Quando si parla di dati personali e GDPR uno degli argomenti strettamente connessi è il data breach. Di cosa si tratta?
Con data breach si intende la violazione accidentale (ad esempio un incendio che distrugge i server contenenti i dati) o illecita (cioè dolosa, come un attacco informatico) dei dati personali, che comporta quindi la violazione dei diritti e della sicurezza di una persona fisica. Come indicato nell’articolo 4 del GDPR, si parla di violazione nelle seguenti eventualità:
- distruzione
- perdita
- modifica
- divulgazione non autorizzata
- accesso a
“dati personali trasmessi, conservati o comunque trattati”.
Notifica della violazione
Nella pratica che cosa avviene una volta appurata una violazione dei dati personali? È l’articolo 33 del GDPR a trattare l’argomento.
Se la violazione comporta un rischio per gli interessati, il Titolare deve comunicarla tramite il form disponibile sul sito del Garante Privacy in tempi rapidi (non più di 72 ore da quando ne è venuto a conoscenza; in caso di ritardo, la notifica deve essere presentata insieme alle motivazioni del ritardo).
Se la violazione comporta un rischio elevato, il Titolare deve comunicarla anche all’interessato (articolo 34 del GDPR) senza ingiustificato ritardo. Il Garante ha comunque il potere (correttivo) di ingiungere al Titolare del trattamento la comunicazione della violazione all’interessato (articolo 58 del GDPR).
Il Titolare del trattamento deve documentare in un apposito registro tutti i tipi di violazione che avvengono, in quanto utile al Garante Privacy per fare i dovuti accertamenti, ma anche per il Titolare, per monitorare la situazione della sicurezza effettivamente garantita ai dati trattati.
In caso di violazione e in generale nell’ambito della protezione dati, per l’azienda/organizzazione che effettua il trattamento dati è fondamentale anche la figura del Data Protection Officer (DPO), che fornisce consulenza, controlla il grado di adempienza e agisce da tramite con il Garante.
Sanzioni
Il Garante ha il potere di comminare sanzioni correttive e/o pecuniarie amministrative in caso di violazione, mancato rispetto della procedura di notifica di violazione e in caso di assenza di notifica, come indicato nell’articolo 58 del GDPR.
Le sanzioni correttive possono consistere nella limitazione temporanea o nel blocco definitivo del trattamento oppure in avvertimenti (rivolti al Titolare del trattamento) per rischio di violazione delle norme.
Le sanzioni pecuniarie amministrative, invece, hanno un importo variabile che deve essere stabilito in base a criteri di dissuasività, effettività e proporzionalità. L’importo può arrivare fino a 10 milioni di euro oppure per le aziende può essere pari fino al 2% del fatturato mondiale annuo.
La Valutazione di Impatto del Trattamento (DPIA)
In caso di violazione è fondamentale la consultazione della Valutazione di Impatto del Trattamento (Data Protection Impact Assessment, DPIA). Si tratta di un documento redatto dal Titolare del trattamento in cui vengono preventivamente analizzati i rischi dei trattamenti messi in opera. La redazione del DPIA è sempre consigliata e in alcuni casi è obbligatoria. Ecco quando (articolo 35 del GDPR):
- “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”;
- “il trattamento, su larga scala, di categorie particolari di dati personali […] (d.r. ad esempio dati che rivelano l’origine razziale o etnica, le opinioni politiche, dati genetici) o di dati relativi a condanne penali e a reati […]”;
- “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.”
