Privacy: cosa significa data breach e quali sono le conseguenze
Per data breach si intende la violazione dei dati personali che obbliga il titolare del trattamento ad alcuni adempimenti a tutela dell'interessato
Avv. Edoardo Di Mauro – Il regolamento europeo in materia di protezione dei dati personali, Reg. UE 2016/679 (Gdpr), ha stabilito alcuni obblighi in capo al titolare del trattamento in casi di data breach, cioè di violazione di dati personali.
Vai alla guida Gdpr: tutto quello che c'è da sapere
E' definita violazione di dati personali la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Il legislatore europeo ha considerato che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio la perdita del controllo dei dati che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio della reputazione, perdita della riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica.
Il titolare del trattamento a sua volta notifica la violazione all'autorità di controllo competente, senza ingiustificato ritardo, e ove possibile entro le 72 ore dal momento in cui ne è venuto a conoscenza.
Se la notifica non è effettuata entro 72 ore il ritardo deve essere motivato.
Contenuto della notifica
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi
Tuttavia non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Per informazioni o quesiti rivolgersi a:
Avv. Edoardo Di Mauro
mail: edodim83@gmail.com
cell. 333 45 88 540
Data: 06/07/2018 16:00:00E' definita violazione di dati personali la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Il legislatore europeo ha considerato che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio la perdita del controllo dei dati che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio della reputazione, perdita della riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica.
Quali sono i rimedi stabiliti dal regolamento europeo
Il regolamento europeo 679/2016 ha stabilito che in caso di violazione dei dati personali, il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza.Il titolare del trattamento a sua volta notifica la violazione all'autorità di controllo competente, senza ingiustificato ritardo, e ove possibile entro le 72 ore dal momento in cui ne è venuto a conoscenza.
Se la notifica non è effettuata entro 72 ore il ritardo deve essere motivato.
Esclusione dell'obbligo di notifica
Non si è tenuti alla notifica qualora sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.Contenuto della notifica
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi
Comunicazione della violazione all'interessato
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.Tuttavia non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Per informazioni o quesiti rivolgersi a:
Avv. Edoardo Di Mauro
mail: edodim83@gmail.com
cell. 333 45 88 540
Autore: Edoardo Di Mauro