Per data breach si intende qualsiasi violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
La notifica al Garante di eventuali violazioni di dati dovrà avvenire da parte del Titolare del Trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della violazione.
Se si ha motivo di ritenere che possa esserci un rischio importante per la sicurezza degli interessati coinvolti, il prima possibile è necessario avvertire anche gli interessati.
La notifica può non avvenire nel caso si ritenga improbabile che la violazione possa rappresentare un rischio per i diritti e le libertà fondamentali delle persone.
In base alle specifiche circostanze, mentre alcune violazioni saranno facilmente rilevabili, per altre sarà necessario avviare un’indagine più approfondita. In questi casi, durante la fase di investigazione, il Titolare può essere considerato come priva di un adeguato grado di conoscenza, dunque non in condizione tale da far scattare immediatamente l’obbligo di notifica.
Come deve essere fatta la notifica
La notifica deve:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
- descrivere le probabili conseguenze delle violazioni dei dati personali
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi
Può interessarti anche: “Procedura di Data Breach”
Comunicazione agli interessati
Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione.
Tale comunicazione non è richiesta all’interessato se:
- il titolare del trattamento ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
- Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati
Detta comunicazione può avvenire anche attraverso una comunicazione pubblica o a misura similare
Data breach presso un responsabile esterno del trattamento
Quando un terzo agisce in qualità di Responsabile esterno della attività di trattamento svolte per conto e nell’interesse del Titolare di Trattamento, in caso di violazione dei dati personali, deve informare il Titolare, senza ingiustificato ritardo e non al più tardi di 24 ore dal momento in cui ha conoscenza della violazione, inviando una comunicazione e successivamente collaborare con il Titolare avviando un’analisi preliminare finalizzata alla raccolta dei dati concernenti l’anomalia comunicando:
- ϖ data evento, anche la data presunta di avvenuta violazione (in tal caso va specificato)
- ϖ data e ora in cui si è avuto conoscenza della violazione
- ϖ fonte della segnalazione; ϖ tipologia di violazione e di informazioni coinvolte
- ϖ descrizione evento anomalo
- ϖ numero di interessati coinvolti
- ϖ numerosità di dati personali di cui si presume una violazione
- ϖ indicazione della data, anche presunta, della violazione e del momento in cui se ne è avuta conoscenza
- ϖ indicazione del luogo in cui è avvenuta la violazione dei dati, specificando altresì se essa sia avvenuta a seguito di smarrimento di device mobili
- ϖ sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione
Una volta condotta l’analisi preliminare, il Responsabile esterno deve condurre un’analisi di primo livello per verificare che la segnalazione non tratti un falso positivo.
All’esito dell’accertamento, qualora si tratti di un falso positivo il Responsabile esterno deve comunicarlo immediatamente al Titolare agli stessi indirizzi di cui sopra, al fine di consentirgli di inserire l’evento nella sezione “eventi falsi positivi” del Registro dei Data Breach.
In caso contrario, il Responsabile recupera le informazioni di dettaglio sull’evento necessarie alle analisi di secondo livello, e le riporta nella Scheda Evento che deve essere inviata, possibilmente via PEC, tempestivamente e non oltre 24 ore dalla conoscenza della violazione, al Responsabile della Protezione dei Dati del Titolare.
L’evento deve essere inserito dal Titolare in un apposito Registro dei Data Breach.