When do you need to notify a data breach?
I dati personali trattati sono stati smarriti, rubati o compromessi?
Is the processing likely to result in high risks?
Devo effettuare una DPIA?
Sì, è necessario eseguire la DPIA
Permangono rischi elevati dopo la valutazione d'impatto sulla protezione dei dati?
Devo effettuare una DPIA?
No personal data breach has occurred.
Consult your Data Protection Authority
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Le violazioni dei dati possono avere un impatto negativo sulla tua organizzazione. Dalla perdita finanziaria, alle multe, al calo della fiducia dei clienti, l'impatto delle violazioni dei dati può essere enorme. Ecco perché è essenziale attuare buone pratiche e procedure in materia di cyber-sicurezza per prevenire gli incidenti in ambito di sicurezza. Nonostante ciò, potresti comunque subire una violazione dei dati che potresti dover notificare alla tua autorità per la protezione dei dati (DPA) nazionale o comunicare alle persone interessate.
Cos'è una "violazione dei dati personali"
Per violazione dei dati personali si intende "una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali accidentale o illegale".
Le organizzazioni dovrebbero essere consapevoli del fatto che una violazione dei dati personali può consistere in molto di più della semplice "perdita" di dati personali. Comprende incidenti che incidono sulla riservatezza, l'integrità o la disponibilità dei dati personali. È importante sottolineare che le violazioni dei dati personali includono incidenti di sicurezza che sono il risultato sia una inavvertenza (come l'invio di un'e-mail al destinatario sbagliato, la perdita di una chiave USB contenente i dati dei clienti o l'eliminazione accidentale di dati medici per i quali non è disponibile alcun backup), nonché di atti deliberati (come gli attacchi di phishing per ottenere l'accesso ai dati dei clienti).
In altre parole, ciò include situazioni come, ad esempio, quella in cui qualcuno accede a dei dati personali o li trasmette senza un'adeguata autorizzazione, o in cui i dati personali sono resi indisponibili attraverso la crittografia tramite ransomware, o perdita o distruzione accidentale. Mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali (poiché potrebbero non esserci dati personali coinvolti in un dato incidente di sicurezza).
Leggi di più
Obblighi per i titolari del trattamento
Se la tua PMI agisce in qualità di responsabile del trattamento dei dati, ci sono tre regole fondamentali per quanto riguarda le violazioni dei dati.
- documentazione di eventuali violazioni dei dati personali
- notifica di eventuali violazioni dei dati personali all'autorità competente per la protezione dei dati (DPA) entro 72 ore, a meno che non sia improbabile che ciò comporti un rischio per le persone; e
- comunicazione di tale violazione ai singoli senza indebito ritardo, qualora la violazione possa comportare un rischio elevato per i singoli.
È della massima importanza che i responsabili del trattamento comprendano e rispettino tali obblighi e rendano effettive in anticipo le procedure appropriate che consentiranno loro di determinare obiettivamente e a tempo debito se sia necessaria una qualsiasi delle notifiche di cui sopra.
In ogni caso, per tutte le violazioni — anche quelle che non sono state notificate ad una Autorità privacy, sulla base del fatto che sono state valutate come non comportabili un rischio — il titolare del trattamento deve documentare almeno i dettagli fondamentali della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta, come richiesto dall'articolo 33, paragrafo 5, del GDPR.
Cosa fare e come agire?
Notifica di violazione dei dati all'Autorità di protezione dei dati personali afferente
Ai sensi dell'articolo 33, paragrafo 1, del GDPR, tutte le violazioni dei dati dovrebbero essere notificate all'Autorità di protezione dei dati afferente, ad eccezione di quelle che non presentano rischi per le persone fisiche. Per facilitare questa notifica, le autorità di protezione dei dati hanno implementato procedure o moduli online che ti guideranno passo dopo passo per assicurarti di fornire tutte le informazioni richieste.
Se la violazione avviene nel contesto del trattamento transfrontaliero e la notifica è richiesta, il titolare del trattamento, se ha sede nel SEE, dovrà notificare all'Autorità di protezione dei dati capofila. Pertanto, al momento di elaborare il proprio piano di risposta alle violazioni, un titolare del trattamento dovrebbe già effettuare una valutazione in merito a quale Autorità per la protezione dei dati sia la capofila a cui dovrà notificare la violazione. Se il titolare del trattamento ha dubbi circa l’identificazione dell'Autorità per la protezione dei dati capofila, dovrebbe, come minimo, informare l'Autorità di protezione dei dati del paese in cui si è verificata la violazione.
