Data Breach e obbligo di comunicazione all’Autorità di controllo

Uno degli argomenti più rilevanti all’interno della normativa privacy è relativo al Data Breach, ossia alla violazione della sicurezza dei dati causata accidentalmente, o attraverso atteggiamento illecito, dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali di persone fisiche.
Alcuni possibili esempi di Data Breach sono:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
– il furto o la perdita di dispositivi informatici contenenti dati personali;
– la deliberata alterazione di dati personali;
– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus,
malware, ecc.;
– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi,
incendi o altre calamità;
– la divulgazione non autorizzata dei dati personali.

Il Data Breach è disciplinato dal Regolamento UE 679/20216, GDPR che sottolinea l’obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.
Il nostro compito è valutare la necessità di avviare una procedura di notifica, ossia verificare la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Appurato il rischio conseguente dalla violazione, implementiamo gli artt. 33 e 34 del GDPR indicando ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di Data Breach.
In particolare la corretta applicazione dell’ art. 33 impone al titolare dei dati di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza, all’autorità di controllo competente, Garante per la protezione dei dati personali. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene
individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.

Comunicazione agli interessati.
La comunicazione della violazione dei dati agli interessati non è sempre prevista. Come sopra anticipato l’obbligo di comunicare la violazione si ha solo se è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche; ecco perchè è nostro compito valutare attentamente caso per caso.
La corretta applicazione dell’art. 34 prevede espressamente i casi nei quali non è richiesta tale comunicazione

Registro delle violazioni
Tutti i titolari del trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati. Si raccomanda, pertanto, di adottare le misure necessarie a documentare eventuali violazioni, essendo peraltro tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti. Il registro dovrà contenere specifiche informazioni relative al Data Breach e alla relativa comunicazione all’autorità di controllo.

Quali sono le azioni del Garante?
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.