Con l’arrivo del nuovo Regolamento, i data breach andranno gestiti in maniera ben precisa, con notifiche al Garante e ai diretti interessati.

 

 

L’entrata in vigore del nuovo GDPR si avvicina e una delle novità alle quali le aziende che trattano dati dovranno adeguarsi è la gestione dei data breach, quelle violazioni delle informazioni personali che possono portare alla loro distruzione, perdita, modifica e/o divulgazione.

 

Infatti, per garantire la sicurezza e l’integrità delle informazioni sensibili ed evitare che gli interessati subiscano ritorsioni di carattere economico o sociale, il GDPR prevede delle misure ben specifiche che le aziende devono seguire. Ecco quali.

 

Notifica al Garante e agli interessati

 

Nell’articolo 33 viene specificato che, in caso di data breach, il titolare del trattamento è tenuto, entro 72 ore dalla scoperta, ad informare l’autorità competente. In caso di ritardo, deve essere presentata una motivazione valida. In questa segnalazione devono apparire:

  • Il tipo di violazione
  • Categoria e quantità dei dati
  • Contatto e informazioni del responsabile aziendale della protezione dati
  • Descrizione delle conseguenze e delle misure adottate o da adottare

 

Come specifica l’articolo 34, invece, se il breach può portare un rischio per i diritti e le libertà delle persone fisiche, l’azienda è tenuta ad informare i diretti interessati. La comunicazione deve:

  • Spiegare la natura della violazione
  • Fornire raccomandazioni su come mitigare o prevenire gli effetti negativi
  • Venire inoltrata il prima possibile

 

Ci sono però 3 casi in cui la comunicazione alle persone fisiche non risulta necessaria, ossia:

  • Se il titolare del trattamento ha applicato tutte le misure di protezione, in particolare quelle per criptare i dati sensibili
  • Se il titolare del trattamento, in seguito al breach, abbia implementato tutte le misure per mitigare casi di rischio elevato per i diritti e le libertà dei soggetti
  • Se l’impiego di risorse per la notifica sia sproporzionato e si possa optare per una comunicazione pubblica

 

Sanzioni previste e come evitarle

 

In caso di mancata notifica, sono previste delle sanzioni, le quali possono essere di 2 tipi:

  • Esecutive
    Consistono in avvertimenti, ingiunzioni, limitazioni del trattamento, revoche di certificazioni, sospensioni del flusso di dati.
  • Amministrative
    Si tratta di sanzioni economiche che possono toccare i 10 milioni di euro o il 2% del fatturato relativo all’anno precedente.

 

Per evitare tali misure, è necessario attenersi strettamente a quanto specificato negli articoli 33 e 34, ma non solo. Per garantire una corretta gestione dei dati, i titolari del trattamento dovranno:

  • Attuare ogni misura necessaria per assicurare l’adeguamento al GDPR
  • Poter dimostrare che il trattamento sia svolto in conformità al regolamento
  • Monitorare e aggiornare le varie misure
  • Essere in grado di garantire uno standard di sicurezza adeguato al livello del rischio