Una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone coinvolte.
Esempio con la perdita del controllo dei dati che li riguardano o limitando i loro diritti.
Ipotizziamo un esempio di fantasia, ma non troppo:
Immaginiamo che il data base della banca presso la quale abbiamo il conto corrente venga violato.
A parte le questioni che dovrebbe risolvere la banca, a noi come persone, ai correntisti, cosa potrebbe accadere?
Dipende dalla natura della violazione.
Se si trattasse di una perdita di dati, ci succederebbe poco o nulla.
Se si trattasse di una manomissione, potremmo trovarci movimenti errati sul conto e dovremmo preoccuparci di verificare, richiedere rettifiche, dimostrare l’errore.
Se invece i dati venissero copiati e usati in modo illecito, potremmo trovarci vittime di addebiti e scoprire che il nostro denaro si è trasformato in qualcosa di non tracciabile, ad esempio Bitcoin ed è stato trasferito.
Se ad essere violato fosse un consulente del lavoro, gli intestatari delle buste paga conteggiate potrebbero trovarsi pignorato illecitamente il quinto dello stipendio, anche quello trasformato in Bitcoin e volatilizzato.
Se fossero gli archivi sanitari potremmo essere penalizzati in occasione di una selezione per un posto di lavoro.
Sono solo esempi, ma il punto è che chi viola dati ha un obiettivo: economico o di opportunità.
Comunque sia, i proprietari dei dati sono vittime.
Il Titolare del trattamento deve notificare l’avvenuta violazione all’Autorità di controllo competente, senza ingiustificato ritardo, entro 72 ore dal momento in cui ne è venuto a conoscenza.
Dove opportuno, il prima possibile, devono essere avvertiti gli interessati.
È dunque opportuno introdurre una procedura specifica e coinvolgere tutti i soggetti, autorizzati e responsabili nominati, prevedendo:
- a chi si rivolge
- scopo e campo di applicazione
- rilevazione delle violazioni
- raccolta delle informazioni e segnalazione
- valutazione del rischio
- individuazione delle azioni correttive
- notifica
- registro delle violazioni