Il motto “prevenire è meglio che curare” oltre ad essere un monito da seguire in tutti i campi della vita quotidiana, nell’ambito della tutela dei dati personali diventa un dettame fondamentale che deve essere tenuto a mente da tutti i titolari del trattamento.
E il perché è molto semplice perché il prezzo economico che un data brech può comportare è davvero molto alto.
Partiamo come sempre dalla definizione del tema in commento.
L’art 4 del GDPR al par. 12 definisce il data breach come una: violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Tanti sono i casi in cui il Titolare è tenuto a evidenziare una violazione dei dati personali: la condivisione di un documento di un dipendente con un’altra azienda senza il suo consenso; l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di supporti informatici che abbiano al proprio interno dati personali; un attacco di un , virus, malware, hacker, la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali, ivi compreso il caso in cui si sbagli ad inviare una mail inserendo un indirizzo errato.
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Il titolare del trattamento deve effettuare le notifiche al Garante entro e non oltre le 72 ore a partire dal momento in cui si manifesta l’incidente e deve corredare la notifica di ogni elemento giustificativo del fatto illecito.
Nota importante: se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. E’ buona prassi, infatti, che il consulente privacy debba fornire al Titolare anche il cd. modulo di comunicazione del data breach.
Il titolare del trattamento, a prescindere dalla notifica al Garante, ha in ogni caso l’onere di annotare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro, che dovrebbe essere sempre fornito dal consulente GDPR scelto.
Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa in caso svolga l’ispezione su una determinata realtà e rilevi, ad esempio da una verifica dei log, l’accadimento di un incidente informatico.
Si ricorda inoltre al lettore che devono essere notificate, da parte del titolare del trattamento, solo le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Anche la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale possono ben costituire esempi di data breach.
A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/ (si veda, a tal proposito, il Provvedimento del 27 maggio 2021).
E’ bene infine che il Titolare che subisca un data breach – a prescindere dalla necessità di notifica al Garante o della comunicazione agli interessati – ponga in essere, a stretto giro, le misure correttive per evitare un successivo incidente, prima fra tutti, l’organizzazione di un piano formativo, modulato per differenti reparti e funzioni, per i propri dipendenti e collaboratoti in qualità di soggetti autorizzati al trattamento.