GDPR IN 10 PUNTI: 10° Data Breach – Violazioni dei dati personali

Siamo arrivati alla data fatidica, oggi 25 Maggio 2018 la normativa sul GDPR entra in vigore!

Il nostro ultimo punto, illustrerà come trattare le violazioni dei dati personali.

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, per esempio a seguito di attacchi informatici, accessi abusivi, incidenti, eventi avversi o altre calamità.

Esiste l’obbligo di comunicare le violazioni dei dati personali (Data Breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati.

Come agire in caso di Data Breach?

La mancanza o il ritardo della comunicazione pone l’azienda nella possibilità di ricevere sanzioni amministrative.
In caso di violazione dei dati personali, il Titolare o il Responsabile del trattamento deve notificare la violazione all’autorità di controllo competente dove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Questo ad eccezione del caso in cui sia improbabile che una violazione dei dati personali possa comportare un rischio per i diritti e le libertà delle persone fisiche.

Che informazioni deve contare i

  • Descrivere la natura della violazione dei dati personali coinvolti e, dove possibile, le categorie ed il numero approssimativo degli interessati in questione;
  • Comunicare il nome e i dati di contatto del Responsabile della protezione dei dati (DPO) o di altro punto di contatto presso il quale poter ottenere più informazioni;
  • Descrivere le probabili conseguenze della violazione dei dati personali;
  • Descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche per smorzare i possibili effetti negativi.

Quando si deve comunicare una violazione dei dati personali all’Interessato e quando si può evitare?

La violazione va comunicata all’interessato se:

✔ La violazione dei dati personali può rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche. La comunicazione va comunicata dal Titolare del Trattamento senza ingiustificato ritardo.

Si può evitare se:

✔ Sono state messe in atto dal Titolare tutte le misure tecniche e organizzative più idonee per la protezione ed esse sono state applicate ai dati personali che hanno subito la violazione, se sono state applicate tecniche di crittografia per rendere incomprensibili i dati personali a chiunque non abbia autorizzazione all’accesso;

✔ Il Titolare del trattamento ha provveduto successivamente ad adottare misure congrue ad evitare l’incombere di un rischio elevato e lesivo dei diritti e delle libertà degli interessati

✔ La comunicazione richiede uno sforzo eccessivo e sproporzionato. Qualora si verifichi questo punto, si deve procedere comunque ad una comunicazione pubblica (o misure simili), con la quale gli interessati possono in ogni caso essere informati efficacemente.

Abbiamo terminato la nostra rubrica #IlGDPRin10Punti, ma non disperate, continuate a seguirci nei prossimi giorni, abbiamo in serbo per voi altre notizie ed informazioni sempre utili in merito alla Normativa del #GDPR!

 

Leggi anche: