PRIVACY-Nuovo modello per la violazione di dati personali (cd. data breach)

Corso di Formazione Generale e Specifica per Lavoratori
3 Settembre 2019
Corso Preposti
3 Settembre 2019
Il Garante per la protezione dei dati personali ha di recente adottato, in un’ottica di semplificazione, un nuovo specifico provvedimento datato 30 luglio 2019 sulla notifica delle violazioni di dati personali.

Come già sapete, nel caso di violazione di dati da parte della vostra azienda (cd. data breach) – ad esempio la perdita o il furto di un computer o un attacco informatico – la vostra azienda senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui se ne viene a conoscenza, dovrà effettuare la notifica al Garante privacy. L’importante novità è che oggi è disponibile un modello da scaricare al seguente link:
https://www.garanteprivacy.it/documents/10160/0/Modello+notifica+Data+Breach.pdf/6d1fa433-88dc-2711-22ab-dd5d476abe74?version=1.1

Ripercorriamo insieme cosa si intende per “violazione dei dati personali”: la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, punto 12 del Regolamento; art. 2, comma 1, lett. m, del d.lgs. n. 51/2018). Occorre sottolineare che devono essere notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali: ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale. La notifica non è invece necessaria quando sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

L’adempimento della comunicazione delle violazioni di dati previsto dal Regolamento privacy europeo non deve essere sottovalutato: il mancato o ritardato adempimento della comunicazione, quando necessaria, espone alla possibilità di pesanti sanzioni amministrative.
Inoltre il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Vi ricordiamo che il nostro Studio è a vostra completa disposizione per valutare insieme le casistiche e vi invitiamo quindi ad informarci, nel più breve tempo possibile, nel caso in cui si verifichi una qualche violazione di dati.