Art. 33 GDPR

Notifica di una violazione dei dati personali all’autorità di controllo

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
   a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
   b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
   c) descrivere le probabili conseguenze della violazione dei dati personali;
   d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

SPIEGAZIONE

L’articolo 33 GDPR prevede quelli che sono gli adempimenti del titolare dopo una violazione dei dati personali, altrimenti detta data breach.

Il data breach è definito dall’art. 4 comma 12 del GDPR come una “violazione di sicurezza che comprende accidentalmente o in modo illecito:

• la distruzione. Per distruzione si intende una violazione che porta all’indisponibilità permanente dei dati personali con impossibilità di ripristino. Si parla di distruzione accidentale quando essa è causata da un evento naturale al di fuori del controllo umano, oppure da malfunzionamenti tecnici oppure quando i dati vengono cancellati inavvertitamente e non sono disponibili copie di backup. Si tratta, invece, di distruzione illecita nel caso in cui questa sia causata dal danneggiamento fisico o manomissione di di infrastrutture informatiche oppure se deriva da una instabilità sociale (guerra, terrorismo e proteste).
• la perdita. Con il termine perdita si intende lo smarrimento o sottrazione dei dati personali. È accidentale quando deriva dallo smarrimento di dispositivi mobili, dallo smaltimento non sicuro dei supporti di archiviazione dei dati (es. hard disk) o dallo smarrimento della chiave di cifratura. È illecita quando è determinata dal furto di apparecchiature o da eventi tesi alla cancellazione sicura dei dati con impossibilità di ripristino degli stessi.
• la modifica. La modifica è il cambiamento dei dati personali improprio o non autorizzato, in grado di compromettere la correttezza delle informazioni. È accidentale nel momento in cui è causata da errori umani in grado di apportare cambiamenti indesiderati alle informazioni. È illecita quando la modifica deriva dall’azione di malware come i ransomware.
• la divulgazione non autorizzata. Si tratta della rivelazione dei dati a terzi. È accidentale quando causata da un errore umano (es. invio di documenti a destinatari errati). È illecita se la divulgazione non autorizzata avviene deliberatamente da criminali informatici che espongono le informazioni online a seguito di un accesso abusivo
• l’accesso ai dati personali trasmessi, conservati o comunque trattati“. Si parla, qui, di attività di trattamento di dati personali effettuata da soggetti non autorizzati. È accidentale se i soggetti non autorizzati entrano a contatto con i dati a a seguito di una errata configurazione dei sistemi. È, invece, illecita, se deriva da attività di spionaggio o da un attacco.

In particolare, l’articolo in questione stabilisce che la notifica di data breach deve essere effettuata dal titolare del trattamento all’Autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza. Scaduto tale termine, il titolare del trattamento deve giustificare il motivo del ritardo.

È bene specificare che nel lasso di tempo che occorre al titolare del trattamento per raggiungere la certezza di essere in presenza di una violazione, non è da considerarsi ancora “a conoscenza”.

La notifica deve contenere obbligatoriamente determinate informazioni, quali:

• la descrizione della natura della violazione dei dati;
• l’indicazione delle categorie dei dati (se possibile con l’indicazione del numero di persone coinvolte e del volume approssimativo dei dati);
• i dati di contatto del titolare del trattamento e, ove presente, il nome e i dati di contatto del Data Protection Officer (DPO);
• la descrizione delle possibili conseguenze del data breach e delle misure adottate per porre rimedio.

Rimani aggiornato, segui la nostra pagina Facebook!

Pagina creata da FreeAttitude.net