
Data Breach: obblighi del Titolare del Trattamento e sanzioni
23 Aprile 2019
Sono mesi che sentiamo parlare di GDPR e in molti si saranno chiesti a livello pratico come influenza la vita di tutti i giorni.
Possiamo dire che nasce con esigenze specifiche di certezza giuridica, armonizzazione e maggiore semplificazione delle norme riguardanti la protezione ed il trasferimento dei dati personali in Europa.
Che cosa succede se, dopo l’entrata in vigore del Nuovo Regolamento, c’è una violazione accidentale o illecita dei dati trasmessi, conservati oppure trattati? Scopriamolo insieme nell’articolo dedicato!
VIOLAZIONE DEI DATI PERSONALI, CHE COSA SIGNIFICA?
Il Regolamento Europeo 679/2016 ha presentato novità significative in tema di violazione dei dati o più comunemente “data breach”.
Come riconoscere un data breach? Partiamo dalla definizione dell’articolo 4: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Secondo gli articoli 33 e 34, il Titolare del trattamento o il Responsabile ha l’obbligo di notificare una violazione dei dati personali all’autorità di controllo nazionale competente e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali siano stati violati. L’obbligo sussiste in tutte le occasioni in cui la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche e deve essere notificata all’autorità di controllo competente entro 72 ore dal momento in cui il Titolare è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. La finalità principale dell’obbligo di notifica consiste nell’incoraggiare il titolare del trattamento ad agire prontamente in caso di violazione, a contenerla e, se possibile, a recuperare i dati personali compromessi e a chiedere un parere all’autorità di controllo circa l’opportunità di effettuare la notifica alle persone fisiche interessate.
Ora ti starai ponendo la domanda: ma esisteva già un obbligo di notifica in passato? Sì, era già previsto per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, per il trattamento di dati biometrici, per i dati sanitari inseriti in Dossier e i dati comunicati tra PA, tuttavia con il GDPR la prescrizione è stata estesa a tutti i titolari e/o responsabili del trattamento dei dati.
GLI OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
Il GDPR è stato pubblicato con un unico importante fine: tutelare i diritti degli interessati.
Per evitare che i dati siano violati si richiede anzitutto l’implementazione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza strettamente correlato al rischio cui sono esposti i dati personali trattati.
Ha quindi rilevante importanza con l’entrata in vigore del nuovo Regolamento, che vi sia una spiccata capacità di prevenire la violazione e di reagire tempestivamente. Questo punto costituisce un aspetto essenziale nella gestione del data breach.
Nel caso in cui la notifica non sia effettuata nelle prime 72 ore, essa dovrà essere corredata dei motivi del ritardo. Tale circostanza si potrebbe verificare quando il titolare subisca in poco tempo violazioni della riservatezza multiple e simili che coinvolgono allo stesso modo un gran numero di interessati. Ogni singola violazione costituisce un incidente segnalabile, tuttavia per evitare che il processo diventi eccessivamente oneroso, il titolare del trattamento può presentare una notifica cumulativa che rappresenti tutte le violazioni in questione, a condizione che riguardino il medesimo tipo di dati personali e che questi siano violati nel medesimo modo in un lasso di tempo relativamente breve.
CHE COSA DEVE FARE IL TITOLARE DOPO LA NOTIFICA?
Una volta notificata all’autorità di controllo la violazione dei dati personali, nello step successivo figura la comunicazione all’interessato, qualora la violazione dei dati è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il considerando 88 del Regolamento precisa che in determinate circostanze giustificate dalle autorità competenti, il titolare può dare notizia del data breach in un momento successivo, quando la comunicazione non pregiudica più l’indagine.
È opportuno chiarire che per l’interessato il rischio di una violazione è elevato quando comporta un danno fisico, materiale o immateriale. Ad esempio, se a fronte della violazione dei dati l’interessato rischi di essere discriminato, o di subire un furto o un’usurpazione di identità, perdite finanziarie e persino pregiudizio alla propria reputazione, il rischio che si configura è elevato per i danni che esso comporta ed è quindi necessaria la notifica all’interessato.
Il titolare è comunque tenuto a conservare la documentazione di tutte le violazioni. Per tali ragioni si richiede la predisposizione di un registro interno delle violazioni, una sorta di registro degli eventi negativi, indipendentemente dal fatto che sia tenuto ad effettuare la notifica o meno.
COSA SUCCEDE SE IL TITOLARE NON RISPETTA GLI OBBLIGHI?
In caso di omessa notifica della violazione dei dati, l’autorità di controllo dovrà effettuare una scelta e prendere in considerazione tutte le misure correttive a sua disposizione, tra cui l’imposizione di una sanzione amministrativa pecuniaria appropriata, in associazione a una misura correttiva ai sensi dell’articolo 58, paragrafo 2, oppure una sanzione indipendente. Qualora l’autorità opti per una sanzione amministrativa pecuniaria il suo valore può ammontare fino a un massimo di 10.000.000 euro o fino al 2% del fatturato totale annuo globale di un’impresa ai sensi dell’articolo 83 del regolamento.