Notizie

  1. Home
  2. Articoli

Regolamento UE Privacy: Violazione Dati Personali Data Breach

30 Ottobre, 2016 Privacy
Data Breach Violazione Dati Personali Regolamento UE Privacy

Il Regolamento Europeo Privacy EU/2016/679 definisce “Data Breach o Violazione dei Dati Personali” qualsiasi violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione o l'accesso non autorizzato a dati personali, indipendentemente dalla causa che l’ha generata.

La corretta gestione dei data breach, assume con il Regolamento UE Privacy un’importanza fondamentale, in quanto una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare gravi e ingenti danni materiali, immateriali, economici e sociali alle persone fisiche interessate (quali a titolo esemplificativo: furto di identità, perdite finanziarie, discriminazioni, danni alla reputazione e all’immagine…).

Per tale motivo il Regolamento UE Privacy, in caso di data breach, impone a tutti i Titolari del Trattamento (indipendentemente da dimensione, fatturato e settore di intervento) la notificazione privacy della violazione dati personali al Garante per la Protezione dei Dati Personali entro 72 ore dal momento in cui si è venuti a conoscenza del fatto.

Nel caso, il titolare del trattamento provveda alla notificazione del data breach oltre il termine di 72 ore, dovrà motivare al Garante Privacy le ragioni del ritardo, al fine di non incorrere nelle sanzioni previste dal Regolamento Europeo Privacy.

Il titolare del trattamento è esentato dall’effettuare la notifica solo se è in grado di dimostrare al Garante Privacy che la violazione dei dati personali non presenta rischi per i diritti e per le libertà fondamentali delle persone fisiche interessate.

Qualora oggetto di data breach sia stato un trattamento affidato in esterno ad un responsabile del trattamento, il Regolamento UE Privacy, impone anche al fornitore l’obbligo di comunicare tempestivamente al titolare del trattamento l’avvenuta violazione dei dati personali.

Nel caso in cui la violazione dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, il regolamento europeo privacy, infine, obbliga il titolare del trattamento a comunicare l’avvenuto data breach anche a ciascun interessato al fine di consentirgli di adottare idonee precauzioni volte a ridurre al minimo il potenziale danno derivante dalla violazione dei suoi dati personali.

La comunicazione del data breach all’interessato deve essere effettuata utilizzando un linguaggio semplice e chiaro e deve contenere un’accurata descrizione della natura della violazione dei dati personali, nonché suggerimenti e raccomandazioni su come poter attenuare i potenziali effetti negativi derivanti dalla violazione dei suoi dati personali.

Il titolare del trattamento è esentato dall’effettuare la comunicazione della violazione dati personali all’interessato solo se è in grado di dimostrare al Garante Privacy di aver adottato almeno una delle seguenti contromisure:

  • misure di sicurezza tecniche e organizzative preventive idonee a proteggere i dati personali in caso di data breach (es: cifratura dei dati…)
  • misure di sicurezza tecniche e organizzative successive al data breach idonee a prevenire un rischio elevato per i diritti e le libertà fondamentali degli interessati.

Il titolare del trattamento è, inoltre, esentato dall’effettuare una comunicazione individuale all’interessato della violazione dati personali se è in grado di dimostrare al Garante Privacy che tale comunicazione richiederebbe sforzi sproporzionati. In tal caso, in alternativa ad una comunicazione individuale deve procedere con una comunicazione pubblica o con un’altra misura similare con analoga efficacia.

La violazione degli obblighi di notificazione privacy della violazione dati personali e degli obblighi di comunicazione del data breach all’interessato è punita dal Regolamento Europeo Privacy in maniera molto severa con una sanzione amministrativa pecuniaria fino a € 10.000.000 o fino al 2 % del fatturato mondiale annuo dell'esercizio precedente se superiore.

Inoltre in caso di data breach, l’interessato che subisce un danno materiale o immateriale causato da una violazione dei dati personali, ha anche il diritto di ottenere il risarcimento del danno, a meno che il titolare del trattamento non riesca a dimostrare di avere adottato tutte le misure di sicurezza previste dal Regolamento Europeo Privacy e che l'evento dannoso non gli è in alcun modo imputabile.

Per evitare di dover incorrere in onerose sanzioni amministrative e al risarcimento danni, tutte le aziende devono adottare preventive misure di sicurezza idonee ridurre al minimo i rischi derivanti da un data breach e predisporre specifiche procedure privacy aziendale per la gestione delle violazioni dei dati personali, della notificazione privacy e delle comunicazioni agli interessati.

Dr. Eric Falzone – Data Protection Officer Advisor – Partner EUCS

Articoli Privacy EUCS – www.eucs.it