Descrizione: procedura di segnalazione di violazione dati personali (Data Breach)

Descrizione procedura di segnalazione 
violazione dati personali
-data breach-

La violazione dei dati personali (*) consiste nella violazione di sicurezza che comporta, in modo accidentale o illecito, la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati.
(*) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
L’art. 33 del Regolamento UE dispone che la notifica di violazione dei dati personali all’autorità di controllo debba essere effettuata dal Titolare del trattamento entro 72 ore dal momento in cui ne ha avuto conoscenza (sia in caso di conoscenza diretta, sia in caso di comunicazione da parte del responsabile esterno o dell’interessato o da qualunque altro soggetto), a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il termine di 72 ore non è puramente indicativo ma categorico, il suo mancato rispetto se non adeguatamente motivato, integra una situazione sanzionabile.
Il Titolare, ricevuta tale segnalazione, nel rispetto della procedura sotto riportata, notifica al Garante la violazione fornendogli tutte le informazioni previste nell’art. 33 del GDPR e indicando, inoltre, tutte le conseguenze che potrebbero derivare dalla violazione dei dati.
Il titolare del trattamento deve, inoltre, comunicare (senza ingiustificato ritardo) a ciascun interessato l’avvenuta violazione a meno che:
• non siano state adottate adeguate ed efficaci misure per mettere in sicurezza i dati (ad esempio cifratura);
• non si siano adottate misure per scongiurare il pericolo di limitazione per le libertà e i diritti delle persone fisiche;
• la comunicazione individuale sia troppo onerosa.
Se la violazione si verifica per trattamenti riguardanti attività svolte dalle Aree dell’Amministrazione, chi ne viene a conoscenza deve immediatamente segnalarla al Referente privacy individuato nella struttura ovvero al Responsabile amministrativo della struttura di riferimento (Dirigente, Direttore Dipartimento, Direttore Tecnico) attraverso al modulistica predisposta (vedi allegato A); questi ultimi a loro volta entro le 24 ore successive, dovranno trasmettere la notizia via e-mail al RPD, all’indirizzo rpd@erdis.it.