Data Breach

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Data Breach

Data Breach

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

 

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**
La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

COME INVIARE LA NOTIFICA AL GARANTE?
La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

LE AZIONI DEL GARANTE
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

FONTE GARANTE PRIVACY



Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679


Violazione dei dati personale – modello di notifica al Garante

Criteri di riferimento per l’adeguatezza

Gruppo di lavoro articolo 29
Criteri di riferimento per l’adeguatezza
Adottati il 28 novembre 2017
Versione emendata e adottata il 6 febbraio 2018

Il Gruppo di lavoro per la protezione dei dati (“Gruppo”) ha già presentato un documento di lavoro sui trasferimenti di dati personali verso paesi terzi (WP12). In seguito all’entrata in vigore del regolamento generale dell’UE sulla protezione dei dati (“regolamento”), che ha sostituito la direttiva, il Gruppo sta rivedendo il documento WP12, contenente i suoi precedenti orientamenti, per aggiornarlo alla luce della nuova legislazione e della giurisprudenza recente della Corte di giustizia dell’Unione europea (“Corte”).
Il presente documento di lavoro si prefigge di aggiornare il capitolo 1 del WP12, relativo alla questione centrale del livello adeguato di protezione dei dati in un paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo o un’organizzazione internazionale (di seguito: “paesi terzi o organizzazioni internazionali”). Nei prossimi anni il documento sarà sottoposto a continue revisioni e, se necessario, aggiornato sulla base dell’esperienza pratica maturata grazie all’applicazione del regolamento. I capitoli 2 (Applicazione dei principi ai paesi che hanno ratificato la convenzione n. 108 del Consiglio d’Europa) e 3 (Applicazione dei principi all’autodisciplina settoriale) del documento WP12 dovrebbero essere aggiornati in una fase successiva.
Il presente documento di lavoro riguarda soltanto le decisioni di adeguatezza, che sono atti di esecuzione della Commissione europea a norma dell’articolo 45 del regolamento. Altri aspetti dei trasferimenti di dati personali verso paesi terzi e organizzazioni internazionali saranno esaminati in successivi documenti di lavoro che saranno pubblicati separatamente (norme vincolanti d’impresa, deroghe).
Il presente documento mira a fornire orientamenti alla Commissione europea e al Gruppo, nel quadro del regolamento, per quanto concerne la valutazione del livello di tutela dei dati nei paesi terzi e nelle organizzazioni internazionali, stabilendo i principi fondamentali per la protezione dei dati che devono essere presenti nella legislazione di un paese terzo o in un’organizzazione internazionale per garantire un’equivalenza sostanziale con il quadro dell’UE. Inoltre, può fornire orientamenti ai paesi terzi e alle organizzazioni internazionali interessati a ottenere l’adeguatezza. Tuttavia, i principi delineati nel presente documento di lavoro non sono direttamente rivolti ai titolari del trattamento o ai responsabili del trattamento.


[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp254-rev-0.1_IT.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

Linee guida sulla notifica delle violazioni dei dati personali

Linee guida sulla notifica delle “violazioni dati personali” (data breach) ai sensi del regolamento (UE) 2016/679
adottate il 3 ottobre 2017
Versione emendata e adottata in data 6 febbraio 2018

Il regolamento generale sulla protezione dei dati introduce l’obbligo di notificare una violazione dei dati personali (in appresso: “violazione”) all’autorità di controllo nazionale competente (oppure, in caso di violazione transfrontaliera, all’autorità capofila) e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali sono stati interessati dalla violazione.
Attualmente l’obbligo di notifica delle violazioni esiste già per determinate organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013)2. Inoltre, alcuni Stati membri dell’UE prevedono già un obbligo nazionale di notifica delle violazioni, che può consistere nell’obbligo di notificare violazioni che coinvolgono categorie di titolari del trattamento diversi dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio Germania e Italia) oppure nell’obbligo di segnalare tutte le violazioni riguardanti dati personali (ad esempio Paesi Bassi). Altri Stati membri dispongono di codici di buona pratica (ad esempio Irlanda). Sebbene un certo numero di autorità di protezione dei dati dell’UE incoraggi già il titolare del trattamento a segnalare le violazioni, la direttiva 95/46/CE sulla protezione dei dati, che viene sostituita dal regolamento generale sulla protezione dei dati, non contiene uno obbligo specifico di notifica delle violazioni, pertanto tale obbligo sarà nuovo per numerose organizzazioni. Il regolamento generale sulla protezione dei dati rende ora la notifica obbligatoria per tutti i titolari del trattamento a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Anche i responsabili del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al proprio titolare del trattamento.
Il Gruppo di lavoro articolo 29 (“Gruppo di lavoro”) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. All’atto della notifica all’autorità di controllo, il titolare del trattamento può ottenere consulenza sull’eventuale necessità di informare le persone fisiche interessate. In effetti l’autorità di controllo può ordinare al titolare del trattamento di informare le persone fisiche interessate dalla violazione. La comunicazione della violazione alle persone fisiche interessate consente al titolare del trattamento di fornire loro informazioni sui rischi derivanti dalla violazione e sui provvedimenti che esse possono prendere per proteggersi dalle potenziali conseguenze della violazione. Qualsiasi piano di risposta alle violazioni dovrebbe mirare a proteggere le persone fisiche e i loro dati personali. Di conseguenza, la notifica della violazione dovrebbe essere vista come uno strumento per migliorare la conformità in materia di protezione dei dati personali. Allo stesso tempo, va osservato che la mancata segnalazione di una violazione a una persona fisica o all’autorità di controllo può comportare l’imposizione di una sanzione al titolare del trattamento ai sensi dell’articolo 83.
I titolari e i responsabili del trattamento sono pertanto incoraggiati a pianificare anticipatamente e a mettere in atto processi per essere in grado di rilevare e limitare tempestivamente gli effetti di una violazione, valutare il rischio per le persone fisiche e stabilire se sia necessario notificare la violazione all’autorità di controllo competente e comunicarla alle persone fisiche interessate, ove necessario. La notifica all’autorità di controllo dovrebbe costituire parte del piano di intervento in caso di incidente.
Il regolamento contiene disposizioni che specificano quando e a chi la violazione deve essere notificata e quali informazioni devono essere fornite nel contesto della notifica. Le informazioni richieste per la notifica possono essere fornite procedendo per fasi, tuttavia il titolare del trattamento deve agire sempre in maniera tempestiva in caso di violazione.
Nel parere 03/2014 sulla notifica delle violazioni dei dati personali, il Gruppo di lavoro ha fornito orientamenti ai titolari del trattamento per aiutarli a decidere se effettuare la notifica agli interessati in caso di violazione. Il parere ha preso in considerazione l’obbligo dei fornitori di comunicazioni elettroniche ai sensi della direttiva 2002/58/CE e ha fornito esempi afferenti a più settori, nel contesto dell’allora progetto di regolamento generale sulla protezione dei dati, e ha illustrato le buone prassi per tutti i titolari del trattamento.
Le presenti linee guida spiegano gli obblighi di notifica e di comunicazione delle violazioni sanciti dal regolamento, nonché alcune misure che i titolari e i responsabili del trattamento possono intraprendere per soddisfare questi nuovi obblighi. Forniscono inoltre esempi di vari tipi di violazioni e i soggetti ai quali esse devono essere notificate nei diversi scenari.


[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp250rev01_it.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

Cosa è il diritto alla protezione dei dati personali?

Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea (art. 8). Oggi è tutelato, in particolare, dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), oltre che da vari altri atti normativi italiani e internazionali e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101.

 

In particolare, il Regolamento (UE) 2016/679 disciplina il trattamento dei dati personali indipendentemente dal fatto che questo sia effettuato o meno nell’Unione europea, sia quando svolto da titolari o responsabili stabiliti in Ue o in un luogo soggetto al diritto di uno Stato membro dell’Ue in virtù del diritto internazionale pubblico (per esempio l’ambasciata o la rappresentanza consolare di uno Stato membro), sia quando il titolare o il responsabile non è stabilito nell’Unione europea ma le attività di trattamento riguardano:

• l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione europea, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;

• il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

 

Il Regolamento (UE) 2016/679 ha ampliato i diritti riconosciuti all’interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all’utilizzo della rete.


[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/GarantePrivacy-2003167-10.5.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

 

Doveri – Come trattare correttamente i dati

Principi generali del trattamento di dati personali

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.” 


[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/GarantePrivacy-8981258-3.9.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

Pin It on Pinterest