Nella breve guida di seguito, le disposizioni utili per non incorrere nella sanzione per l’omessa notifica all’Autorità garante della protezione dei dati personali in caso di data breach, che può costare fino a 10 mila euro.
Per fugare gli allarmismi è bene conoscere alcune regole fondamentali da seguire in caso di data breach. Ecco un piccolo vademecum che aiuta a arginare l’emorragia dei nostri dati: la guida è stata elaborata dal Garante ed è di facile lettura, per ogni dubbio consigliamo di rivolgersi al proprio consulente in ambito privacy.
Per parlare la stessa lingua
Il GDPR è una normativa internazionale e, come ogni buon prodotto europeo, è il frutto di un lavoro concertato: talvolta inciampiamo nelle definizioni. Innanzitutto per capire come gestire un data breach occorre sapere cosa sia un data breach.
Il data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. La violazione dei dati personali può compromettere la riservatezza, l’ integrità o la disponibilità di dati personali.
Per essere operativi, alias: cosa fare
In caso di data breach il Titolare del trattamento, soggetto pubblico, impresa, associazione, partito, professionista che sia, dovrà:
1. effettuare una valutazione – anche unitamente al proprio DPO, se nominato, o al proprio Consulente privacy – circa la “gravità del danno”. Quali dati ho perso? La loro perdita può arrecare danno ai diritti degli interessati? In caso di risposta positiva, il Titolare dovrà:
2. notificare al Garante, tramite l’apposito modulo (reperibile sul sito del Garante), senza ritardo e comunque non oltre le 72 ore dalla scoperta della violazione e/o l’avvenuta perdita. Inoltre, se il danno può avere riflessi negativi sugli individui, causando danni fisici, materiali o immateriali, il Titolare dovrà:
3. comunicare agli interessati l’avvenuta perdita dei dati personali, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
4. Tenere un registro delle violazioni: indipendentemente dalla notifica al Garante, il Titolare del trattamento deve documentare tutte le violazioni dei dati personali, per esempio predisponendo un apposito registro.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo: la sanzione, come anticipato, può essere onerosa.
Per essere fare il possibile per evitare un Data breach e reagire prontamente nel malaugurato caso in cui accada, contattaci.