Articolo 34 GDPR

Comunicazione di una violazione dei dati personali all’interessato

1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
   a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
   b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
   c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

SPIEGAZIONE

L’articolo 34 GDPR prevede un obbligo, in capo al titolare del trattamento, di comunicazione all’interessato la violazione dei dati personali. Il Legislatore europeo qui si occupa di tutti gli adempimenti che il titolare del trattamento deve porre in essere una volta che si verifica un data breach.

Il data breach, o violazione dei dati personali, è dettagliatamente descritto dall’art. 4 comma 12 del presente Regolamento. In particola, il data breach consiste in una “violazione di sicurezza che comporta accidentalmente o in modo illecito:

• la distruzione. Per distruzione si intende una violazione che porta all’indisponibilità permanente dei dati personali con impossibilità di ripristino. Si parla di distruzione accidentale quando essa è causata da un evento naturale al di fuori del controllo umano, oppure da malfunzionamenti tecnici oppure quando i dati vengono cancellati inavvertitamente e non sono disponibili copie di backup. Si tratta, invece, di distruzione illecita nel caso in cui questa sia causata dal danneggiamento fisico o manomissione di di infrastrutture informatiche oppure se deriva da una instabilità sociale (guerra, terrorismo e proteste).
• la perdita. Con il termine perdita si intende lo smarrimento o sottrazione dei dati personali. È accidentale quando deriva dallo smarrimento di dispositivi mobili, dallo smaltimento non sicuro dei supporti di archiviazione dei dati (es. hard disk) o dallo smarrimento della chiave di cifratura. È illecita quando è determinata dal furto di apparecchiature o da eventi tesi alla cancellazione sicura dei dati con impossibilità di ripristino degli stessi.
• la modifica. La modifica è il cambiamento dei dati personali improprio o non autorizzato, in grado di compromettere la correttezza delle informazioni. È accidentale nel momento in cui è causata da errori umani in grado di apportare cambiamenti indesiderati alle informazioni. È illecita quando la modifica deriva dall’azione di malware come i ransomware.
• la divulgazione non autorizzata. Si tratta della rivelazione dei dati a terzi. È accidentale quando causata da un errore umano (es. invio di documenti a destinatari errati). È illecita se la divulgazione non autorizzata avviene deliberatamente da criminali informatici che espongono le informazioni online a seguito di un accesso abusivo.
• l’accesso ai dati personali trasmessi, conservati o comunque trattati“. Si parla, qui, di attività di trattamento di dati personali effettuata da soggetti non autorizzati. È accidentale se i soggetti non autorizzati entrano a contatto con i dati a a seguito di una errata configurazione dei sistemi. È, invece, illecita, se deriva da attività di spionaggio o da un attacco.

Quando si verifica uno degli eventi descritti sopra, oltre alla comunicazione all’Autorità di controllo (ai sensi dell’art. 33 GDPR), il titolare deve inviare una comunicazione pure all’interessato.

Lo scopo di questa comunicazione è quella di fornire agli interessati tutte le informazioni che riguardano la violazione al fine di renderle dotte delle cause e possano alzare il livello di attenzione, magari adottando personalmente le misure di protezione atte alla minimizzazione dei rischi sui propri dati.

A differenza della comunicazione di cui all’articolo precedente, non è qui previsto un termine, dovendo questa comunicazione essere fornita il prima possibile e senza ingiustificato ritardo. Essa deve avvenire nelle modalità più dirette possibili, come: sms, email, lettere oppure tramite annuncio pubblico. La comunicazione deve obbligatoriamente avere il seguente contenuto:

• descrizione della natura della violazione;
• il nome e i contatti del Data Protection Officer (DPO);
• descrizione delle probabili conseguenze della violazione, delle misure adottate o che si propone di adottare.

Rimani aggiornato, segui la nostra pagina Facebook!

Pagina creata da FreeAttitude.net