Data breach, linee standard per la notifica delle violazioni di dati personali


E’ stato reso disponibile sul sito del Garante per la protezione dei dati personali il modello standard per la notifica delle violazioni dei dati personali.

Per data breach si intende la violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

Come esplicitamente dichiarato nel regolamento, tutti i titolari del trattamento sono tenuti ad auto-segnalare l’incidente al Garante e alle persone potenzialmente danneggiate, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone.

Se il rischio è elevato, oltre alla notifica al Garante scatta anche l’obbligo di trasparenza a favore dei soggetti potenzialmente danneggiati.

 

La struttura del modello

Il documento fornito dal Garante è diviso in diverse sezioni che dovranno contenere le informazioni essenziali per censire e comunicare all’autorità la violazione in modo completo e standardizzato.

Tipo di notifica – La notifica al Garante potrebbe essere una notifica completa, oppure una notifica preliminare cui segue una integrativa o più integrative.

Inoltre, è possibile indicare se tale notifica è effettuata ai sensi dell’art.33 del GDPR (“Notifica di una violazione dei dati personali all’autorità di controllo”) o se ai sensi dell’art.26 d.lgs 51/2018 (Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita’ competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche’ alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio – “Notifica al Garante di una violazione di dati personali“.)

 

Sezione A – B – B1 e B2

In queste prime sezioni sono contenute le informazioni relative al soggetto che effettua la notifica, i dati del titolare del trattamento, gli estremi del DPO e degli eventuali altri soggetti coinvolti nel trattamento (contitolari,  responsabili esterni del trattamento, i subresponsabili…)

 

Sezione C

Questa sezione contiene le informazioni di sintesi della violazione fra cui:

  • I tempi – Indicazione delle informazioni che riguardano il tempo della stessa (quando è avvenuta e se sia ancora in corso). Nel modello si chiede di indicare il momento (data e ora) in cui il titolare del trattamento sia venuto a conoscenza della violazione. In caso di ritardo nel termine di 72 ore imposte dal Regolamento, vanno indicate nel modello le ragoni del ritardo.
  • Il tipo e la causa di violazine
  • Le categorie di dati oggetto della violazione
  • Numero e categorie di interessati oggetto della violazione

 

Sezione D

Questa sezione contiene il dettaglio delle informazioni precedentemente descritte nella sezione C.

 

Sezione E

In questa sezione vengono descritti i possibili effetti della violazione e una stima della gravità della stessa,

 

Sezione F

Misure riparatorie – Nel modello si deve indicare quali misure riparatorie siano già state adottate o in corso di adozione per diminuire i danni delle violazioni già subite e per prevenirne di future.

 

Sezione G

Comunicazione agli interessati – Il modello chiede di indicare se la violazione è stata comunicata agli interessati o sta per esserlo.

In caso negativo bisogna spiegare al Garante la ragione di questa mancata comunicazione.

In caso di comunicazione bisogna dettagliare il numero di interessati a cui è stata comunicata la violazione, il contenuto della stessa e il canale utilizzato (sms, posta cartacea o elettronica, altro da specificare).

 

Sezione H

Altre informazioni – Informazioni ulteriori riguardano l’eventuale segnalazione all’autorità giudiziaria o di polizia e gli eventuali coinvolgimenti di altri garanti, per esempio nel caso di interessati che si trovano nella UE o fuori dello spazio economico europeo.

 

Addio ai vecchi modelli

Il provvedimento del 30 luglio 2019 sostituisce i precedenti modelli previsti in alcuni provvedimenti del Garante, e in particolare quelli contenuti nella pronuncia sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 ; nelle linee guida in materia di Dossier sanitario del 4 giugno 2015; nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014; nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013; nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011.

I termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nei provvedimenti precedenti sono da considerarsi eliminati e sostituiti dal GDPR e dal provvedimento del 30 luglio 2019 del Garante.