Per violazione dei dati personali ( DATA BREACH) , si intende “una violazione della sicurezza, che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione, accesso, copia o consultazione non autorizzate di dati personali trasmessi, conservati o comunque trattati”. (Art. 4 Regolamento UE 2016/679).

La violazione dei dati personali può essere suddivisa in tre categorie: 

“Confidentiality breach”: divulgazione o accesso non autorizzato o accidentale a dati personali; 

“Availability breach”: perdita o distruzione sia accidentale che non autorizzata di dati personali; 

“Integrity breach”: modifica e/o alterazione non autorizzata o accidentale di dati personali. 

Una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse. 

FIGURE DI RIFERIMENTO 

Titolare del Trattamento – Coordina l’intero processo di gestione della violazione ed è responsabile di ogni decisione a riguardo. 

Amministratore di Sistema – È il delegato aziendale, in possesso di specifiche conoscenze tecniche e con possibilità di accesso ai sistemi aziendali che, una volta informato della situazione, analizza e accerta l’accaduto e ne verifica le cause. 

Responsabile Privacy interno – Si occupa dell’attivazione del piano una volta informato dal Titolare del Trattamento circa l’occorrenza di un Data Breach, provvedendo a darne immediata informazione al DPO con cui collaborerà nella gestione della violazione e nella valutazione circa la necessità di porre in essere tutte le formalità nei confronti del Garante per la Protezione dei Dati Personali e degli interessati coinvolti. 

DPO – Funge da collegamento tra il Titolare del Trattamento e l’Autorità di Controllo. E’ incaricato di coordinare la comunicazione a quest’ultima dell’intervenuto Data Breach e di concordare un piano con il Titolare del trattamento e con il Responsabile Privacy interno che, nella tutela degli utenti e dell’Azienda, possa porre rimedio alla situazione verificatasi. 

PROCEDURE DA SEGUIRE IN CASO DI DATA BREACH 

1. COMUNICAZIONE E INDIVIDUAZIONE DELL’EVENTO

La prima fase consiste nell’individuazione di un evento che determini un possibile Data Breach. Chiunque venga a conoscenza di un possibile Data Breach ne deve dare immediata comunicazione al Titolare del Trattamento

2. ANALISI RISCHI SUI DIRITTI E LIBERTÀ DEGLI INTERESSATI 

Venuto a conoscenza di una violazione dei dati, il Titolare del Trattamento deve immediatamente procedere a valutare, in concreto, se la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. 

2.1 ASSENZA DI RISCHI

In caso non ci fosse alcun rischio connesso all’attacco verso i dati personali coinvolti non sarà obbligatorio né procedere con la notifica all’Autorità Garante né con la comunicazione ai soggetti interessati. Sarà però comunque necessario comprovare e documentare le ragioni della mancata notifica e l’assenza di
rischi.


2.2 PRESENZA DI RISCHI


Nel caso in cui la valutazione effettuata dal titolare del Trattamento faccia emergere la presenza di rischi per i diritti e le libertà degli interessati, il Titolare del Trattamento deve provvedere alla notifica della violazione all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica al Garante non sia effettuata entro 72 ore, il Titolare del trattamento deve indicare i motivi del ritardo.


REGISTRO/ANNOTAZIONE AVVENUTO DATA BREACH


Indipendentemente dal fatto che una violazione venga o meno notificata all’Autorità di controllo, il Titolare del Trattamento deve documentare tutte le violazioni subite, come disposto dall’art.33, paragrafo 5 del GDPR.