valutazione della gravità di una violazione dei dati personali e registro data breach

valutazione della gravità di una violazione dei dati personali e registro data breach

La violazione dei dati personali c.d. “data breach” è regolato dagli articoli 33,34 del Regolamento Europeo 679 / 2016 (GDPR)

Per violazione dei dati personali o “data breach” si intende la violazione di sicurezza che comporta accidentalmente, o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

La violazione dei dati personali è un evento che può influire sulla:
I. riservatezza, tramite divulgazione o accesso non autorizzato o accidentale;
II. integrità, tramite alterazione non autorizzata o accidentale;
III. disponibilità, tramite perdita, inaccessibilità, o distruzione, accidentale, o non autorizzata, dei dati personali custoditi in qualsiasi formato.


Il registro delle violazioni va tenuto anche se il Titolare non ha subito data breach; in questo caso il registro è vuoto proprio per dimostrare l'assenza di violazione di dati personali.

Il Titolare del Trattamento annota all’interno del Registro delle Violazioni dei dati tutti i data breach avvenuti, inserendo i relativi dettagli del caso come specificati di seguito.


In caso di notifica al Garante, il registro viene compilato contestualmente alla comunicazione, avendo cura di inserire tempestivamente gli elementi che dovessero emergere dall’esito di ulteriori verifiche. In caso contrario, tale decisione viene documentata all’interno del Registro delle Violazioni, dettagliando i motivi per cui il Titolare ritiene improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.
All’interno del registro vanno annotati anche i pareri espressi dal Garante in risposta alla notifica in precedenza trasmessa.

Il Registro delle violazioni deve essere strutturato in modo da garantire l’integrità e l’immodificabilità delle registrazioni in esso contenute.
È possibile conservare copia delle versioni del file contenete il registro apponendo la firma digitale del Titolare del Trattamento o del legale rappresentante della Società.
È opportuno inoltre memorizzare gli incidenti registrati all’interno dei sistemi pertinenti di ogni area:
• registro degli eventi potenzialmente rilevanti sotto il profilo della sicurezza informatica;
• registro degli incidenti IT;
• log degli eventi relativi agli incidenti che riguardano la sicurezza fisica (intrusione) o immagini raccolte dal sistema di video-sorveglianza (se disponibili);
• registro delle anomalie di tipo informatico segnalate dagli utenti/addetti.

Riveste particolare importanza la valutazione dei rischi per le libertà e i diritti degli interessati per cui è poi necessario notificare la violazione al Garante Privacy.

Il Servizio IusPrivacy, per ogni data breach registrato, permette di effettuare la valutazione della violazione in modo da determinarne la gravità; di conseguenza la comunicazione al Garante Privacy.
La metodologia segue standard internazionali quali quelli stabiliti da ENISA, ente per la sicurezza Europea, nonchè dal WP 250.

Il mantenimento corretto del registro delle violazioni è uno dei fattori di accountability per i quali è possibile incorrere in sanzioni.

Rimaniamo a disposizione per ulteriori informazioni o chiarimenti

Lo Staff IusPrivacy