDI IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Viste quindi le principali cause, come ci muoviamo in caso di violazione?

Il titolare del trattamento senza ingiustificato ritardo e, dove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone.

Il responsabile del trattamento che viene a conoscenza è tenuto a informare tempestivamente il titolare.  

COSA FARE QUANDO NON E' NECESSARIA LA NOTIFICA?

Quando non sussistono motivazioni per la segnalazione al Garante Privacy si rende comunque obbligatorio aprire una Non Conformità al fine di mappare e rianalizzare periodicamente le problematiche sopraggiunte.

Nella gestione della Non conformità sarà fondamentale identificare e documentare una correzione (risoluzione immediata) e una azione correttiva (azione finalizzata ad evitare il ripetersi della non conformità).

Tali azioni devono essere decise dal team privacy dell’Ente e devono essere mappate su specifica documentazione.

QUALI TIPO DI VIOLAZIONI VANNO NOTIFICATE E QUALI NO?

Per prima cosa ricordiamo che, se la violazione comporta un rischio elevato, il titolare deve comunicare a tutti gli interessati il fatto.

Quindi di conseguenza vanno notificate unicamente le violazioni dei dati personali che possono avere effetti avversi significativi che possono essere causa di danni fisici, materiali e immateriali.

Vediamo quindi vari esempi di quando la violazione è da notificare:

  • Perdita del controllo sui propri dati
  • Limitazione di alcuni diritti
  • Discriminazione
  • Furto d’identità
  • Rischio di frode
  • Perdita di riservatezza del segreto professionale
  • Perdita finanziaria
  • Danno alla reputazione
  • Tutti i danni che causano un significativo svantaggio eonomico o sociale

COME COMUNICARE E QUALI INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?

Le informazioni si compilano attraverso un modulo ovvero un modello allegato al provvedimento del garante del 30 Luglio  2019 sulla notifica delle violazioni dei dati personali.

 Le informazioni quindi sono tutte notificate su questo modello e ci ricorda che:

  • La notifica non deve includere i dati personali oggetto di violazione (es. non fornire i nomi dei soggetti interessati dalla violazione).
  • Chi dichiara o attesta falsamente notizie o produce atti falsi ne risponde ai sensi dell’art. 168 del Codice in materia di protezione dei dati personali.

 

La notifica, una volta compilato il modulo, deve essere inviata tramite posta elettronica certificata oppure tramite posta elettronica ordinaria e deve essere firmata digitalmente (con in allegato la copia del documento di d’identità).

Un’altra cosa da sapere quando si invia la notifica è che, obbligatoriamente, l’oggetto deve contenere la seguente dicitura

“NOTIFICA VIOLAZIONE DEI DATI PERSONALI”

UNA VOLTA NOTIFICATA LA VIOLAZIONE, QUALI SONO LE AZIONI DEL GARANTE?

Il Garante può prescrivere misure correttive nel caso sia rilevata una violazione.

Un’altra azione che farà il Garante, una volta presentata la notifica di violazione, sarà di controllare l’adeguatezza delle misure di sicurezze tecniche e organizzative applicate da parte dei responsabili privacy ai dati ogggetto di violazione.

Ricordiamo inoltre che in caso inadeguatezza sono previste sanzioni fino a 10 milioni di euro e nelle imprese fino al 2% del fatturato totale annuo.

MA COSA CHIEDE IL REGOLAMENTO PRIVACY?

Vai al nostro articolo al seguente link, per un rapido riepilogo di tutto ciò che è richiesto dalla normativa privacy: PANORAMICA SU REGOLAMENTO PRIVACY 

Di conclusione quindi capiamo bene le difficoltà che si possono verificare e del perché E’ IMPORTANTE AFFIDARSI A CONSULENTI ESPERTI IN MATERIA PRIVACY per restare sempre aggiornati ed evitare pesanti sanzioni.

Categories:

No responses yet

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

%d blogger hanno fatto clic su Mi Piace per questo: