Data Breach

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Data Breach

Data Breach

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

 

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**
La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

COME INVIARE LA NOTIFICA AL GARANTE?
La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

LE AZIONI DEL GARANTE
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

FONTE GARANTE PRIVACY



Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679


Violazione dei dati personale – modello di notifica al Garante

Linee guida sul consenso ai sensi del regolamento (UE) 2016/679

Gruppo di lavoro Articolo 29
Linee guida sul consenso ai sensi del regolamento (UE) 2016/679
adottate il 28 novembre 2017
come modificate e adottate da ultimo il 10 aprile 2018

Le presenti linee guida forniscono un’analisi approfondita della nozione di consenso di cui al regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati). Il concetto di consenso di cui alla direttiva sulla protezione dei dati (direttiva 95/46/CE) e alla direttiva relativa alla vita privata e alle comunicazioni elettroniche (direttiva 2002/58/CE) si è evoluto. Il regolamento generale sulla protezione dei dati fornisce ulteriori chiarimenti e specifiche sui requisiti per ottenere e dimostrare un consenso valido. Prendendo le mosse dal parere 15/2011 sul consenso, le presenti linee guida si concentrano sui cambiamenti introdotti, fornendo orientamenti pratici per garantire il rispetto del regolamento. Il titolare del trattamento è tenuto a innovare per trovare soluzioni che siano conformi ai requisiti di legge e sostengano meglio la protezione dei dati personali e gli interessi degli interessati.
Il consenso rimane una delle sei basi legittime per trattare i dati personali, come disposto dall’articolo 6 del regolamento. Prima di avviare attività che implicano il trattamento di dati personali, il titolare del trattamento deve sempre valutare con attenzione la base legittima appropriata per il trattamento.
Di norma, il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio. Quando richiede il consenso, il titolare del trattamento deve valutare se soddisferà tutti i requisiti per essere valido. Se ottenuto nel pieno rispetto del regolamento, il consenso è uno strumento che fornisce all’interessato il controllo sul trattamento dei dati personali che lo riguardano. In caso contrario, il controllo diventa illusorio e il consenso non costituirà una base valida per il trattamento, rendendo illecita l’attività di trattamento.
Ove coerenti con il nuovo quadro giuridico, i pareri che il Gruppo di lavoro Articolo 29 (in appresso: Gruppo di lavoro) ha formulato in materia di consenso3 rimangono pertinenti, in quanto il regolamento generale sulla protezione dei dati codifica gli orientamenti e le buone prassi generali del Gruppo di lavoro e lascia immutata la maggior parte degli aspetti essenziali del consenso. Di conseguenza, il presente documento amplia e completa pareri precedenti del Gruppo di lavoro su argomenti specifici che fanno riferimento al consenso ai sensi della direttiva 95/46/CE, senza sostituirli.
Come affermato nel parere 15/2011 sulla definizione di consenso, l’invito ad accettare il trattamento dei dati dovrebbe essere soggetto a criteri rigorosi, poiché sono in gioco i diritti fondamentali dell’interessato e il titolare del trattamento intende svolgere un trattamento che senza il consenso sarebbe illecito. Il ruolo cruciale del consenso è sottolineato dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, l’ottenimento del consenso non fa venir meno né diminuisce in alcun modo l’obbligo del titolare del trattamento di rispettare i principi applicabili al trattamento sanciti nel regolamento generale sulla protezione dei dati, in particolare all’articolo 5, per quanto concerne la correttezza, la necessità e la proporzionalità, nonché la qualità dei dati. Il fatto che il trattamento dei dati personali si basi sul consenso dell’interessato non legittima la raccolta di dati non necessari a una finalità specifica di trattamento, che sarebbe fondamentalmente iniqua.
Parallelamente, il Gruppo di lavoro è a conoscenza della revisione della direttiva relativa alla vita privata e alle comunicazioni elettroniche. La nozione di consenso nel progetto di regolamento sulla vita privata e le comunicazioni elettroniche rimane legata a quella del regolamento generale sulla protezione dei dati. È probabile che ai sensi del futuro strumento le organizzazioni necessitino del consenso per la maggior parte dei messaggi di marketing online, per le chiamate di marketing e per i metodi di tracciamento online, compreso tramite l’uso di cookie, applicazioni o altri software. Il Gruppo di lavoro ha già fornito raccomandazioni e orientamenti al legislatore europeo in merito alla proposta di regolamento sulla vita privata e le comunicazioni elettroniche.
Per quanto riguarda l’attuale direttiva relativa alla vita privata e alle comunicazioni elettroniche, il Gruppo di lavoro rileva che i riferimenti alla direttiva 95/46/CE abrogata si intendono fatti al regolamento generale sulla protezione dei dati. Ciò vale anche per i riferimenti riguardanti il consenso, poiché il regolamento sulla vita privata e le comunicazioni elettroniche non sarà (ancora) entrato in vigore il 25 maggio 2018. Ai sensi dell’articolo 95 del regolamento generale sulla protezione dei dati, non sono imposti obblighi supplementari in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione, nella misura in cui la direttiva relativa alla vita privata e alle comunicazioni elettroniche impone obblighi specifici aventi il medesimo obiettivo. Il Gruppo di lavoro rileva che i requisiti per il consenso ai sensi del regolamento generale sulla protezione dei dati non sono considerati un “obbligo supplementare”, bensì condizioni preliminari per la liceità del trattamento. Pertanto, tali requisiti sono applicabili alle situazioni che rientrano nel campo di applicazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche.


[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp259-rev-0.1_IT.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

Pin It on Pinterest