Gli artt. 33 e 34 del GDPR del 2016 disciplinano il Data Breach, ossia una qualsiasi violazione di sicurezza che comporti la perdita, la distruzione, la modifica, l'accesso ai dati personali o la divulgazione non autorizzata degli stessi. Tutto quello che c'è da sapere.
Come noto, il GDPR del 2016 (introdotto in Italia nel 2018) è una normativa europea fondamentale in materia di privacy e protezione dei dati personali. L'obiettivo dichiarato della Commissione Europea è quello di rafforzare il sistema di tutela dei cittadini e residenti UE, imponendo una serie di obblighi a carico di tutti quei soggetti (persone fisiche, giuridiche o pubbliche amministrazioni) che si occupano di raccogliere e trattare dati personali.
Nello specifico, gli artt. 33 e 34 del GDPR disciplinano il c.d. Data Breach, ovvero la violazione dei dati personali. Ma che cos’è esattamente un Data Breach? E soprattutto, come ci si deve comportare in caso si verifichi questa sgradevole circostanza?
Che cos’è il Data Breach [GDPR]
Il GDPR per Data Breach intende una qualsiasi violazione di sicurezza che comporti, in maniera illecita o accidentale, la perdita, la distruzione, la modifica, l'accesso ai dati personali o la divulgazione non autorizzata degli stessi.
Tale violazione può realizzarsi in numerose maniere. Alcuni esempi possono essere:
Accesso abusivo ai dati personali da parte di terzi non autorizzati;
Furto o smarrimento accidentale di un dispositivo informatico (per esempio un notebook o una chiavetta usb) che contiene tali dati;
Attacco informatico esterno o virus e malware che impediscono l'accesso ai dati.
Chiaramente, tali circostanze possono impattare in maniera estremamente negativa sulla riservatezza, sulla disponibilità e sull'integrità dei dati personali e, proprio per questo, il GDPR impone ai soggetti che si occupano, a diverso titolo, del trattamento di tali dati degli specifici obblighi di notifica e comunicazione dell'emergenza.
Data Breach: che cos’è l’obbligo di notifica [GDPR]
L'art. 33 del GDPR impone al titolare del trattamento (una Pubblica Amministrazione, un'impresa, un'associazione, un libero professionista etc...) l'obbligo di notificare, senza ritardo, l'avvenuta violazione alla Autorità di Controllo competente ex art. 55 (il c.d. Garante della Privacy, se la violazione si verifica in Italia). La notifica va effettuata, possibilmente, entro 72 ore dall'avvenuta conoscenza del Data Breach. Se viene presentata oltre questo limite, essa va accompagnata da una spiegazione delle ragioni del ritardo.
La notifica deve essere corredata di una serie di informazioni minime previste dall'art. 33, par. 3, del GDPR, che sono comunque già riportate nella modulistica online fornita dal Garante.
Il titolare del trattamento, nel corso dell'emergenza, deve documentare tutte le violazioni dei dati personali verificatesi, predisponendo un apposito registro. Questa documentazione sarà poi valutata dall'Autorità di Controllo al fine di verificare l'effettivo rispetto della normativa.
Infatti, in caso di Data Breach, il Garante della Privacy potrà predisporre delle apposite misure correttive (previste dall'art. 58, par. 2, del GPPR) ed, eventualmente, comminare delle sanzioni pecuniarie.
Leggi di più: Il GDPR in Italia [Decreto n.101/18 del 10 agosto 2018]
Data Breach: l’obbligo di comunicazione [GDPR]
L'art. 34 del Regolamento prevede, inoltre, che se la violazione possa comportare un ingente rischio per diritti e libertà individuali, il titolare debba provvedere, senza ritardi, a comunicarla all'interessato del trattamento (ossia la persona fisica alla quale i dati personali si riferiscono). Tale comunicazione deve essere redatta in maniera semplice ed accessibile, ma, al contempo deve contenere gran parte delle informazioni previste per la notifica di cui all'art. 33. Laddove il titolare non vi abbia provveduto tempestivamente, essa può essere imposta dall'Autorità di Controllo.
La comunicazione non è necessaria quando il titolare abbia adottato, in maniera preventiva o successivamente alla violazione, delle misure tecniche e organizzative idonee a scongiurare ogni rischio.
Se, invece, la comunicazione privata risulta eccessivamente gravosa o onerosa per il titolare, questa può essere sostituita da una comunicazione pubblica o da altre misure che comunque consentano all'interessato di essere adeguatamente informato.
Per aiutare i soggetti giuridici a conformarsi al nuovo GDPR, il Garante italiano ha stilato delle apposite guide che spiegano nel dettaglio che cos’è il GDPR, che cosa prevede il nuovo regolamento europeo Privacy e che cosa bisogna fare concretamente per adeguarsi.
Allo stesso tempo, per evitare di incappare in qualsiasi errore di valutazione o svista è cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attività, il professionista ha la tranquillità che tutti i punti della normativa siano presidiati e che la conformità sia mantenuta nel corso del tempo.