Qualora sia richiesta la notifica, ciò deve avvenire il prima possibile ed entro 72 ore dalla notizia della violazione. Nel caso in cui ciò non fosse possibile, sarà necessaria una giustificazione per il ritardo. Un'organizzazione è considerata "consapevole" quando vi è un ragionevole grado di certezza che si sia verificato un incidente di sicurezza e che questo abbia compromesso dei dati personali.
Al fine di poter dimostrare all'Autorità competente per la protezione dei dati quando e come si è venuti a conoscenza di una violazione dei dati personali, si raccomanda a tutte le organizzazioni, nell'ambito delle loro procedure interne in materia di violazioni dei dati personali, di disporre di un sistema per documentare come e quando sono venuti a conoscenza delle violazioni dei dati personali e come hanno valutato il potenziale rischio rappresentato dalla violazione.
Qualora non sia possibile fornire tutte le informazioni pertinenti all'Autorità di protezione dei dati entro il periodo di 72 ore, la notifica dovrebbe essere effettuata in più fasi. Dovrebbe essere presentata la notifica iniziale e poi fornite ulteriori informazioni in fasi successive.
Allo stesso modo, ai sensi dell'articolo 33, paragrafo 2, del GDPR, se la tua PMI è responsabile del trattamento dei dati e tratta dati personali per conto di un'altra organizzazione, devi notificare al titolare del trattamento qualsiasi violazione dei dati personali senza indebito ritardo. Ciò è di fondamentale importanza per consentire al titolare del trattamento di adempiere ai propri obblighi di notifica a tempo debito. I requisiti in materia di segnalazione delle violazioni dovrebbero essere specificati anche nel contratto tra il titolare del trattamento e il responsabile del trattamento, come richiesto dall'articolo 28 del GDPR.
La notifica di una violazione dei dati personali all'Autorità competente per la protezione dei dati deve almeno:
- descrivere la natura della violazione dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo di persone interessate, le categorie e il numero approssimativo di dati personali interessati;
- comunicare il nome e i recapiti del responsabile della protezione dei dati (RPD) o di un altro contatto da cui è possibile ottenere maggiori informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali; e
- descrivere le misure adottate o proposte dalla PMI per affrontare la violazione dei dati personali, comprese, se del caso, le misure per attenuarne i possibili effetti negativi.
Comunicazione di tale violazione alle persone interessate
Inoltre, alcune violazioni dei dati devono essere notificate senza indebito ritardo alle persone interessate. Ciò avviene quando la violazione dei dati personali rischia di comportare un rischio elevato per i diritti e le libertà della persona fisica.
L'intenzione alla base di questo requisito è di garantire che le persone colpite possano prendere le precauzioni necessarie quando si sono verificate violazioni che possono comportare un rischio elevato per loro.
Tali comunicazioni devono essere effettuate senza indugio e, se del caso, in stretta collaborazione con la Autorità per la protezione dei dati competente. Nei casi in cui vi sia la necessità di mitigare un rischio immediato per le persone, sarà necessaria una comunicazione tempestiva.
Ci sono circostanze in cui i responsabili del trattamento non sono tenuti a notificare alle persone fisiche come, ad esempio, quando:
- il titolare del trattamento ha crittografato i dati e le chiavi di cifratura non sono state compromesse;
- il titolare del trattamento ha adottato misure successive che garantiscono che l'elevato rischio per i diritti e le libertà delle persone fisiche non si concretizzi più;
oppure
- ciò comporterebbe uno sforzo sproporzionato. In tal caso, tuttavia, il titolare del trattamento deve comunque garantire, mediante una comunicazione pubblica o una misura analoga, che le persone siano informate in modo altrettanto efficace.
Questa comunicazione alle persone dovrebbe descrivere in modo chiaro e semplice la natura della violazione dei dati personali e dovrebbe includere almeno le seguenti informazioni:
- il nome e i recapiti del responsabile della protezione dei dati o di un altro contatto da cui è possibile ottenere maggiori informazioni;
- una descrizione delle probabili conseguenze della violazione dei dati personali; e
- una descrizione delle misure adottate o proposte dall'organizzazione per affrontare la violazione dei dati personali, comprese, se del caso, le misure per attenuarne i possibili effetti negativi.
- La comunicazione dovrebbe inoltre descrivere le raccomandazioni rivolte alle persone interessate per attenuare i potenziali effetti negativi della violazione.
I titolari del trattamento e i responsabili del trattamento sono incoraggiati a pianificare in anticipo e mettere in atto procedure per essere in grado di individuare e contenere tempestivamente una violazione, per valutare il rischio per le persone fisiche e quindi per determinare se sia necessario informare la competente Autorità di protezione dei dati e comunicare la violazione alle persone interessate quando necessario.
Quando è necessario notificare una violazione dei dati?
