Manca poco al 25 maggio 2018, data in cui tutti gli Stati Membri dell’Unione Europea dovranno obbligatoriamente adeguarsi al General Data Protection Regulator “GDPR”.
Tra le tante novità apportate dal nuovo regolamento sulla protezione dei dati personali una delle più significative consiste proprio nell’obbligo, per le aziende e per le amministrazioni pubbliche, di comunicare al Garante Privacy entro ristrettissimi limiti di tempo qualsivoglia violazione dei dati personali “data breach”.
Detto ciò occorre indagare sul significato che il nuovo Regolamento attribuisce al concetto di “data breach”.
Sul punto l’art. 4, comma 12, del GDPR definisce la violazione dei dati personali come qualsivoglia violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o, comunque, trattati.
Il nuovo Regolamento estende al Titolare del Trattamento l’obbligo di comunicare al Garante Privacy eventuali violazioni dei dati personali a seguito di attacchi informatici, accessi abusivi, incidenti o calamità naturali, come ad esempio incendi o alluvioni.
Giova, peraltro, precisare che prima della riforma, tale obbligo era limitato ai soli “fornitori di servizi di comunicazione elettronica accessibili al pubblico”.
La ratio di tale prescrizione è chiaramente quello di consentire al Garante Privacy di attivarsi il prima possibile, valutare tempestivamente la gravità della situazione e stabilire, eventuali, misure correttive che il Titolare del Trattamento dovrà adottare al fine di ridurre al minimo i pericoli per la Privacy dei soggetti interessati a cui i dati personali si riferiscono.
In caso di data breach ovvero di perdita, distruzione, modifica o diffusione indebita di dati personali si viene a creare una situazione di grave pregiudizio che, se non adeguatamente e tempestivamente affrontata, può provocare un danno fisico, materiale o immateriale, sociale o addirittura economico alla persona fisica interessata. Senza dimenticare l’enorme danno all’immagine dell’Azienda o dell’Amministrazione che ha subito la violazione.
Quanto alle tempistiche, l’Art. 33 impone al Titolare del Trattamento di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica è individuato, quindi, dal momento in cui il Titolare acquisisce consapevolezza dell’avvenuta violazione.
La suddetta violazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico e deve in particolare modo contenere la descrizione della natura della violazione, delle circostanze e dei provvedimenti adottati o che si intendono adottare per porvi rimedio e attenuare i possibili effetti negativi. Nella suddetta comunicazione deve inoltre essere indicato il Responsabile della Protezione dei dati con i relativi dati di contatto.
Nell’ipotesi in cui non vengano rispettati gli obblighi previsti dal Regolamento in materia di “data breach”, sono previste sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Chiunque ritenesse di voler approfondire il tema può contattare Margiotta & Partners inviando una mail a segreteria@margiottalegal.it oppure chiamando allo 02/58300672.