Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
la pseudonimizzazione e la cifratura dei dati personali;
la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l'adeguato livello di sicurezza, si tiene conto in modo particolare dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Il regolamento europeo 2016/679 recepisce la necessità di uniformare le norme privacy alla moderna società dell'informazione, sotto il profilo socio tecnologico.
L'atto legislativo comunitario mostra struttura normativa e profili sostanziali orientate all'informatica giuridica; l’approccio del legislatore europeo è diametralmente opposto a quello mostrato dai precedenti atti regolativi comunitari in materia in quanto concede principale rilevanza al trattamento dei dati informatici digitali ma soprattutto telematici.
Particolare attenzione è concesso al trattamento dei dati effettuato da enti, pubblici e privati, affinché questo sia lecito, trasparente ed esplicito quanto il consenso prestato dall'interessato, soprattutto quando è legato alla fruizione delle della rete internet e dei servizi a questa correlati.
Notevole attenzione è stata dedicata alla sicurezza dei dati informatici in un'epoca dove gli attacchi hacking e cracking, ad infrastrutture digitali e telematiche, sono quotidiane, nonché spesso rilevati solo a distanza di tempo.
Sulla protezione dei dati e sicurezza delle informazioni, il regolamento impone livelli di sicurezza medio alti, affidando agli stati membri l'elaborazione e più performanti attività di ICT e cybersecurity, indicando comunque specifiche procedure per la comunicazione di data breach legate alla violazione dei dati al fine di consentire una più puntuale consapevolezza delle modalità di trattamento dei dati e una più tempestiva conoscenza delle sue questioni problematiche.
Rilevanza e infine concessa al Risk Management in modo esplicito attraverso il richiamo alla necessità di una valutazione del rischio legato al trattamento dei dati in quanto attività per una corretta attività di security in campo privacy.
Il Risk Management e, di cui gap analysis e risk analysis sono attività essenziali, può essere rappresentato come la procedura aziendale che ha ad oggetto l’identificazione, l'assessment (valutazione) e la priorizzazione dei rischi, cui devono seguire attività organizzative volte a mitigare, monitorare e controllare la probabilità, e gli effetti, di eventi dannosi.
I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità (“data breach is the intentional or unintentional release of secure or private/confidential information to an untrusted environment”).
Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.
Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l'obbligo di comunicare eventuali violazioni di dati personali(data breach) all'Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.
Notificare al Garante e comunicazione all'interessato dell'avvenuta violazione dei dati personali
La violazione dei dati personali va affrontata è gestita subito, al fine di evitare l’insorgenza o l’aggravamento di danni fisici, materiali o immateriali alle persone: perdita del controllo dei dati o limitazione dei loro diritti, discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata della pseudo minimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico sociale significativo alla persona fisica interessata.
L'episodio pregiudizievole non deve essere celato, poiché l'oscuramento della notizia amplifica gli effetti negativi dell'evento e inibisce forme di reazione pubblica e dell'interessato.
L'ordinamento italiano conosce alcune ipotesi specifiche di obbligo di notificazione delle violazioni personali, ad esempio nel settore delle comunicazioni elettroniche, della biometria, del dei trattamenti sanitari, dei trattamenti effettuati da enti pubblici.
Il regolamento generalizza l'obbligo di notificazione estendendolo a tutti i titolari di trattamento.
Notificazione all'Autorità Garante della violazione dei dati personali.
Non appena viene a conoscenza di una avvenuta violazione dei dati personali trattati, il titolare del trattamento deve notificare la violazione dei dati personali all'autorità di controllo competente, senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
L'obbligo non scatta nel caso in cui il titolare del trattamento ritiene di dimostrare che è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Decorso il termine di 72 ore, la notifica della violazione deve essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Contenuto della notifica delle violazioni al Garante.
La notifica delle violazioni devono almeno:
descrivere la natura della violazione dei dati personali compresi, se possibile, le categorie il numero approssimativo di interessati;
comunicare il nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere più informazioni;
descrivere le probabili conseguenze della violazione dei dati personali;
descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio la violazione dei dati personali e anche se del caso, per attenuarne i possibili effetti negativi.
Se non è possibile fornire le informazioni contestualmente, le informazioni possono essere fornito in fasi successive senza ulteriore ingiustificato ritardo.
Il Titolare del Trattamento, oltre alla notifica, deve tenere una documentazione su qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, e le sue conseguenze provvedimenti adottati per porvi rimedio.
La documentazione deve essere tenuta a disposizione per eventuali verifiche dell'Autorità garante.
Comunicazione della violazione all’interessato.
Il titolare del trattamento deve comunicare all'interessato la violazione dei dati personali immediatamente, in caso di rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie.
La comunicazione deve indicare natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata Intesa ad attenuare i potenziali effetti negativi.
Il regolamento prevede che le comunicazioni agli interessati siano effettuate non appena ragionevolmente possibile in conformità agli orientamenti impartiti dell'Autorità garante.
Può essere che in concreto le comunicazioni agli interessati sia differita per avere modo di scoprire il trasgressore.
La comunicazione all'interessato non è richiesta quando ricorre almeno una delle seguenti condizioni:
Il Titolare del Trattamento ha messo in atto le misure tecniche organizzative adeguate di protezione tali da rendere i dati personali incomprensibile a chiunque non sia autorizzato ad accedervi quali la cifratura;
Il Titolare del Trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
La comunicazione richiederebbe costi enormi; in tal caso, si procede invece ho una comunicazione pubblica a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
La violazione degli obblighi del titolare del trattamento del responsabile trattamento previsto dagli articoli 33 e 34 comporta sanzioni pecuniarie fino a euro 10 milioni o per le imprese fino a 2% del fatturato mondiale totale hanno dell'esercizio precedente sia superiore.
Hai un dubbio o un problema su questo argomento?
Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni
Non condivideremo mai la tua email con nessuno.