HOME

/

DIRITTO

/

PRIVACY 2024

/

PRIVACY DATA BREACH: COME FARE LA COMUNICAZIONE

Privacy Data Breach: come fare la comunicazione

Contenuto e modalita di comunicazione di un Data breach da parte del titolare del trattamento dati. I chiarimenti del Garante per la privacy

Ascolta la versione audio dell'articolo

Il Garante per la Protezione dei dati Personali, con Provvedimento sul data breach del 30 aprile 2019  (che alleghiamo in fondo all'articolo)  ha fornito e utili indicazioni in merito al contenuto che deve avere la comunicazione fatta dal Titolare del trattamento ai soggetti interessati i cui dati siano stati oggetto di violazione ed al canale di comunicazione.
Ma cosa è un data breach?

L’art. 4 del Regolamento (UE) 2016/679 (di seguito, anche GDPR) contiene la definizione di “data breach”, tradotta dal nostro interprete come “violazione dei dati personali”:   12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

Tale definizione acquista una importanza notevole in quanto il Regolamento impone al Titolare del trattamento l’adozione di determinati adempimenti in caso di violazione delle misure di sicurezza (data breach).  In materia di sicurezza dei sistemi e dei dati a carico delle pubbliche amministrazioni e delle imprese, infatti, il GDPR introduce – a loro carico - l’obbligo di comunicazione delle violazioni di dati personali.

Il Regolamento distingue due modalità di comunicazione del data breach:

  1.  la comunicazione delle violazioni di dati all’Autorità nazionale di protezione dei dati personali (prevista dall’art. 33 del GDPR);
  2.  la comunicazione ai soggetti a cui si riferiscono i dati, nei casi più gravi (c.d. soggetti interessati), prevista dall’art. 34 del GDPR.

Il Regolamento europeo specifica e disciplina, in buona sostanza, i seguenti aspetti:

  1.  a quale soggetto è tenuto a notificare la violazione,
  2.  entro quanto tempo,
  3.  le modalità ed il contenuto della notificazione della violazione dei dati personali “data breach”,
  4.  le eventuali Responsabilità e sanzioni nel caso di violazione degli obblighi in materia.

1) Il Provvedimento del Garante sul data breach del 30 aprile 2019.

L’Autorità, nell’istruire una notificazione di data breach effettuata da un provider  di posta elettronica relativamente ad un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail, ha chiarito come debba avvenire la comunicazione agli interessati ed il canale di comunicazione da utilizzare.
Per fare ciò ha richiamato:

  •  l'art. 34, par. 1, del Regolamento che stabilisce che "quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo", fatti salvi i casi in cui tale comunicazione non è richiesta in quanto risulta essere soddisfatta una delle condizioni previste al par. 3 del medesimo articolo;
  •  i considerando nn. 75 e 76 del GDPR i quali suggeriscono che, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva;
  •  le "Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679" del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, che hanno, fra l'altro, individuato i fattori da considerare nella valutazione del rischio – presentato da una violazione dei dati personali – per i diritti e le libertà delle persone fisiche: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell'interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate; altri aspetti generali;

Sempre le citate "Linee guida", suggeriscono che il titolare del trattamento, tra le misure da adottare per far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, "dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione" in considerazione del fatto che l'obiettivo principale della comunicazione agli interessati consiste nel fornire loro informazioni specifiche sulle misure che gli stessi possono prendere per proteggersi.

Pertanto, sulla scorta di quanto disciplinato dal Regolamento e dalle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679, il Garante ha imposto alla Società in questione di effettuare una nuova comunicazione della violazione dei dati personali agli interessati contenente:

  1.   una descrizione della natura della violazione e  delle possibili conseguenze della stessa,
  2.  indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l'accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione.

In riferimento, invece, al canale di contatto, sono sempre le già citate "Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679", che raccomandano al titolare del trattamento di "scegliere un mezzo di comunicazione che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate", con particolare riguardo ad evitare di utilizzare solamente il " canale di contatto compromesso dalla violazione" (per cui  nel caso di specie le comunicazioni potevano nonavere  raggiunto i destinatari  proprio a causa della violazione avvenuta).

Allegato

Garante privacy provvedimento 30042019
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.