CONSEGUENZE PER GLI INTERESSATI


Una violazione dei dati personali (DATA BREACH), può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, ad esempio la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale etc., nonché qualsiasi altro danno economico o sociale, sia fisici, che materiali o immateriali.


Di conseguenza, il Titolare del Trattamento notificherà le violazioni all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, fatta salva l’improbabilità che la violazione presenti il rischio che si verifichino detti effetti negativi.
Laddove sia altamente probabile che tali effetti negativi si verifichino, il Titolare del Trattamento comunicherà la violazione anche alle persone fisiche interessate senza ingiustificato ritardo.


COMUNICAZIONE AL GARANTE


In ossequio all’articolo 33, paragrafo 3, la notifica dovrà almeno:


“a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;


b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;


c) descrivere le probabili conseguenze della violazione dei dati personali;


d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi”.


COMUNICAZIONE ALLE PERSONE FISICHE


In alcuni casi, oltre a effettuare la notifica all’Autorità di controllo, il Titolare del trattamento comunica la violazione alle persone fisiche interessate.
L’articolo 34, paragrafo 1, afferma che: “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà
delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato
ritardo”.

Tale notifica deve:


a) Descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali.


b) Comunicare il nome e i dati di contatto del Responsabile della Protezione dei Dati o di altro punto di contatto presso cui ottenere più informazioni.

c) Descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.

Non è necessario notificare la violazione all’interessato quando:


• il Titolare ha implementato misure tecniche e organizzative adeguate


• il Titolare ha successivamente adottato misure atte a scongiurare il verificarsi di rischi elevati per i diritti e le libertà degli interessati


• tale comunicazione richiederebbe sforzi sproporzionati, per cui può essere sostituita da una comunicazione pubblica.


MISURE DI RISOLUZIONE


Il Titolare del Trattamento deve procedere alla messa in atto di misure atte alla risoluzione delle violazioni avvenute, ad arginare e sanare, ove possibile, le conseguenze sui diritti e le libertà degli interessati, nonché elaborare un piano con attività volte a prevenire futuri Data Breach.


REGISTRO DATA BREACH


Indipendentemente dal fatto che una violazione venga o meno notificata all’Autorità di controllo, il Titolare del Trattamento deve documentare tutte le violazioni subite, annotandole nell’apposito registro redatto dalla società come disposto dall’art.33, paragrafo 5 del GDPR.


Tale registro deve contenere le seguenti informazioni:

  • i dettagli relativi al Data Breach (e cioè la causa, il luogo dove è avvenuto e la tipologia di Dati personali coinvolti nella violazione);
  • gli effetti e le conseguenze della violazione e il piano di intervento predisposto;
  • le motivazioni delle decisioni assunte a seguito del Data Breach.

    Si ribadisce che anche in caso di provata assenza di rischi è necessario registrare la violazione nell’apposito registro predisposto dall’ Azienda.

    Il Registro dei Data Breach deve essere continuamente aggiornato e messo a disposizione del Garante, qualora l’Autorità chieda di accedervi.

    ANALISI POST VIOLAZIONE

    A conclusione del processo di gestione delle violazioni di dati personali, si consiglia la raccolta finale delle evidenze, l’analisi delle informazioni giunte sul contesto di violazione osservato, e la valutazione delle stesse al fine di effettuare un’analisi post-incidente, per verificare l’efficacia e l’efficienza delle azioni intraprese durante la gestione dell’evento, ed identificare possibili aree di miglioramento.