Gestire data breach e notifiche al Garante
Ogni organizzazione deve saper riconoscere e gestire una violazione dei dati personali, o data breach. Si tratta di una violazione di sicurezza che comporta, in modo accidentale o illecito, distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato ai dati personali trasmessi, conservati o trattati.
La notifica al Garante spetta al titolare del trattamento. Il DPO, quando presente, può supportare la valutazione dell’incidente e il coordinamento interno, mentre il responsabile del trattamento che viene a conoscenza di una violazione informa tempestivamente il titolare affinché possa attivare le verifiche.
Quando notificare il data breach
Il titolare notifica la violazione al Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza, se la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche. Quando la notifica avviene oltre le 72 ore, vanno indicati i motivi del ritardo.
Anche in assenza di notifica all’Autorità, ogni violazione va valutata e documentata. Il titolare conserva traccia dell’analisi svolta, delle ragioni della decisione, dei dati coinvolti, delle funzioni intervenute e delle misure adottate per limitare gli effetti dell’incidente.
Comunicazione agli interessati
Quando la violazione può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare comunica l’evento anche agli interessati senza ingiustificato ritardo. La comunicazione deve essere chiara e indicare la natura della violazione, le possibili conseguenze, le misure adottate o proposte e i riferimenti utili per ottenere informazioni.
Dati da comunicare nella notifica
La notifica al Garante indica la natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le categorie e il numero approssimativo di registrazioni interessate, i dati di contatto del DPO o di altro punto di contatto, le probabili conseguenze dell’evento e le misure adottate o proposte per porvi rimedio e ridurne gli effetti.
Procedura telematica del Garante
La notifica di una violazione di dati personali va trasmessa al Garante tramite la procedura telematica dedicata, disponibile nel portale dei servizi online dell’Autorità. Il servizio consente anche di effettuare un’autovalutazione per orientare il titolare sulla necessità di notificare l’evento.
Misure interne in caso di incidente
In caso di possibile data breach, l’organizzazione attiva una procedura interna per isolare l’incidente, ricostruire l’accaduto, individuare i dati coinvolti, stimare il rischio per gli interessati, adottare misure correttive e conservare la documentazione dell’intervento.
Tra gli eventi più ricorrenti rientrano accessi non autorizzati, invii errati di dati personali, perdita di dispositivi non cifrati, attacchi informatici, cancellazioni accidentali, impossibilità di accedere ai dati e diffusione indebita di informazioni.