Una novità introdotta con il nuovo regolamento europeo sulla protezione dei dati (GDPR) riguarda le modalità con coi devono essere notificate le violazioni dei dati medesimi. L’art. 33 del regolamento 679/2016 richiede che in caso di violazione il titolare del trattamento ne faccia notifica all’autorità di controllo entro 72 ore dal momento in cui si viene a conoscenza del data breach. Nello specifico, la violazione di cui si parla deve essere tale da mettere a rischio o compromettere le libertà e i diritti dei soggetti interessati: tale valutazione circa l’entità della violazione spetta al titolare del trattamento, ne consegue che la notifica della violazione stessa non è obbligatoria ma va, appunto, “a discrezione” del titolare. Inoltre, come previsto dall’art. 34, se viene riconosciuto che la situazione è caratterizzata da un rischio elevato, l’obbligo di comunicazione sussiste anche nei confronti dei singoli interessati. Dato quanto previsto dalla norma, si consiglia ai titolari del trattamento di documentare in ogni caso le violazioni di dati personali subite (nonché le relative circostanze e conseguenze e i provvedimenti adottati), anche se si decide di non notificarle all’autorità di controllo o non comunicarle agli interessati.

Chiariamo innanzitutto quando sussiste il cosiddetto data breach. Si tratta della situazione in cui si verifica una divulgazione o un accesso non autorizzato o non accidentale oppure se si verifica un’alterazione o la perdita, l’impossibilità di accesso o la distruzione -accidentale o non autorizzata- di dati personali. È opportuno sottolineare che, la responsabilità di queste situazioni non sono a capo solo di soggetti terzi malintenzionati, ma anche del titolare del trattamento, nello specifico quando si parla di perdita accidentale. Quest’ultima sussiste in caso di cancellazione dei dati per un errore umano o di sistema oppure quando risulta impossibile accedere al dato stesso (un esempio è la perdita della password di accesso a un archivio protetto o anche la criptazione provocata da un’infezione da ransomware).

Oltre al termine di 72 ore, il paragrafo 3 dell’art. 33 stabilisce nel dettaglio quanto debba essere riportato ai fini della notifica.

“La notifica di cui al paragrafo 1 deve almeno:

  1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  3. descrivere le probabili conseguenze della violazione dei dati personali;
  4. descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.”

In caso di inadempienze, sia nelle tempistiche che nella forma richiesta, scattano le sanzioni e ricordiamo a tal proposito che possono arrivare a 20milioni di euro o pari al 4% del fatturato annuo. Vale dunque la pena rischiare? O è il caso di verificare fin da subito lo stato delle misure di sicurezza previste all’interno dell’azienda?

Sara Avanzi