Una delle novità più significative introdotte dal nuovo Regolamento UE sulla Protezione dei dati (GDPR) consiste nell’obbligo, per amministrazioni pubbliche e aziende, di comunicare al Garante Privacy i casi di Data Breach, ovvero, tutte le violazioni della sicurezza IT in grado di comportare la perdita, distruzione o diffusione indebita dei dati personali trattati.

Al fine di semplificare il recepimento della nuova normativa, il Garante Privacy ha pubblicato sul sito istituzionale un’utile infografica, la quale riassume gli adempimenti previsti in caso di violazione di dati personali.

Tale prescrizione si inserisce all’interno di una riforma ben più ampia della normativa GDPR in materia di tutela dei dati personali, attraverso la quale la Commissione Europea mira:

  • ad armonizzare le normative dei vari Stati Membri, garantendo una disciplina uniforme e omogenea in materia di tutela della Privacy;
  • a rafforzare la protezione dei dati personali all’interno dell’Unione Europea, introducendo nuovi obblighi di trasparenza in capo ai Titolari del Trattamento;
  • a rimuovere gli ostacoli alla libera circolazione dei dati all’interno dell’Unione Europea, assicurando allo stesso tempo maggiori tutele, diritti e poteri di controllo ai Cittadini.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) troverà applicazione a partire dal 25 maggio 2018, dopo un periodo di transizione di due anni, al termine dei quali dovrà essere garantito dai singoli Stati il completo allineamento tra normativa nazionale e disposizioni del nuovo Regolamento.

Cos’è il Data Breach

Cosa si intende esattamente per Data Breach?

Secondo il nuovo Regolamento Europeo (art. 4, c. 12) per «violazione dei dati personali» si deve intendere ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il Regolamento UE, quindi, estende ai Titolari e Responsabili del trattamento l’obbligo di comunicare al Garante Privacy eventuali violazioni dei dati personali a seguito di attacchi informatici, accessi abusivi, incidenti o calamità naturali, come ad es. incendi o alluvioni. Prima della riforma, tale prescrizione era limitata ai soli “fornitori di servizi di comunicazione elettronica accessibili al pubblico”.

L’obiettivo di tale comunicazione è chiaramente quello di consentire al Garante Privacy di attivarsi il prima possibile, valutare tempestivamente la gravità della situazione e stabilire le misure correttive eventualmente da imporre al Titolare per ridurre al minimo i pericoli per la Privacy degli Interessati a cui si riferiscono i dati.

E’ evidente, infatti, la situazione di grave pregiudizio che si verrebbe a creare in caso di perdita, distruzione, modifica o diffusione indebita di dati personali: se non affrontato in modo adeguato e tempestivo, un caso di Data Breach può provocare un danno fisico, materiale o immateriale, sociale o addirittura economico alla persona fisica Interessata (si pensi, ad es., al furto d’identità, alla frode, alla discriminazione, alla perdita del segreto professionale etc.).

Data Breach: gli adempimenti previsti dal Garante Privacy

Il Regolamento GDPR Europeo specifica i soggetti destinatari dell’obbligo di comunicazione, entro quanto tempo, le modalità e il contenuto della notifica e le sanzioni previste in caso di inosservanza della normativa.

La segnalazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico, nel più breve tempo possibile, e deve riportare la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi.

Nella comunicazione deve inoltre essere indicato il Responsabile della Protezione dei dati (c.d. Data Protection Officer), con i relativi dati di contatto.

Il termine entro cui effettuare la notifica al Garante Privacy varia a seconda del soggetto:

Società telefoniche e Internet provider:

La notifica al Garante deve essere effettuata, se possibile, entro 72 ore dall’avvenuta conoscenza del fatto, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

In particolare, entro 24 ore dalla scoperta dell’evento, tali società devono fornire al Garante le informazioni minime necessarie a consentire una prima valutazione dell’entità della violazione; mentre, entro tre giorni dall’evento, devono completare la documentazione con tutte le informazioni richieste dalla legge.

Nel caso in cui la notifica all’autorità di controllo non sia effettuata entro le previste 72 ore, il titolare può comunque inviare la sopra citata notifica, ma è tenuto ad allegare anche un documento in cui illustri i motivi del ritardo.

Pubbliche amministrazioni e strutture sanitarie pubbliche e private:

Tali soggetti devono comunicare, entro 48 ore dalla scoperta, tutte le violazioni di dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali contenuti nelle proprie banche dati (o trattati attraverso il dossier sanitario).

Il termine si riduce a 24 ore, nel caso in cui le violazioni di dati rischiano di avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.

Nei casi più gravi, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento è obbligato a comunicare la violazione anche alla persona a cui si riferiscono i dati (c.d. Interessato), senza ingiustificato ritardo.

Benché la comunicazione agli utenti non sia dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, a discrezione del Garante, può comunque venire imposta la comunicazione agli interessati.

Le sanzioni previste in caso di Data Breach

Nel caso in cui le Pubbliche Amministrazioni o le imprese non rispettino gli obblighi previsti dal regolamento in materia di Data Breach, il Regolamento GDPR Privacy prevede sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

In particolare, sono previste le seguenti sanzioni amministrative:

  • in caso di mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
  • in caso di omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
  • in caso di mancata tenuta dell’inventario delle violazioni aggiornato: da 20mila a 120mila euro.

Se vuoi scoprire come conformare la tua azienda alla nuova normativa Privacy UE ti invitiamo a scaricare il Decalogo Unolegal sulla Privacy (qui di seguito in fondo a questa pagina).