odisseoprivacy.com 17/05/2021
Il “data breach” è una violazione nella salvaguardia e nell’incolumità dei dati personali trattati in azienda o presso uno studio professionale dal Titolare o da dipendenti, collaboratori incaricati, soggetti designati, responsabili interni o esterni (Commercialista, Consulente del lavoro, medico competente, Consulente della privacy, ecc.).
Si può verificare accidentalmente o fraudolentemente e consiste nella distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali trattati.
In caso di “data breach” sono compromessi la riservatezza, l’integrità e la disponibilità dei dati personali.
Vediamo quali sono i casi più comuni:
- l’accesso o l’acquisizione dei dati da parte di estranei non autorizzati;
- il furto o la perdita o la distruzione di dispositivi informatici (PC, hard disk, pen drive, CD, DVD, in cui sono registrati dati personali);
- la intenzionale e premeditata manipolazione di dati personali;
- l’impossibilità di accedere ai dati personali per cause accidentali o malevole esterne (virus, malware, hacker, phishing, ransomware, spyware, ecc.);
- la perdita o la distruzione di dati personali causata da incidenti, avvenimenti atmosferici (fulmini, allagamenti), incendi, blackout elettrico, altro;
- la diffusione non permessa dei dati personali.
Il titolare (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) che subisce un data breach, deve senza indugio o indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, notificare la violazione al Garante per la protezione dei dati personali.
Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati (clienti, fornitori, dipendenti, soci, iscritti, colleghi, contitolari, ecc.), utilizzando i canali più idonei, a meno che sia improbabile che la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche o che abbia già preso misure tali da ridurne l’impatto.
Gli incaricati, i soggetti designati al trattamento, i responsabili, i DPO (se esiste) che vengono a conoscenza di una violazione DEVONO informare con urgenza il titolare che DEVE attivarsi adottando le misure idonee e necessarie di cui innanzi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere giustificate indicando i motivi del ritardo.
Il titolare del trattamento, oltre a tutte le azioni di cui innanzi e a prescindere dalla notifica al Garante, inserisce tutte le violazioni dei dati personali, in un apposito registro, che aggiorna costantemente.
Tale documento permette all’Autorità di effettuare eventuali verifiche sul rispetto della legge e del Regolamento 2016/679 sulla privacy.
Gli esperti consulenti di odisseoprivacy.com sono a Vostra disposizione per eventuali chiarimenti e consulenze gratuite.
Lo staff.