Che cos’è un data breach?

Il termine Data breach viene utilizzato quando avviene una violazione dei dati personali, ovvero la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali trasmessi, conservati o comunque trattati.

Alcuni esempi?

I dati violati con un data breach possono riguardare diversi ambiti:

  • Finanziario: il furto di dati di carte di credito, di conti correnti…
  • Proprietà industriale: me segreti commerciali, brevetti, documentazione riservata, lista clienti, progetti finalizzati ad esempio a pratiche di concorrenza sleale
  • Personali: documenti di identità, codici e materiali personali…
  • Sanitario: informazioni sulla salute personale…

Cosa fare in caso di violazione dei dati personali?

Che tu sia un soggetto pubblico, un’impresa o un professionista entro le 72 ore dal momento in cui si è venuti a conoscenza del data breach è importante notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà tue o di terze persone.

E’ importante comunicare al Garante tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Come inviare la notifica al garante?

La notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità.

La notifica deve contenere le informazioni indicate nell’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019.
Allegato al provvedimento vi è un modello che può essere scaricato e compilato.

Una volta creata, la notifica deve essere sottoscritta con firma digitale e inviata al Garante tramite mail PEC a protocollo@pec.gpdp.it. Può anche essere inviata tramite e-mail ordinaria sottoscritta con firma autografa e accompagnata dalla copia del documento d’identità del firmatario.
L’oggetto della mail deve essere “NOTIFICA VIOLAZIONE DATI PERSONALI”.

Il Garante può successivamente prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro.