Gli obblighi di notifica delle violazioni dei dati previsti dal GDPR (General Data Protection Regulation) dell’UE sono complicati, quindi non sorprende che molte organizzazioni non siano sicure di quello che dovrebbero fare .
l regolamento generale sulla protezione dei dati (GDPR) introduce l’obbligo di notificare una violazione dei dati personali all’autorità nazionale di controllo competente (o, in caso di violazione transfrontaliera, all’autorità principale) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione.
Per alcune organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013) , esistono attualmente obblighi di notifica dei casi di violazione. Vi sono anche alcuni Stati membri dell’UE che hanno già un proprio obbligo nazionale di notifica delle violazioni. Ciò può includere l’obbligo di notificare le violazioni che coinvolgono categorie di responsabili del trattamento oltre ai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio in Germania e in Italia), o l’obbligo di segnalare tutte le violazioni riguardanti i dati personali (come nei Paesi Bassi).
Altri Stati membri possono disporre di codici di condotta pertinenti (ad esempio, in Irlanda ). Mentre alcune autorità di protezione dei dati dell’UE incoraggiano attualmente i responsabili del trattamento a segnalare le violazioni, la direttiva 95/46/CE4 sulla protezione dei dati, che sostituisce la GDPR, non contiene un obbligo specifico di notifica delle violazioni e pertanto tale obbligo sarà nuovo per molte organizzazioni. Il GDPR rende ora obbligatoria la notifica per tutti i responsabili del trattamento, a meno che non sia improbabile che una violazione comporti un rischio per i diritti e le libertà degli individui. Anche gli incaricati del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al responsabile del trattamento.
Le violazioni dei dati personali rappresentano un rischio per i diritti e le libertà delle persone fisiche
Il gruppo di lavoro “articolo 29” (WP29) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. Al momento della notifica all’autorità di controllo, i responsabili del trattamento possono ottenere un parere sull’eventuale necessità di informare le persone interessate. In effetti, l’autorità di controllo può ordinare al responsabile del trattamento di informare tali persone della violazione. La comunicazione di una violazione ai singoli individui consente al responsabile del trattamento di fornire informazioni sui rischi presentati a seguito della violazione e sulle misure che tali persone possono adottare per proteggersi dalle sue potenziali conseguenze. I piani di risposta alle violazioni dovrebbero essere incentrati sulla protezione delle persone e dei loro dati personali. Di conseguenza, la notifica delle violazioni dovrebbe essere vista come uno strumento per migliorare il rispetto delle norme in materia di protezione dei dati personali. Al tempo stesso, va osservato che la mancata comunicazione di una violazione ad una persona fisica o ad un’autorità di controllo può comportare, ai sensi dell’articolo 83, l’applicazione di un’eventuale sanzione al responsabile del trattamento.
Una violazione dei dati è qualsiasi evento in cui la riservatezza, l’integrità e la disponibilità delle informazioni sono compromesse. I dati non hanno solo bisogno di essere rubati per essere violati, ma possono anche essere stati persi, alterati, corrotti o divulgati accidentalmente.
Le violazioni dei dati possono verificarsi a qualsiasi tipo di informazione, ma il GDPR si occupa solo di dati personali. Il regolamento la definisce come “qualsiasi informazione concernente una persona fisica identificata o identificabile”. In altre parole, qualsiasi informazione che riguardi chiaramente una determinata persona.
Può trattarsi del nome di una persona, del numero di identificazione, dell’identificatore online, ecc. o di una combinazione di dettagli che possono essere messi insieme per stabilire l’identità di una persona.
Le violazioni dei dati personali che “rappresentano un rischio per i diritti e le libertà delle persone fisiche” devono essere segnalate alla vostra autorità di controllo.
Si riferisce alla possibilità che le persone colpite debbano affrontare danni economici o sociali, quali discriminazioni, danni alla reputazione o perdite finanziarie.
Le organizzazioni devono segnalare una violazione entro 72 ore dalla scoperta. Il GDPR riconosce che sarà difficile produrre le informazioni necessarie entro questo lasso di tempo, quindi non ci si aspetta che tu fornisca dettagli completi.
Un recente sondaggio del Ponemon Institute ha rilevato che una organizzazione su quattro sarà vittima di una violazione dei dati nei prossimi due anni. Questo significa che c’è una buona probabilità che si possa subire un destino simile a quello di Uber.
Ma sarete in grado di gestire il processo in modo efficace o dovrete affrontare sanzioni severe che potrebbero avere effetti a lungo termine?
Per informazioni o consulenze sul GDPR (General Data Protection Regulation) o sei hai dei dubbi sulla Violazione di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 non esitare a contattarci o compila il seguente modulo e sara rincontatto.