Notifica di una violazione di dati

Pubblicato il 15 Giugno 2019

Tempo di lettura stimato: 2 minuti e 12 secondi.

L'obbligo di notifica di una violazione dei dati non è una novità nell'ordinamento italiano: già dal 2012 esiste un obbligo di notifica delle violazioni di dati (anche chiamato Data Breach) in capo alle società telefoniche e agli internet provider.

Con il Regolamento generale sulla protezione dei dati quest'obbligo viene esteso a tutti i Titolari del trattamento, i quali:

“In caso di violazione dei dati personali […] notifica(no) la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche."

L'obbligo di notificazione delle violazioni di dati non sta solo in capo al Titolare; anche il Responsabile del trattamento è tenuto a collaborare, informando il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione.

La comunicazione può essere dovuta nei confronti dell'Autorità di controllo e, in alcuni casi, anche nei confronti degli interessati. Più precisamente, è necessario informare gli interessati di una violazione, quando questa:

"…è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”

ed il Titolare non ha adottato misure di sicurezza (preventive o successive) atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.

Una classificazione generale delle violazioni le raggruppa in tre tipologie:

  1. Violazione di riservatezza - accesso non autorizzato o pubblicazione accidentale;
  2. Violazione dell'integrità - alterazione dei dati accidentale o non autorizzata;
  3. Violazione della disponibilità - accidentale o non autorizzata perdita di disponibilità o distruzione di dati.

Una comunicazione di violazione dei dati dovrebbe contenere almeno:

  • una descrizione della natura della violazione dei dati personali (le categorie e il numero approssimativo di interessati, le categorie e il numero approssimativo di record dei dati personali in questione);
  • il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni;
  • le probabii conseguenze della violazione dei dati personali;
  • le misure di sicurezza adottate o di cui si propone l'adozione da parte del Titolare.

Qualora non sia possibile fornire le informazioni contestualmente, queste possono essere fornite in fasi successive.