Data Breach. Cosa fare in caso di violazione di dati personali

Disponibile sul sito internet del Garante Privacy una scheda con i passi da seguire in caso di violazione di dati personali ("Data Breach")

Il Garante Privacy ha pubblicato sul proprio sito internet una scheda che descrive i passi da seguire in caso di violazione dei dati personali, il c.d. "Data Breach".

Come noto, si tratta di una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Ad esempio, il furto o la perdita di dispositivi informatici contenenti dati personali.

Verificatasi una violazione dei dati personali, il titolare del trattamento deve senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa. Si notificano le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. 

La notifica al Garante, da inviare all'indirizzo protocollo@pec.gpdp.it, deve contenere:

  • una descrizione della natura della violazione dei dati personali (se possibile le categorie e il numero approssimativo di persone interessate);
  • il nome e i riferimenti di contatto del responsabile della protezione dei dati (se designato dal titolare) o comunque di un referente competente a fornire informazioni;
  • una descrizione delle possibili conseguenze della violazione dei dati personali; 
  • una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali;
  • una descrizione dei motivi del ritardo, se effettuata oltre il termine prescritto di 72 ore.

Le azioni del Garante

Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale

Contatti

Ulteriori informazioni e chiarimenti possono essere richiesti al Settore Fisco e Diritto d'Impresa, tel. 0258370.267/308, e-mail fisc@assolombarda.it

Non sei associato e ti servono informazioni?

Contattaci

Azioni sul documento