18/11/2019
GDPR e data breach

Una delle grandi novità introdotte dal GDPR è la notifica da parte del titolare del trattamento dati di eventuali data breach al fine di ottemperare al principio di accountability (altra grande novità introdotta dal GDPR). Il Data Protection Working Party Art. 29 è intervenuto in tal senso rilasciando delle linee guida adottate il 3 ottobre 2017 (v. allegato).

 

Innanzitutto è importante comprendere cosa si intenda per data breach: il GDPR la definisce come una violazione della sicurezza che porta ad un accidentale od illegale distruzione, perdita, alterazione, divulgazione non autorizzata di o accesso a dati personali.

Considerata la definizione di cui sopra, il WP, già nella sua Opinion 03/2014, identificata diverse tipologie di data breach, e segnatamente:

  • Confidentiality breach nel caso vi sia divulgazione non autorizzata o accidentale di, o accesso a, dati personali;
  • Availability breach nel caso vi sia perdita di accesso non autorizzata o accidentale ai o distruzione di dati personali;
  • Integrity breach nel caso vi sia alterazione non autorizzata o accidentale dei dati personali.

 

In ogni caso, qualsiasi sia la breach che venga in luce, il titolare del trattamento potrà essere obbligato ad effettuare notifica al Garante e agli interessati del trattamento per evitare le sanzioni (fino a 20mln o al 4% di fatturato di gruppo annuo!).

Si diceva che il titolare potrà essere obbligato ad effettuare la notifica in quanto questa diventerà obbligatoria nei seguenti casi:

  • ove vi sia un rischio per i diritti e le libertà dei singoli sarà obbligatoria verso il Garante e deve essere effettuata entro 72 ore da quando il titolare del trattamento viene a conoscenza della violazione dei dati;
  • ove vi sia un ELEVATO rischio per i diritti e le libertà dei singoli sarà obbligatoria anche verso gli interessati del trattamento dati senza ritardo.

Il GDPR, tuttavia, non fornisce alcuna specifica definizione di soglia relativamente al rischio in quanto è in capo al titolare del trattamento, sempre in ottemperanza del principio di accountability, valutare se vi sia un rischio e tale rischio sia elevato.

Qualora la notifica sia obbligatoria, a seconda che sia verso il Garante o verso gli interessati del trattamento, detta notifica dovrà indicare almeno in cosa consiste la violazione, quali trattamenti dati vengono influenzati e quali tipologie/quantità di dati sono stati violati.

 

Infinte, il titolare del trattamento qualora sia obbligato ad avere un DPO dovrà coinvolgerlo per supportarlo nell’assessment della breach e per la procedura di notifica, mentre qualora non sia obbligato è consigliabile che in tal caso si affidi ad un DPO esterno.

SEI INTERESSATO AI NOSTRI SERVIZI?
Contattaci!
SCRIVICI E TI CONTATTEREMO NOI!