Iscriviti al sito e alla newsletter di Filodiritto.

Welcome kit in omaggio

La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione.

Come gestire un Data Breach ai sensi del Nuovo Regolamento UE

04 settembre 2018 -
Come gestire un Data Breach ai sensi del Nuovo Regolamento UE

Abstract

Alla luce delle importanti novità introdotte dal Nuovo Regolamento UE 2016/679, il presente articolo mira ad offrire conoscenze utili per identificare e gestire un data breach.

In particolare, sono descritti gli obblighi di disclosure previsti a carico del Titolare del trattamento per prevenire, limitare ed i eliminare i danni causati dalla violazione ed i presupposti in presenza dei quali non sono richieste comunicazioni.

In ultimo, al fine di comprendere i risvolti pratici delle nuove disposizioni, si offrono spunti di riflessione in ordine all’applicabilità della nuova disciplina al caso Cambridge Analytica.

 

Cos’è un data breach e quali sono i rischi più frequenti a cui può dar luogo

Il Regolamento UE 2016/679 dedica una disciplina specifica al “data breach”, ossia all’ipotesi di una violazione di sicurezza che comporti accidentalmente, o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque trattati (Articolo 4 par. 12 RGDP).

Le Linee Guide del Working Party 29 del 3.10.2017 chiariscono che per data breach deve intendersi un incidente di sicurezza che può dar luogo: ad una “violazione della confidenzialità, della disponibilità ovvero dell’integrità” dei dati trattati a danno dell’interessato. Si pensi, rispettivamente, ai casi di distribuzione, perdita di accesso ovvero distruzione e modifica accidentali, o non autorizzate, dei dati personali.

Il Considerando 85 del Regolamento Ue indica alcuni tra i principali rischi cui può dar luogo una violazione dei dati personali non affrontata in modo adeguato e tempestivo. In particolare, tra i rischi più frequenti, vi sono: danni materiali o morali alle persone fisiche, come la perdita del controllo dei dati o la limitazione dei diritti degli interessati; episodi di discriminazione, di furto o usurpazione d’identità; perdite finanziarie; pregiudizi alla reputazione ovvero di natura economica e sociale a danno dell’interessato.

Obblighi di disclosure e possibili eccezioni

Al fine di porre rimedio alla violazione e di limitare i danni, ai sensi dell’articolo 33 del Regolamento Ue, il Titolare del trattamento, venuto a conoscenza della violazione deve, senza ritardo e, ove possibile, entro 72 ore, notificare l’accaduto all’Autorità di controllo competente. Trascorso il termine di 72 ore, la notifica deve essere corredata da valide ragioni che giustifichino il ritardo.

La notificazione potrà essere evitata solo laddove sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In seguito, se richiesto, sarà onere del titolare del trattamento dimostrare, conformemente al principio di responsabilità, che le prerogative dell’interessato non erano suscettibili di subire un pregiudizio.

Esclusa tale ultima eventualità, il titolare deve effettuare la notifica nei modi e nei tempi previsti dal Regolamento. La ratio risiede nell’esigenza di offrire all’Autorità di controllo tutta la documentazione utile per le successive verifiche. Pertanto, dovranno essere documentate:

  • le circostanze in cui si è verificata la violazione. In particolare, se possibile, dovranno essere descritte la natura della violazione dei dati personali, le categorie ed il numero approssimativo di registrazioni dei dati in questione;
  • il nome e le coordinate di contatto del titolare della protezione dei dati o di altra persona presso cui ottenere informazioni utili;
  • le conseguenze della violazione ed i provvedimenti adottati per porvi rimedio ovvero per attenuarne i possibili effetti negativi.

Il mancato rispetto degli obblighi di disclosure autorizza il Garante della privacy ad applicare le sanzioni previste dall’articolo 58 comma 2 (vale a dire: avvertimenti, ammonimenti, ingiunzioni, imposizione di limiti al trattamento, ordine di rettifica, revoca di certificazioni, ordine di sospendere i flussi di dati)  nonché le sanzioni amministrative di cui all’articolo 83 commi 4 e 5, il cui importo può arrivare fino a 10 milioni di euro ovvero al 2% del fatturato totale annuo dell’esercizio precedente.

Quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve altresì darne comunicazione all’interessato in modo chiaro e facilmente comprensibile.

La comunicazione all’interessato è, in ogni caso, esclusa quando il titolare del trattamento utilizzi misure tecniche ed organizzative idonee ad evitare che l’interessato sia esposto a pregiudizi (ad esempio, cifrando le informazioni, quindi rendendo i dati incomprensibili a chiunque non sia autorizzato ad accedervi); ovvero quando abbia adottato, ex post, misure atte ad evitare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati. Il titolare può altresì evitare di comunicare all’interessato la violazione laddove ciò richieda sforzi sproporzionati e la conoscenza della stessa possa essere assicurata in egual modo attraverso una comunicazione pubblica o un’altra misura simile.

Articolo pubblicato in: Diritto della privacy


About

  • Contatti
  • Redazione
  • Pubblicità
  • Avvertenze
  • Privacy
  • Cookie

Newsletter

Rimani aggiornato sulle novità e gli articoli più interessanti della redazione di Filodiritto, inserisci la tua mail:

Iscriviti alla newsletter

© Filodiritto 2001-2019

Filodiritto è un marchio di InFOROmatica S.r.l.
P.Iva 02575961202
Capitale sociale: 10.000,00 i.v.
Direttore responsabile: Antonio Zama
Tribunale Bologna 24.07.2007,
n.7770 - ISSN 2239-7752

Sempre aggiornato

Scrivi la tua mail per ricevere le ultime novità, gli articoli e le informazioni su eventi e iniziative selezionati dalla redazione di Filodiritto.

*  Email:

Leggi l'informativa sulla privacy

Sede legale e amministrativa InFOROmatica S.r.l. - Via Castiglione 81, 40124 - Bologna
Tel. 051.98.43.125 - Fax 051.98.43.529

Credits webit.it